Article

重複ドメインとタイポスクワッティング

悪質なドメインはどこにでも潜んでいます。本物そっくりにできた偽のリンクをクリックしてしまったり、有名なウェブサイトにアクセスしようとして入力ミスをしてしまったりなど、うっかりミスで被害に遭うことがあります。

重複ドメインを利用した攻撃には、能動的なものと受動的なものの2種類あります。
 

タイポスクワッティング・ドメイン(Typosquatting Domains

悪質なリンクによる被害に遭わないために、次のシナリオでイメージトレーニングをしてみましょう:

ある企業がOnline-shopで商品を販売しているとする。注文した商品はいつも確実で即日発送されるのだが、最近なぜか顧客からの苦情が増えている。ウェブサイトのレビューを見ると「先日このOnline-Sbopで商品を注文し支払いも済んでいるのですが、2週間経っても商品が届きません」と書いてあった。オンラインショップの従業員はこの書き込みを読み初めて、このレビューを残した顧客からの注文履歴がないことに気づいた。

もう何が起きたか分かる方もいるのではないでしょうか。実は、Shopという単語にスペルミスがあります。この顧客は、「h」ではなく「b」で綴られたオンラインショップに注文してしまっていたため、支払いが済んでいるのにも関わらず商品が受け取れませんでした。

こうした偽ドメインは、犯罪に手を染めた第三者により、既存の会社名と利用者の不注意を利用し金儲けをするために登録されます。こうした犯罪者は、会社のレイアウト、ロゴ、テキスト等を真似し、「悪魔の双子(Evil Twin)」とも言われる本物のサイトとそっくりの偽のウェブサイトを作成します。

このようなドメインは、顧客からユーザー名やパスワードを盗むためにも使われます。顧客のアカウントや支払い情報を盗み悪用することで、企業に損害を与えることが目的です。
 

自分の身を守るには

ウェブサイト運営者へのアドバイスとしては、見間違えたり混同してしまう危険性のあるドメインを最初から自分で登録しておくことです。こうすることで、ユーザーが万が一スペルミスで類似のドメインへアクセスしてしまっても、自動で正しいドメインへのリダイレクトされるように設定されていればリスクを回避することができます。この対策のメリットは、ドメイン1つにつき月額数 円しかかからないためお得かつ簡単に実装できることです。

ユーザーへおすすめの対策は、ドメインをよく見ること、不安要素があれば大きめのフォントや別のフォントを選ぶこと、そしてウェブサイトにアクセスする際に鍵マークがついているからと安易 に信用しないことです。鍵マークは、単にブラウザとサーバー間の通信が暗号化されていることを示すだけで、正しいサーバーと通信していることを保証するものではないことを覚えておきましょう。
 

電子メールによる能動的攻撃

攻撃者の中には、ウェブサイト訪問者が間違えるのを待つ受動的攻撃をする者ばかりではなく、精巧に偽装したドメインを登録し、実在する会社名で電子メールを送信する能動的な攻撃者もいます。この能動的攻撃は、メールの受信者がドメインのスペルの違いに気づかないだろうと想定し行われます。

例えば、「e」が「е」に置換されていても気がつく人はほとんどいません。大文字の「i」と小文字の「L」の置換はなおさらです。「Online-Shop」は「OnIine-Shop」と一見区別がつかない「l」と「I」を利用されます。 「Online」と「Onlinе」もよく似ているため、悪用される危険性がありそうです。

これらの他にも、偽ドメインの作成に利用できるいわゆる文字のような記号や、類似のアルファベットは数多くあります。例えば、i、ⅰ、𝗂は書体がほとんど同じで見分けるのは容易ではありません。
最悪の場合、犯罪者が企業に大きな損害を与えることを目的に従業員のアカウントを乗っ取り、会社のイントラネットワークにアクセスされてしまうことがあります。
 

どのように身を守るか

企業が類似した文字の組み合わせをすべて予測し、ドメインとして登録することは現実的に不可能です。そこで、電子メールやブラウザが不正なドメインを自動的に認識し、その不一致をユーザーに警告する方法が有効です。この対策を導入すれば、ドメインが間違っていたり外部のものである場合、メールプログラムにメッセージとして表示されるため、ユーザーが別の第三者と通信しているという事実を確認することができます。

重複ドメインを見つけた場合には、顧客に早急に警告、およびドメインレジストラにドメインの不正使用を知らせ、重複ドメインを迅速に無効化させるとがお勧めです。