検知不可能なフィッシング攻撃

ニュースソース:FOSSBYTES

以下は 2017年4月18日に公開されたThis Scary Phishing Attack Is Impossible To Detect — Here’s How It Affects Your Browsersを要約したものです。

注:この問題は SSL/TLSサーバ証明書と組み合わされた場合、特に危険です。
サンプルページ https://xn--80ak6aa92e.com は偽装されたページでLet’s Encryptの証明書を利用しています。

中国のセキュリティ調査員が、Chrome・ Firefox・ Operaといったブラウザで検知が不可能なフィッシング攻撃である、ホモグラフ攻撃について発表しました。
ホモグラフ攻撃には、ASCII文字と同じに見えるUnicodeをドメインに使用します。

例 ”xn--pple-43d.com” = ”аpple.com”

通常、ドメインにはASCIIのみが使用できますが、Punycodeを使用することにより文字コードASCIIに制限されたドメイン内でもUnicodeが使えるようになります。
それによって英文字数字以外の外国語のドメイン名を利用することが可能となります。

例 “xn--s7y.co”=”短.co”.

Punycodeを使用した場合、それを示すために”xn”が先頭に付加されますが、Google Chrome・ Mozilla Firefox・OperaといったブラウザではUnicodeを元の文字に逆変換して表示するために、悪意のあるドメインを見抜くことが出来ません。
例えば、apple.comの”a”にASCIIではなく、キリル文字の”a”を使用する事で、別のドメインを指していても見た目はほとんど同じになります。
ユーザーには瞬時に区別がつかないため、目的とは全く別のサーバーへ誘導することができてしまいます。
こういったフィッシング攻撃に対して、ほとんどのブラウザで対策は立てられていますが、すべてのホモグラフの攻撃パターンには対応できていません。
幸いにも、ホモグラフ攻撃はInternet Explorer・Microsoft Edge・Safariには影響を及ぼしていません。
この問題は1月20日にFirefoxとChromeに報告されており、Chromeでは58のリリースで修正が適用されます。
Firefoxはこの問題について言及していませんが、”about:config”で”network.IDN_show_punycode”を”true”に設定することで対策ができます。

中国の調査員Zheng氏はパスワードマーネジャーの使用を推奨するとともに、個人情報を入力する際は、そのサイトURLに注意を払うことが必要だと述べています。