TSUBOCK★LABO-ツボックラボ-

とあるセキュリティエンジニアの技術メモブログ

MENU

「タイポスクワッティング」と「ドッペルゲンガードメイン」と「ホモグラフ攻撃」について調べてみた

首題の通りですが、「タイポスクワッティング」「ドッペルゲンガードメイン」「ホモグラフ攻撃」なんか似たようなフィッシング攻撃だなと思ったので、それぞれの違いについて調べてまとめてみました。

TL; DR

  • タイポスクワッティングは、ドメイン名の入力ミスを利用し、ドメイン名そのものを誤って入力することによる攻撃。(キーの打ち間違いを狙う。)
  • ドッペルゲンガードメインは、正規のドメイン名に似せたドメイン名を作成し、ユーザーを誤認させる攻撃。(見た目が似ているが違う英数字を入れる。)
  • ホモグラフ攻撃は、異なる文字の組み合わせを使用して、正規のドメイン名と似た見た目のドメイン名を作成し、ユーザーを誤認させる攻撃(ドッペルゲンガードメインに似ているが、ラテン語など英数字以外の似ている文字を使う。)
  • どの攻撃に対しても、正規のドメイン名の確認、注意深いリンクのクリック、ブックマークの使用などのセキュリティ対策が重要である。

タイポスクワッティングとは

タイポスクワッティング(Typo squatting)は、インターネット上で一般的なウェブサイトのドメイン名を意図的に間違えることで、ユーザーを欺き、不正な活動を行う詐欺的な手法です。この手法では、人々がよく訪れるウェブサイトのドメイン名をわざと誤った綴りで登録し、ユーザーが誤って入力すると、不正なウェブサイトにリダイレクトされたり、個人情報を抜き取られたりする危険性があります。

例えば、有名なオンラインショッピングサイト「amazon.com」の代わりに、「amazoon.com」や「amazzon.com」といったドメインを登録し、ユーザーが誤って入力すると、詐欺師が作成した偽のウェブサイトにアクセスされます。この偽のウェブサイトでは、ユーザーの個人情報やクレジットカード情報が盗まれる可能性があります。

タイポスクワッティングは、ユーザーが間違って入力する可能性があるよく知られたブランドや企業のドメイン名を悪用することが一般的です。この手法は、ユーザーの不注意や急ぎの状況に乗じて詐欺を行うことで利益を得ることを狙っています。

ドッペルゲンガードメインとは

ドッペルゲンガードメイン(Doppelganger domain)は、あるドメイン名に類似した別のドメイン名を使用する攻撃手法です。攻撃者は、ターゲットとなる組織や個人のドメイン名に似たドメインを登録し、タイポスクワッティングのような手法を使って、被害者のトラフィックや情報を乗っ取ることを試みます。

例えば、正規のドメインが「example.com」である場合、攻撃者は「examp1e.com」や「exarnple.com」といったよく似たドメインを登録します。これにより、ユーザーが正規のドメインを誤って入力した場合や、リンクやメールなどを経由して攻撃者のドメインにアクセスした場合、攻撃者はユーザーの情報を収集したり、詐欺行為を行ったりすることが可能となります。

ドッペルゲンガードメイン攻撃は、ユーザーの不注意やドメイン名の細かい違いに頼っています。被害者がドメイン名を正しく入力することが求められます。

ホモグラフ攻撃とは

ホモグラフ攻撃(Homograph attack)は、異なる文字の組み合わせを使用して、正規のドメイン名と似た見た目のドメイン名を作成し、ユーザーを騙す攻撃手法です。この攻撃では、Unicode(国際文字セット)の特性を利用して、似たような文字や記号を使用してドメイン名を作成します。

ホモグラフ攻撃の目的は、ユーザーを誤ったドメインに誘導し、個人情報の抜き取り、詐欺、フィッシングなどの不正な活動を行うことです。攻撃者は、似たようなドメイン名を使用することで、被害者が見た目で区別するのが難しくなるようにします。例えば、攻撃者はラテン文字の「a」とキリル文字の「а」を使い分けたり、特殊文字やダイアクリティカルマークを使用したりします。

それぞれの違いについて

それぞれの攻撃手法の特徴について下記表にまとめてみました。

タイポスクワッティング ドッペルゲンガードメイン ホモグラフ攻撃
概要 よく知られたウェブサイトのドメイン名を意図的に誤って入力することで、ユーザーを誤誘導し、不正な活動を行う詐欺的な手法。 正規のドメイン名と似た見た目のドメイン名を作成し、ユーザーを騙す攻撃手法。 異なる文字の組み合わせを使用して、正規のドメイン名と似た見た目のドメイン名を作成し、ユーザーを騙す攻撃手法。
目的 ユーザーの不注意や急ぎの状況に乗じて詐欺を行い、個人情報を盗み出すなどの被害を引き起こすこと。 ユーザーを誤ったドメインに誘導し、個人情報の抜き取り、詐欺、フィッシングなどの不正な活動を行うこと。 ユーザーを誤ったドメインに誘導し、個人情報の抜き取り、詐欺、フィッシングなどの不正な活動を行うこと。
「amazon.com」の代わりに「amazoon.com」や「amazzon.com」といったドメインを登録し、ユーザーを偽のウェブサイトに誘導する。 正規のドメインが「example.com」の場合、攻撃者が「examp1e.com」や「exarnple.com」といったドメインを作成し、ユーザーを誤認させる。 攻撃者がラテン文字の「a」とキリル文字の「а」を使い分けたり、特殊文字やダイアクリティカルマークを使用したり

と、似ているようでそれぞれ違う特徴を持つ攻撃でした。 攻撃者もよく考えてくるな・・・

参考URL