タイポスクワッティング(Typosquatting)とは,キーボードからの誤入力,いわゆるタイプ・ミスを狙った攻撃のことである。インターネット環境でWebブラウザを利用しているユーザーがうっかりタイプ・ミスして誤入力した場合に自分のサイトに誘導する。
インターネットでWebサイトにアクセスする方法はいくつかある。メールやWebページのリンクをクリックする以外に,アクセス先のURLを直接入力することもあるだろう。このときに,うっかりキー入力を間違えてしまい「404 Not Found」などと表示された経験は誰しもある。このようにURLの入力をミスした人を自分のサイトに誘導し,不正な行為を働くのがタイポスクワッティングである。
タイポスクワッティングの「Typo」とは,入力時のミスを表す言葉である。いかにもキーボードの入力ミスを想定した造語のように思うが,印刷の誤植の表現にも使われる一般的な英単語である。
タイポスクワッティングの攻撃者は,ユーザーが誤って入力しそうなURLのサイトをあらかじめ用意しておく。ターゲットとするサイトのURLのうち 1字だけをキーボード上で近い別の文字に代えたり,あるいは文字を連続させたり抜かしたりと,いかにも打ち間違いやすそうなドメイン名にするのが典型的な手口だ。例えば,「nikkeibp.co.jp」を狙う場合には,「bikkeibp.co.jp」「niikeibp.co.jp」「nikekibp.co.jp」といったドメイン名のサイトを用意する。
タイプスクワッティングのサイトにアクセスしてしまうと,どうなるのだろう。単純にアクセスさせて喜ぶ害の少ないものもあるが,中にはアダルト・サイトの勧誘やワンクリック詐欺を仕掛けるケースもある。悪質なものになると,金融機関と似たサイトで情報を盗むフィッシング詐欺に遭ったり,スパイウエアを送り込まれたりすることもある。
タイポスクワッティングの特徴は,ユーザー自身の誤入力をきっかけにする点である。攻撃側はWebサイトを用意しておき,そこにユーザー自身が間違ってアクセスしてくるのを待っている。
例えて言うと,「麺王」という美味しいラーメン屋の評判を聞いて行ってみたが(図1),店名をきちんと確認せずにうっかり隣の「麺玉」という店に入ってしまうようなものといえる。結果として,期待外れのラーメンを食べることになったりする(図2)。
このように,タイポスクワッティングはユーザーのミス待ちという意味で受動的な攻撃である。だが,アクセス数の多い著名なWebサイトをターゲットにすれば,誤って入力する人もかなりの数になる。セキュリティの専門家によると,フィッシング詐欺が増えた2005年前後からタイポスクワッティングも増えているという。
タイプスクワッティングで迷惑を被るのはWebサイトにアクセスするユーザーだけではない。Webサイトを運営する側にとっても,似たドメイン名の悪質なサイトがあれば,自分のサイトや会社としてのイメージが損なわれるので大きな問題となる。日本のドメイン名を管理している日本レジストリサービス(JPRS)によると,「自分と似たドメイン名を発見しても単に似ているというだけで利用権を停止したり移行したりすることはない」とのことである。これは,そのドメイン名を取得した人が,必ずしもタイポスクワッティングを目的としているかどうか判断できないからだ。
タイポスクワッティングへの簡単な対処策は,紛らわしいドメイン名を事前に取得してしまうことである。例えばGoogleでは,google.com以外に,gogle.comやgooogle.comなども取得しており,これらのURLはgoogle.comにリダイレクトされるようにしている。
一方,アクセスするユーザー側で防ぐ方法は割と単純である。よく使うサイトはあらかじめ「お気に入り」に登録しておき,はじめてアクセスする場合はURLを注意深く入力して間違えないようにすれば,タイポスクワッティングは基本的に防げる。URLの一部を入力すると過去にアクセスしたサイトの中から該当するURLを一覧表示してくれる補完機能を活用するのも有効である。よく知られているフィッシング・サイトなら,フィッシング対策ソフトを使えば事前に警告してくれるはずだ。
