2017年、あるセキュリティ研究者が偽のapple.comウェブサイトを作成しました。URLは完全に正しいように見えましたが、その偽装は、登録したドメインに「a」のように見えるUnicode文字が使われていたというものでした。しかし、実際にはキリル文字でした。

ブラウザはこの種の偽造を検出するように更新されましたが、新しいビデオ (下記) が示すように、それは決して簡単なプロセスではありません...

背景

当時、私たちはこれがどのように機能するかを説明し、これを検出できる主要ブラウザは Safari だけである点を指摘しました。

研究者の Xudong Zheng 氏によると、このサイトが使用するトリックは、偽装するサイトの適切な ASCII 文字と同じように見える Unicode 文字を使用することだという。

「xn--pple-43d.com」のようなドメインを登録することは可能ですが、これは「аapple.com」と同等です。一見すると分かりにくいかもしれませんが、「аapple.com」はASCII文字の「a」（U+0061）ではなく、キリル文字の「а」（U+0430）を使用しています。これはホモグラフ攻撃として知られています。

Safariはこれに騙されませんが、Chrome、Firefox、Operaはすべて騙されます。これらのブラウザのいずれかを使ってhttps://www.xn--80ak6aa92e.comにアクセスすれば、このことが分かります（このサイトはZhengが概念実証のために作成したもので、完全に安全です）。SafariではこのURLはここに表示されている通りに表示されますが、他のブラウザでは https://www.apple.comと全く 同じように見えます。

その後、他のブラウザも追いつきましたが、この種のトリックを検出するのは想像以上に困難です。

YouTuberのNoMagicは、URL内でのキリル文字の使用を禁止するなどの明白な解決策が使用できない理由を説明するビデオを作成しました。

一見問題ないように思えるが、実際には混乱を引き起こす可能性のある解決策としては、次のものがあります。

• URL でのキリル文字の禁止
• 混合文字セットの禁止
• 混合文字セットの警告を表示する
• ユーザーが設定した優先言語で使用される文字のみを表示します

このビデオでは、それぞれのアプローチの問題点と、ブラウザが代わりに何を行うかについて説明します。

ナレーターが言うように、これは驚くほど複雑で多層的な解決策を必要とする単純な問題です。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。