フィッシング攻撃: Chrome と Firefox に脆弱性
このフィッシング手法は中国のセキュリティ研究者によって発見されました。これにより、攻撃者はユーザーが実際の HTTPS ページを表示しているように見せかけますが、実際にはそうではありません。これにより、このメソッドがエミュレートするページへのアクセス資格情報を盗もうとすることが目的になります。
この攻撃の背後にあるトリックは単純です。攻撃者は、ホモグラフィック攻撃と呼ばれる 2001 年以来知られている手法を使用して、通常使用されている文字と類似した文字を含むドメインを登録します。たとえば、キーボードの「a」 (U+0041) や、ロシア語などのキリル文字のキーボードにある「а」がこの例です。多くのブラウザは、この種の攻撃を防ぐために、Punycode を使用して URL 内の Unicode 文字を表します。このおかげで、Unicode は国際ドメイン名システムで使用される ASCII に変換されます。
この変換は日本語や中国語などの言語でのみ行われます(短.coがxn--s7y.coになります)が、ロシア語など他の言語では行われません。研究者はこの失敗を利用して、ドメイン xn--80ak6aa92e.com を登録しました。このドメインは、Chrome、Firefox、Operaなど、この攻撃に対して脆弱なブラウザでは「apple.com」として表示されます。 Safari と Internet Explorer は影響を受けません。 URL では、ページはHTTPS 証明書を備えているため安全であるように見えますが、実際の Apple サーバーからのものではありません。ドメインが接頭辞「xn--«」で始まる場合、ブラウザはドメインが Unicode ではなくPunycode を使用していることを伝え、「a」をASCII ではなくキリル文字に変換します。
安定版ではまだパッチが適用されていません
Mozilla は現在この脆弱性の修正に取り組んでいますが、Google はすでにChrome Canary 59でパッチを適用しており、 4 月末にリリースされるChrome 58の最終安定版で利用可能になる予定です。それまでの間、アクセスするページには注意し、資格情報の入力を求める機密性の高いサイトにアクセスする場合は、必ず URL を手動で入力するようにしてください。
Firefox ユーザーが Punycode を無効にして、その間この攻撃を回避する必要があるオプションは次のとおりです。
- アドレスバーに「about:config」と入力し、Enter キーを押します。
- 検索バーに「Punycode」と入力します。
- network.IDN_show_punycode というタイトルのパラメータを見つけ、ダブルクリックしてパラメータを true にします。