ホモグラフ攻撃とは？概要や仕組み、リスクをわかりやすく解説

インターネットの普及に伴い、サイバー攻撃の手法も日々進化し、より巧妙かつ高度なものになっています。その中でも視覚的な錯覚を利用した攻撃として「ホモグラフ攻撃」というものがあります。本記事では、ホモグラフ攻撃の概要や仕組み、具体的なリスクや対策について詳しく解説します。

ホモグラフ攻撃とは、異なる文字や記号が視覚的に非常に似ている、または同一に見える特性を悪用し、ユーザーを偽のウェブサイトやメールに誘導する攻撃手法です。この攻撃は、国際化ドメイン名（IDN）を利用することで、見た目が正規のドメイン名と区別がつかない偽ドメインを作成し、ユーザーを騙すことを目的としています。

例

• 正規のドメイン名：「www.example.com」
• 偽のドメイン名：「www.exampIe.com」（「l（エル）」を大文字の「I（アイ）」に置き換え）
• または：「www.еxample.com」（英字の「e」をキリル文字の「е」に置き換え）

これらの偽ドメインは、ぱっと見ただけでは正規のドメインと区別がつかないため、ユーザーが誤ってアクセスしてしまう可能性が高まります。

ホモグラフ攻撃は、以下のような技術と手法を組み合わせて行われます。

🔴ホモグラフ攻撃の成り立ちと使用される技術

1. 視覚的に類似した文字の利用

• 異なる文字セットの悪用：キリル文字、ギリシャ文字、ヘブライ文字など、英数字と見た目が似ている文字を利用します。たとえば、キリル文字の「а」（Unicode U+0430）は、英字の「a」とほぼ同じ形状をしています。

2. 国際化ドメイン名（IDN）の悪用

Punycodeの利用：IDNは内部的にPunycodeというエンコード方式を使用していますが、ブラウザはこれをユーザーが読みやすい形で表示します。攻撃者はこれを利用し、ユーザーに偽のドメイン名を正規のものと誤認させます。

IDNの仕組み：IDNは、非ASCII文字（日本語や他の多言語の文字）をドメイン名に使用できるようにするための規格です。これにより、攻撃者は視覚的に似た文字を含むドメイン名を取得することが可能になります。

3. フィッシングメールやソーシャルエンジニアリングとの組み合わせ

• メールやSNSを通じた誘導：攻撃者は偽のドメイン名を含むリンクをメールやSNSで送信し、ユーザーを偽サイトに誘導します。これらのメッセージは、公式機関や取引先を装っている場合が多く、信頼性を装っています。

📚関連記事：フィッシング詐欺とは？概要と手口、対策をわかりやすく解説！

📚関連記事：ソーシャルエンジニアリングとは？手口と対策、被害事例を解説

ホモグラフ攻撃は、その特性上、多岐にわたるリスクと影響をもたらします。

🔴フィッシング詐欺との関係

ホモグラフ攻撃は、フィッシング詐欺の一種として分類されます。ユーザーが偽のウェブサイトにアクセスし、ログイン情報や個人情報を入力すると、その情報が攻撃者に盗まれます。

企業ポータルの偽装：企業の内部ポータルやメールシステムを装い、社員の認証情報を取得し、さらなる攻撃の足掛かりとします。

🔴情報漏洩や経済的被害

ホモグラフ攻撃による被害は、個人だけでなく企業や組織にも深刻な影響を及ぼします。

• 機密情報の漏洩：取得した認証情報を利用して、企業の機密データにアクセスし、情報を盗み出します。
• 不正送金や詐欺被害：金融取引に関わる情報を盗み、不正送金や詐欺行為を行います。
• ランサムウェアの拡散：偽サイトからマルウェアをダウンロードさせ、システムを乗っ取ることで、身代金を要求するランサムウェア攻撃につなげます。

✅企業と個人ができる予防策

1. URLの慎重な確認

• リンク先の確認：メールやメッセージ内のリンクをクリックする前に、マウスオーバーで実際のURLを確認します。
• HTTPSと証明書情報の確認：HTTPS接続であることを確認し、SSL/TLS証明書の発行先が正規の組織であるかを確認します。

2. ブラウザとソフトウェアの最新化

• ブラウザのアップデート：最新のブラウザでは、ホモグラフ攻撃を検知する機能が強化されています。
• セキュリティソフトの導入：フィッシングサイトの検知やブロック機能を持つセキュリティソフトを利用します。

3. セキュリティ意識の向上

• 教育と訓練：企業は定期的に従業員へのセキュリティ教育を実施し、最新の攻撃手法や対策を共有します。
• 疑わしいメールやリンクへの注意：不審なメールやリンクは開かず、送信元に直接確認を取る習慣をつけます。

✅最新のセキュリティ技術と監視ツールの活用

1. ドメイン監視とブランド保護

• ドメインの類似名登録：企業は自社のドメイン名に似たドメインを先回りして登録し、悪用を防ぎます。
• ドメイン監視サービスの利用：不審なドメインが登録された際に通知を受けるサービスを利用します。

2. DMARC、DKIM、SPFの設定

• メール認証技術の導入：これらの技術を設定することで、なりすましメールの送信を防止します。

3. ブラウザとサーバー側での対策

• Punycode表示の強制：ブラウザ設定で、IDNをPunycode形式で表示するようにします。
• コンテンツセキュリティポリシー（CSP）の設定：サーバー側でCSPを設定し、不正なスクリプトの実行を防ぎます。

✅未知の攻撃にも対応できるセキュリティツールの導入

サイバー攻撃に対処するためには、最新のセキュリティツールの導入が不可欠です。特に、ランサムウェアやゼロデイ攻撃に対しては、従来のウイルス対策ソフトでは不十分であり、AIを活用したEDR（Endpoint Detection and Response）や次世代ファイアウォールの導入が効果的です。これらのツールは、未知の脅威にも迅速に対応でき、攻撃が発生する前にシステムを保護することが可能です。

✅セキュリティについて従業員教育を行う

サイバー攻撃対策を効果的に実行するためには、技術的なツールの導入だけでなく、従業員一人ひとりのセキュリティ意識を高めることも重要です。多くのサイバー攻撃は、従業員の不注意や不正な操作によって引き起こされるケースが少なくありません。特に、フィッシングメールや悪意のあるリンクをクリックしてしまうことによる情報漏えいは防止可能なものです。定期的なセキュリティ研修やシミュレーションを行うことで、従業員が最新の攻撃手法を理解し、適切な対応を取れるようになります。

✅セキュリティ対策のガイドラインを策定する

効果的なセキュリティ対策を実施するためには、企業ごとに具体的なセキュリティガイドラインを策定することが求められます。このガイドラインでは、データの取扱い方法、アクセス権の設定、アプリケーションの使用制限など、業務に関連するセキュリティポリシーを明確に定義します。従業員が守るべきセキュリティ基準を文書化することで、全員が一貫したセキュリティ対策を実施できる環境を構築します。

また、ガイドラインを定期的に見直し、最新のサイバー攻撃手法に対応するために必要な変更を加えることも重要です。企業の業務内容や使用する技術の変化に応じて、適切にセキュリティポリシーを更新することで、サイバー攻撃に対する防御力を維持できます。