ネットで「ヒヤっとした話」を集めよう 第56回

「o」と「0」、「l」と「I」。小さいと案外見分けが付きにくい

URLの綴りを変えて騙そうとする「ホモグラフ攻撃」にヒヤリ！

「go0g1e」？

「区別が付きづらい英数字」を駆使して騙す手口

　ASCII.jpのYouTubeチャンネル特番からスピンアウトした「思わずヒヤッと／ホッとした、ネットにまつわる怖い話」を紹介する連載第56回。

　今回は「油断してると気づかない、ホモグラフ攻撃にヒヤリ！」というお話をお届けします。

　今回のヒヤリ案件は、フィッシング詐欺メールでときおり使われるあくどいテクニックについて。

　投稿者さんが指摘したように、アルファベットの「O（オー）」と数字の「０（ゼロ）」、アルファベットの「l（エル）」と「I（アイ）」のように、見た目が似ている文字を使ってユーザーを騙し、偽のWebサイトに誘導する手口です。

　たとえば「go0gle.com」（3文字目がゼロ）、「app1e.com」（lが1）のような表記です。場合によっては、「m（小文字のエム）」を「rn（小文字のアール＋エヌ）」で偽装した「rnicrosoft.com」のような手法もあります。

　このように、似た文字を使って偽のWebサイトへ誘導する攻撃は、「ホモグラフ攻撃」と呼ばれています。

　今回の投稿者さんは、ホモグラフ攻撃による偽装文字を簡単に見分けられるようです。しかしご親戚のように、スマホでの文字を見慣れない人や、老眼でピントがおぼつかない高齢者にとっては、文字を見分けるのが非常に困難なこともあり、ヒヤリとする機会は増えていくのです。

　その結果、本物のWebサイトのURLと信じ込んでアクセスし、個人情報やクレジットカード情報などを窃取されてしまう可能性があります。このような一部の文字を偽装したドメインは実際に取得されていて、悪用されている可能性が高いので注意が必要です。

　さらに高度なホモグラフ攻撃として、「国際化ドメイン名（IDN）」の悪用があります。

　IDNとは「Punycode」というエンコード方式を用いることでラテン文字、キリル文字、ギリシャ文字、日本語（ひらがな、漢字、カタカナ）、ハングル、中国語（簡体字、繁体字）などの「非ASCII文字」をドメインに使用できる規格です。これを悪用し、たとえば「ascii.jp」の「a」にキリル文字の「а」を使用することで偽Webサイトを作成してフィッシング詐欺に利用するケースも増加しています。

SNSの「なりすまし」にも使われる

　フィッシング詐欺対策には、メールに含まれているURLのリンク先をマウスオーバーなどで必ず確認すること、「【至急】登録情報のご確認」のようなアクションを求められる内容の場合でもメールに含まれるURLを直接クリックしないこと、といった鉄則がありますが、それらに加えてホモグラフ攻撃についても注意が必要でしょう。

　またURLの偽装だけでなく、SNSの「なりすましアカウント」でもホモグラフ攻撃に似た手法が使われることもあります。

　なりすましをする人物は、実在するSNSのアカウント（有名人やインフルエンサーなど）から、プロフィールの画像や紹介文をコピーしてなりすましアカウントを作成します。

　そして、アカウント作成時にホモグラフ攻撃の手口を転用し、本物と似せた文字を使ったり数字や記号を足したりして偽アカウントを作るため、一見すると本物と見分けがつきにくいなりすましアカウントが誕生するわけです。

　そんななりすましアカウントからフォローされたり、DMが届いたりしてうっかりフォローバックや返事をしてしまうことで、投資詐欺やロマンス詐欺のような詐欺犯罪に巻き込まれる可能性があります。SNSの利用においても、フィッシング詐欺やホモグラフ攻撃に対する警戒感を備えておくべきでしょう。

　なお、フィッシング詐欺やホモグラフ攻撃への対策は、いわゆるウェブアドバイザー系の機能が有効です。怪しいリンクをうっかりタップしてしまった場合でも、偽Webサイトにアクセスする直前に警告、通信をブロックしてくれるので、フィッシング対策に有効です。家族や親戚が被害に遭わないよう、事前に設定しておくと良いでしょう。

　投稿者さんのように、容易に偽装文字を見分けられる人であれば、ホモグラフ攻撃は大した問題にならないかもしれません。しかし、誰しもうっかり見落としてしまうことはありますし、何より手強いのは老眼です。

　目の老化で見間違い、読み間違いは圧倒的に増えていきます。今は大丈夫な投稿者さんも、年齢を重ねればいずれヒヤリとする瞬間が訪れるかもしれません。くれぐれもご注意ください。