✓
IDN(国際化ドメイン名)とは
▪ 通常のドメイン名はアルファベット、数字、ハイフンなどのASCII文字の集合からなり、単 一の言語でしか表現できない。(例:waseda.jp) ▪ Unicodeを使用することにより多言語にも対応したドメイン名がIDN(例:早稲田.jp)。 ▪ IDNはブラウザ側でPunycodeと呼ばれるUnicodeからASCII文字への変換アルゴリズムを適 応してから名前解決が行われる。 ▪ 例:早稲田.jp → punycode変換 → xn--0gvz35a4wd.jp✓
IDNホモグラフ攻撃とは
▪ Unicodeに存在する外形的に似た文字を使用し,既存 のドメイン名に対して視覚的に見分け がつきにくい IDN を登録し,攻撃者が用意したwebサイトにユーザーを誘導 する攻撃。 ▪ 例: facebook.comに対してƒɑcebook.com(xn--cebook-2tb24m.com)やfaᴄebook.com(xn--faebook-wx1c.com)などのIDN(ホモグラフドメイン名)が存在。 ▪ 非常に似ているドメイン名は防衛目的として、正規のドメイン名を保持している企業やドメ イン管理の行う企業などによって保護されている場合もある。1.
IDNホモグラフ攻撃に利用されている可能性があるドメイン名(潜在的ホモグラフド
メイン名
)を検出し、それらを良性ホモグラフ、悪性ホモグラフ、要注意ホモグラフ
の三つに分類。
2.悪性ホモグラフドメイン名の分布状況の調査
→どのようなサイトにホモグラフドメイン名のリンクがあるのか? 3.日本語
IDNのホモグラフドメイン名が登録可能なものを調査
→ 日本語
IDNでは「エ」と「工」は登録可能。
▪
攻撃対象ドメイン:
AlexaランキングにおいてTLDが.comまたは.netで、SLDの文字
列の長さが
5以上になっているドメイン名を上位のものから1000個ずつ抽出。
✓
編集距離
(Levenshtein 距離)
▪ 二つの文字列間の類似度を示す指標の一つ。 ▪ 2 つの文字列がある場合に,片方の文字列に対して置換,挿 入,削除からなる 3 つの編集処 理を繰り返して,他方の文字列と一致するために必要な最小の操作回数。 ▪ 例:cafeとcoffeeの編集距離は3。 (cafe→caffe→coffe→coffee)✓
潜在的ホモグラフドメイン名の検出方法
• ステップ1:Alexaランキングから抽出したドメイン名のSLDの長さが等しいドメイン名を DNSゾーンファイルから引き出す。更にその中から編集距離が1、または2になっているもの を引き出す。 → 正規のドメイン名と比較して、置換が1回または2回行われているドメイン名を抽出。✓
潜在的ホモグラフドメイン名の検出方法
(続き)
• ステップ2:置換文字が、正規のドメイン名との差分となる文字の形状と似ているものを潜 在的ホモグラフドメイン名として検出し、似ていないものを除外。 • ステップ2の時に、類似文字のリストを生成することで二回目の以降の分析においてリスト を参照し、処理を自動化することができる。 • ステップ3:二回目以降の分析で、初回の分析では出現していない(類似文字のリストに含ま れていない)が、正規のドメイン名との差分となる文字の形状と似ているものをステップ2 で除外したものの中にあるか調べる。あった場合、潜在的ホモグラフドメイン名として検出。✓
分類に使用したデータ
▪ WHOIS情報 →ネームサーバドメイン名が正規のドメイン名のものと一致しているかどうか。 →外部の企業に防衛目的のドメイン名の取得を委託している場合がある。その場合、ネーム サーバドメイン名も異なっている。 ▪ アクセス先 →アクセス可能かどうか、またはアクセス先が正規のドメイン名と一致しているかどうか。 →アクセス時のHTTPステータスコードも記録 ▪ VirusTotal →クリーンサイト、マルウェア配布サイト、フィッシングサイト、悪性サイト✓
分類方法
▪ 良性ホモグラフ →ネームサーバドメイン名が正規のドメイン名と同じもの、またはアクセス先が正規のドメイン名に なっているもの。 ▪ 悪性ホモグラフ →アクセス先(ネームサーバドメイン名が)が正規のドメイン名のものと異なっており、 VirusTotalによるスキャン結果で悪性と判定されたもの。 ▪ 要注意ホモグラフ →アクセス先(ネームサーバドメイン名が)が正規のドメイン名のものと異なっており、 VirusTotalによるスキャン結果で悪性と判定されなかったもの。 →パーキングページ、転売目的などが考えられる。✓
結果
▪
検出した潜在的ホモグラフドメイン名について
✓
結果
▪ 調査時間について
▪ 合計時間 = ステップ1 + ステップ2,3 = 1767秒(約30分) + 約5時間
= 約5時間30分
▪ Liu らによる既存研究「A Reexamination of Internationalized Domain Names: The Good,
the Bad and the Ugly」
▪ 合計140万のIDNの中から、画像処理を利用してホモグラフドメイン名を1,516個検出
▪ メモリが4Gのマシンを使用して102時間かかった
✓
結果
▪
ホモグラフが多数生成されたドメイン名
✓
結果
▪分類結果
◼良性
アクセス先が正規のドメイン名と一致
したものが
71個、その他はエラーかア
クセス不可。
✓
結果
▪分類結果
◼悪性 ▪ アクセス先が正規のドメイン名とは異なり、クライアントエラーなども起きずに異な るページに到達したのは161個。 ▪ VirusTotalの判定結果の内訳 ▪ マルウェア配布サイト:9個 ▪ フィッシングサイト:170個 ▪ 悪性サイト:84個✓
結果
▪フィッシングサイト
▪ 割合 ⚫ 一つのドメイン名に対して フィッシングサイトと判定されたサイトの数 検出した潜在的ホモグラフドメイン名の合計 ▪ 割合を考慮すると、netflix.com や micorsoft.com, coinbase.comなどのペ イメントが関わってくるサイトのド メイ ン名がフィッシングの対象になりやすい✓
結果
▪要注意ホモグラフ
▪ アクセスできなかったものが 527 件。 ▪ オリジナルのサイトと異なるページに遷移したものが 769 件存あり、その内、エラーが発生 せずにアクセスが 成功したものが 653 件。 ▪使用される頻度が高かったネーム
サーバドメイン名を調べるとほと
んどがレジストラのもの
▪ドメインパーキングとして利用さ
れていることが想定される
✓
調査方法
▪
Selenium と Chrome ヘッドレスブラウザを用いて、悪性ホモグラフドメイン名に対し
て
Google 検索。
▪
検索にヒットしたサイトの説明文の中に,該当ドメイン名を含むサイトの
URL を保存。
✓
結果
▪ 表7は悪性ホモグラフドメイン名のヒット数が高かった上位10のドメイン名を示す。 ▪主にドメイン名を調査するサイトや
ブラックリストなどがヒットした
▪一方、
facebookやtwitterなどのSNS
経由で流通しているケースも存在
→不特定多数のユーザが訪れる可能
性があるため、悪性ホモグラフドメ
✓
調査で使用したデータ
▪
confusables.txt
▪ Unicode Consortium が提供している 外形が近い文字のペアのリスト。
▪
.com、.net、.jp にそれぞれ対応するIDN table
▪ .com、.net、.jpにおいて登録可能な日本語の文字集合を示したリスト。
▪
漢字の新字体、旧字体のペア
364組
▪ confusable.txtは似ている文字のペアを全て網羅しているわけではない。 ▪ 新字体、旧字体のペアで似ているものも存在している。
✓
調査方法
▪ 各IDN Tableでconfusables.txtのペアが登録かどうかを調べる ▪ 各IDN Tableで新字体、旧字体のペアが登録かどうかを調べる ▪ 各ゾーンファイルから、似ている文字のペアどちらかを使用しているドメイン名の数をカウ ント✓
結果
▪ confusables.txtから12組25個の形が似ている文字のペアを発見。カタカナと漢字の組み合わ せが多い。▪ 漢字の「卜」(U+535C)・・・ .com で 27 件,.net で 7 件,.jp で 0 件
✓
結果
▪
269組の漢字の新字体と旧字体のペアが日本語IDNとして.com、.net、.jpで登録可能
▪
新字体を使用しているドメイン名の方が多く登録されており、それらに対して対応
▪
ブラウザ(
chromeやfirefoxなど)
▪ IDNの文字列が単一の言語の文字から構成されていない場合、ブラウザのアドレスバーでは、 Unicode表記ではなくpunycode表記で表示される。(許容されるパターンも存在) ▪最初から強制的に
punycode表記で表示されているとホモグラフドメイン名と気づけ
ない可能性も考えられる。
▪提案手法
▪ Unicode 表記を残すこと でユーザビリティを高めつつ,元のドメイン名と潜在的ホモグラ フド メイン名の差分を強調するブラウザ拡張機能。▪
今回は
IDNのホモグラフドメイン名として日本語を使用したが、他の言語で似ている
文字がないか探す
▪
