ホモグラフ攻撃

この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。 出典を追加して記事の信頼性向上にご協力ください。（このテンプレートの使い方） 出典検索?: "ホモグラフ攻撃" – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL (2021年10月)

この記事は英語版の対応するページを翻訳することにより充実させることができます。（2024年12月） 翻訳前に重要な指示を読むには右にある[表示]をクリックしてください。 英語版記事を日本語へ機械翻訳したバージョン（Google翻訳）。 万が一翻訳の手がかりとして機械翻訳を用いた場合、翻訳者は必ず翻訳元原文を参照して機械翻訳の誤りを訂正し、正確な翻訳にしなければなりません。これが成されていない場合、記事は削除の方針G-3に基づき、削除される可能性があります。 信頼性が低いまたは低品質な文章を翻訳しないでください。もし可能ならば、文章を他言語版記事に示された文献で正しいかどうかを確認してください。 履歴継承を行うため、要約欄に翻訳元となった記事のページ名・版について記述する必要があります。記述方法については、Wikipedia:翻訳のガイドライン#要約欄への記入を参照ください。 翻訳後、{{翻訳告知|en|IDN homograph attack|…}}をノートに追加することもできます。 Wikipedia:翻訳のガイドラインに、より詳細な翻訳の手順・指針についての説明があります。

ホモグラフ攻撃（ホモグラフこうげき、英語: homograph attack）は、URLのホスト名の文字として、真正なサイトに酷似した、異なる文字（ = 見た目の形が紛らわしい文字）を用いて偽装し、偽のサイトに誘導するスプーフィング攻撃の一種で、同形異字語攻撃ともいう。

国際化ドメイン名を使用したホモグラフ攻撃はIDNホモグラフ攻撃 (あいでぃーえぬほもぐらふこうげき)と呼ぶ^[1]と呼ばれる。

ホスト名（ドメイン名）に使用できる文字は、原則としてASCIIコード内のアルファベット・数字^{[注釈 1]}（A - Z、0 - 9）とハイフン(-)、ドット(.)だけであるが、国際化ドメイン名ではUnicodeほかの非ASCII文字をPunycodeによりエンコードして利用できる一方、ブラウザなどのユーザにとってはエンコードされた文字列は通常マスクされ、国際化ドメイン名の表記でそのまま利用できる。

この場合において、例えば ASCII文字 "C" に対し、ギリシア文字、（非ASCIIの）ラテン文字、キリル文字など、それぞれにおいて字体が異なる酷似した文字コードに割り当てられており、IDNホモグラフ攻撃は、アルファベットの大文字・小文字、全角・半角の文字記号など、これらの「見た目の形が紛らわしい文字」を用い、偽サイトのURLに割り当てることで人間の目を欺いて悪用する。

以下に列挙するサイトにアクセスを試みないで下さい。

ASCII文字でのホモグラフ攻撃の一例：

正しいドメイン名

• GOOGLE.COM
• google.com
• microsoft.com
• apple.com

を、偽装したドメイン名の例は以下のようになる。

• G0OGLE.COM（半角数字の 0（ゼロ）を混ぜて偽装している）
• googIe.com（大文字の I（アイ）を混ぜて偽装している）
• rnicrosoft.com（r と n をくっつけ、 m に見えるよう偽装している）
• appie.com（小文字の i（アイ）を混ぜて偽装している）

Unicode下では、主に半角のアルファベット（ラテン文字）と字形が酷似した以下のものなどが悪用される。

• ギリシア文字、
• （非ASCIIの）ラテン文字
• キリル文字
• アルメニア文字
• アブジャド
• チェロキー文字
• ローマ数字^{[注釈 2]}、
• CJK互換用文字
• 囲みCJK文字・月、数学用英数字記号^{[注釈 3]}、アルファベット表示形（英語版）^{[注釈 4]}
• アキュート・アクセント
• その他全角文字（マルチバイト文字）

ほかUnicodeにはゼロ幅スペース、ゼロ幅非接合子や双方向テキストに関する制御コードが定義されているが、これらはおおむね国際化ドメイン名に使用できない。

また、中国語使用者には繁体と簡体の漢字がシノニム的なホモグラフ文字として問題になる。一部のTLDでは、「繁体字表記」と「簡体字表記」の両方を同時にドメイン登録するように要求している場合がある。

以下に列挙するサイトにアクセスを試みないで下さい。

IDNでのホモグラフ攻撃の一例：

正しいドメイン名

• wikipedia.org
• 朝日.com

偽装ドメイン名

• wikipediа.org（キリル文字の а を混ぜて偽装している）
• wíkipedia.org（半角の i（スモールアイ）と酷似した、 í を混ぜて偽装している）
• 朝曰.com（「日」と酷似した、「曰」で偽装している）

1. ^ 肉眼では偽物と見抜けない国際化ドメイン悪用のURL偽装、Google Chromeなどで対策進む 窓の杜 2017年4月21日配信 2021年7月28日閲覧。

• 国際化ドメイン名
• Punycode
• タイポスクワッティング
• Unicode正規化
• ホモグリフ
• 全角と半角
• 大文字と小文字