Symantec Security Response Weblog
Spoofing Around the URLs」より
September 2,2009 Posted by Samir Patil

 スパム送信者は,メールをスパム・フィルタに見つけられないようにするために,たちの悪い様々な手を使う。例えば難読化やなりすまし,有名ブランドの不正使用といったことが行われると,スパム・メッセージ識別を目的としたコンテンツ・フィルタリング処理が難しくなる。

 米シマンテックが最近見つけたスパム攻撃は,信頼できるドメインの名前の一部またはすべてを,形の似た文字を使ってまねたドメイン名を使ってなりすましていた。この手口を詳しく説明する前に,馴染みの薄い可能性がある「国際化ドメイン名」(IDN),「Punycode」,「同形異義語スプーフィング」に触れておこう。

IDN

 IDNはASCII文字以外の文字を含むドメイン名である。アラビア語や中国語の文字,サンスクリット語のデーバナーガリ文字など,非ラテン系の文字をドメイン名に入れることができる(関連記事:IDN)。

例:「ёxample.com」というドメイン名には,キリル文字の「ё」が入っている。

Punycode

 Punycodeは,IDNをエンコードするアプリケーション向けのアルゴリズムで,(非ASCII文字を含む)IDNをASCII文字だけで表現できる。つまり,Punycodeは非ASCII文字列をASCII文字列に変換するのだ。変換後のドメイン名は,ほかのドメインと重複することなく,元のIDNに戻せる。Punycodeで変換されたドメイン名は,先頭に「xn--」が付く(関連記事:Punycode)。

例:「ёxample.com」のPunycodeは「http://www.xn--xample-ouf.com/

同形異義語スプーフィング

 同形異義語スプーフィングとは,複数の言語を扱えるパソコンで,異なる言語の,見た目ではほとんど(もしくは全く)区別できない形の文字を使ってだます手口だ(関連記事:「paypаl.com」と「paypal.com」,違いが分かりますか?---IDNによるURL偽装問題 )。

例:(ロシア語で使うキリル文字を含む)「ёxample.com」というドメイン名は,ラテン文字で書かれた「example.com」とよく似ている

 以下に掲載した,安易な金儲け(MMF:Make Money Fast)を餌にしたスパムを例にして説明しよう。このスパム送信者は,金儲けキットを無料で提供すると宣伝している。メッセージ内のURLは登録フォームを指しているが,誘導先でユーザーの個人情報も収集する。

 詳しく調べたところ,このURLのドメイン名がIDNになっていることに気付いた。ドメイン名は「google.com」に似せてあった。そのURLとPunycodeを以下に示す。


 以下の表は,google.comに似せて作ったドメイン名の例だ。ラテン文字版のドメイン名とそっくりなものが多いだろう。

 スパム送信者は,無害なブランドの陰にわなを仕掛けてメッセージ受信者をだます手口など以前から使っていた。ただし,偽装されたURLにだまされない対策は取れる。ステータス・バーに表示される実際のURLを確認したり,手作業でURLを入力したりすればよいのだ。少しの手間をかけて調べるだけで,個人情報の安全を確保できる。


Copyrights (C) 2009 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Spoofing Around the URLs」でお読みいただけます。