一部のブラウザのURL欄で「xn--80ak6aa92e」が「apple」に見える問題

Homograph attack check 01

フィッシング詐欺の手口として使われる偽サイトのURLは、本物のサイトのURLっぽく偽装されてはいますが、よく見ると判別可能なものが殆どです。しかし、今回、中国のセキュリティ研究者が発表したテクニックを用いると、多くの人が騙されてしまうでしょう。

その方法は、Punycode(ピュニコード)を用いたもの。
識別子として頭に「xn--」が付くのが特長です。

頭にxn--が付くなら一発で分かるじゃん。

ところがどっこい、サンプルとして公開されているページ「https://www.xn--80ak6aa92e.com/」(サンプルページで安全です)をブラウザで開くと・・・

Homograph attack check 02

「https://www.apple.com」っぽく偽装されます!!

これはキリル文字と呼ばれる文字コードの"а" (U+0430)を使ったもので、通常のラテン文字の”a”とは違う文字ですが、表示は同じ。

こういう偽装方法は「ホモグラフ攻撃」と呼ばれます。

https://www.xn--80ak6aa92e.com/ へのリンク方法を https://www.аpple.com/ とすることで・・・これはもう、人間には判別不可能、回避不能ですね。 

Homograph attack check 03

じゃあ、どうやって防ぐのか?ですが、当然ブラウザ側の対応に頼るしかありません。

ピュニコードのまま表示の安全なブラウザは?

iOS版では、SafariとFirefoxはピュニコードのまま表示されるので問題無し。Chromeは変換されてしまいました。

デスクトップ版では、Safari / IE / Microsoft Edge / Chrome(バージョン58以降)ではピュニコードで表示されるので問題無し。Firefoxでは変換されてしまいました。

ただ、Firefoxでも、URL欄にabout:configと入力してオプションを出し、network.IDN_show_punycodeの項目をtrueにすると、ピュニコードのまま表示に切り替えられます。

関連するエントリー