フィッシング攻撃は、巧妙な手口で無防備な被疑者を騙し、個人情報の開示や悪質なリンクのクリックを促すものです。また、フィッシング攻撃も年々巧妙になってきています。偽の企業ロゴを使ったシンプルなメールもまだ有効ですが、詐欺師は手段を選ばず詐欺を実行に移しています。

フィッシング詐欺師の最新の手口はURLスプーフィング、つまり普段信頼しているURLになりすますことです。どうすればバレないようにできるのか？調べてみよう。

国際的なドメイン名：ごく短い歴史

詐欺師がウェブアドレスを偽装する方法を理解するためには、ドメイン名の仕組みについてもう少し詳しく知る必要があります。

2009年までは、URLはラテン文字のaからzまでで、アクセント記号やグリフ、その他の記号は使用できませんでした。インターネットの運営に不可欠なデータベースの維持管理を行う非営利団体ICANN（Internet Corporation for Assigned Names and Numbers）がこのシステムを変更したのである。インターネットユーザーは、ギリシャ語、キリル文字、中国語、アクセント付きのラテン文字など、さまざまなスクリプトを使用してウェブアドレスを登録することができるようになりました。

この変更には、それなりの理由があります。インターネットの発展とともに、利用者の属性も変化してきました。例えば、2009年から2017年にかけて、北米のインターネットユーザー数は2億5900万人から3億2000万人へと23％増加しました。一方、アジア全体のインターネットユーザー数は7億9,000万人から19億3,800万人へと145％増加しました。

北米とヨーロッパの大部分が飽和状態に向かい、その他の地域がオンラインになりつつある今、インターネットの方向性を形作っているのは、こうした言語とアルファベットなのです。

スクリプトでurlスプーフィングが可能

URLドメイン登録に新たなスクリプトを大量に導入することは、詐欺師にとって新たな攻撃手段となっています。同一形式ドメイン攻撃とも呼ばれ、詐欺師は正規の相手と全く同じように見える非ラテン文字を使ったURLを登録します。

URLの例として、makeuseof.comのウェブサイトを使ってみましょう。通常のURLは、標準的なラテン文字を使用します。しかし、非標準の文字を使うことで、URLに非常に微妙な変化を与えることができます。実は、今回のmakeuseof.comのサイトは、まったく別の書き方をしています。どのように機能するのですか？

ラテン語の「a」（U+0041、この文字のユニコード識別子）をキリル文字の「a」（U+0430）に置き換え、ラテン語の「o」を" (U+006F)をギリシャ語の小さなオミクロン(U+03BF)に対応させました。違いに気づきましたか？もちろん、そんなことはありません。これこそが、URLを欺くことになるのです。元のURLに同形（視覚的に似ている）文字を導入することで、潜在的な詐欺師がmakeuseof.comのウェブサイトのURLを登録することができるようになるのです。

偽造されたURLと盗まれたHTTPS証明書を組み合わせれば、詐欺師はあなたがこの記事を読んでいるWebサイトになりすますことができます（待てよ...）。これは現実なのだろうか).

その他のバリエーション

このmakeuseof.comのウェブサイトのURLは、2つの同音異義語を持っているため、良い例と言えます。また、アクセントやグリフ、トーンマークなどを含む類似の文字で代用することもあるようです。makeuseof.comのウェブサイトのURLを使って、今度は代替文字の幅を広くしてみましょう。

これを説明するために、上の例では非常にわかりやすい文字の修正を加えています。Google ChromeのOmniboxでは、このような偽のURLが表示されます。

目立ちますよね。メールにリンクとしてURLが表示されていると、その違いがわからないユーザーもいます。これは、ブラウザーのステータスバーにも言えることで、クリックしたいURLをプレビューしてくれます。これは小さく、やや見えないので、例のURLとの微妙な違いに気づかないかもしれません。

マイクロコード

被害者になる必要はないのです。Chrome、Safari、Opera、Microsoft Edgeでは、すでに類似したURLのウェブサイトへのアクセスをブロックする対策がとられています。

この緩和策の良い例がBrian Cribbs氏のウェブサイトで、何の変哲もないが偽バージョンのca.comが実際にはxn - 80a7a.comに解決されるのである。

この変換は「Punycode」と呼ばれ、多くのブラウザはこの特別なエンコーディングフォーマットを使って同型フィッシング攻撃から直接保護します。punycodeは基本的にブラウザの文字セットをa-z、a-z、0-9を含むようにロックします（文字、数字、ハイフンのLDHルール文字セットとしても知られる）。.

あなたのウェブサイトがどのように形成されているか見てみたいですか？安全な開発を保持するこのドメインチェッカーをチェックしてください。あなたのドメインと対応するトップレベルドメイン（.comや.orgなど）を検索に入れ、出発してください。幸いなことに、makeuseof.comのサイトはありませんが、誰かが本当にこのサイトの真似をしたいのであれば、186の可能なバリエーションがあります。

スクワット

国際化ドメイン名同型フィッシング攻撃は、何も新しいものではありません。詐欺師が利用可能なツールセットをうまく活用することで、ますます悪名が高まっているのです。同型攻撃は、実はもう一つのドメインフィッシング詐欺であるタイプミスと非常によく似ています。

タイポグラフィとは、よくあるスペルミスのドメインを次々と登録し、悪意のあるコンテンツをホストしたり、疑うことを知らないユーザーに対して偽のログインポータルを提供したりすることです。例えば、「Amozon」や「Facebok」と何回素早く入力するか。このような大きなサイトでは、時にスペルを間違えてしまい、正しい場所にたどり着いてしまうことがあるのも事実です。ほとんどの場合。しかし、警戒は怠らないようにしましょう。

なりすましURLを回避し、安全を確保

改ざんされたURLの発見には、それなりの困難が伴う。また、悪意のあるURLに「正規の」HTTPS証明書がついている場合、発見がさらに困難になることがあります。でも、一人で悩む必要はないんです。

先に述べたように、ブラウザはすべてのURLを強制的にPunycodeに従わせることで、この問題を軽減しようとしています。しかし、ブラウザーの外では、多かれ少なかれ単独で行動することになります。それでも、いくつかのヒントをご紹介しましょう。

• Eメール：Eメールにあるリンクはクリックしない。たとえ信頼できる人からのリンクであっても、クリックした先がどこであるかを常にダブルチェックする必要があります。
• メールクライアント：メールクライアントによっては、受信メールのリンクを完全に無効にすることができます。また、スパムフィルタのレベルを上げると、多くの悪質な受信メールを除去することができます。
• リンクチェック：不明な場合はリンクチェックをご利用ください。例えば、電子メールで不審なリンクが送られてきたとします。クリックするのではなく、以下の5つのリンクチェッカーにコピー＆ペーストして検証してください。ソーシャルメディアのアカウントも同様です。
• ソーシャルメディア：Eメールと同様、購読フィードにポップアップするリンクをクリックするだけではいけません。
• ブラウザ：ブラウザを最新の状態に保つ。2017年のChromeとFirefoxのアップデートでPunycodeのエンコード処理が突然変更され、両ブラウザは一時的にホモニム攻撃に対して脆弱な状態となった。

そして、いつもと同じように、私たちがオンラインで直面している無数のセキュリティ脅威について教育することが、最善の緩和策となります。あなたの周りで起こっている、より明白な悪意のあるオンライン活動に気づくことができれば、より安全な作業を行うことができるようになります。