Skip to content ↓ | Skip to navigation ↓

News. Trends. Insights.

コンピューター業界では主に ASCII または 7 ビットのバイナリを使用して、文字、数字、記号を表して言語を伝達しています。ASCII は単純に Unicode に置き換えることができません。また、コーディングやテキスト表現に関する業界標準で扱われるすべての文字や記号を表現することもできません。その結果、業界は Punycode に目を向けるようになりました。Punycode は、ASCII 文字を使用して Unicode を表現するための手法です。たとえば、Punycode では「München」(ドイツ語のミュンヘン)を「Mnchen-3ya」に変換します。

Punycode を使用すると、Web のドメインネームシステム(DNS)で、ドメインレジストラが ASCII 文字セットと一致しないドメイン名を登録できるようになるため便利です。しかし、他の多くの技術と同様に、この表現手法も諸刃の剣となり得ます。正しい使い方をするならば、ドメイン名に「München」の文字を使って正当なサイトを登録できます。しかし、悪用される可能性もあります。

Punycode の最も一般的な悪用方法は、タイポスクワッティング攻撃の実行です。この手の攻撃では、ユーザーがよく知っているドメイン名に似せた Punycode が含まれるリンクをクリックさせようとします。たとえば、「ɢoogle.com」は「Google.com」に似ていますが、有名な検索エンジンは後者のほうです。前者をクリックすると、悪質な Web サイトに誘導されます。

しかし、Punycode を使用した攻撃のすべてが、ユーザーを騙すことを意図しているわけではありません。一部は、ユーザーを保護するプロテクションシステムを回避することを目的としています。

Avanan 社のクラウドセキュリティリサーチャーは、2016 年 12 月にその種の攻撃を発見しました。

フィッシングフィルタ機能の回避

Avanan 社が検知した攻撃は、Microsoft 社の Office 365 のデフォルトのフィッシングフィルタを欺き、Office 365 のクレデンシャルを詐取しようとするものでした。

この攻撃は、FedEx 社を騙る偽の E メールから始まりました。この E メールには、荷物追跡用の一見無害なリンクが含まれており、このリンクがユーザーを悪質なサイトにリダイレクトしていました。

フィッシングEメール例

ありがちな話ですね?

しかし、それだけではありません。Microsoft 社の Office 365 は、この Punycode リンクを ASCII 形式として分析し、安全なサイトであると判断してしまいます。しかし、このリンクが Unicode 形式で解決されると、悪質なサイトにつながります。

Office 365 は、この Punycode リンクを ASCII 形式として分析し、安全なサイトであると判断

Avanan 社は、この仕組みを同社のブログで説明しています。

「ドメイン xn--sicherheit-schlsseldienst-twc.de を標準の ASCII としてテストすると、IP アドレス 81.169.145.66(ドイツ、ベルリン)が解決されます。これは正当なアドレスであり、E メールはユーザーに正常に受信されます。」

「しかし、ユーザーがこのリンクをクリックすると、ブラウザはこのアドレスを Unicode 形式で次のように解釈します。Sicherheit-schlüsseldienst.de。これは、別の IP アドレス 92.242.140.21(北アイルランド、ベルファスト)となります。」

この IP アドレスは、Microsoft のログインページを模した偽のページのもので、ユーザーに「ビジネス E メール」のアカウント用のクレデンシャルを入力させようとします。

偽装したクレデンシャル入力画面

まとめ

Punycode を使用したこのような攻撃は、他の E メールベースの攻撃とは異なります。しかし、それでもフィッシング詐欺であることに変わりありません。つまり、怪しげなサイトにリダイレクトする FedEx の URL のような不審なリンクをクリックしないようにすれば、自己防衛できるということです。不審な URL に遭遇したら、その上にマウスカーソルを置いて、確かに目的のページへのリンクであるかを確認すべきです。
Title image courtesy of ShutterStock

元の記事はこちらからご覧いただけます。

The State of Security 日本語版 ニュースレター