タイポスクワッティング
タイポスクワッティング(typosquatting)とは、インターネットユーザーがウェブブラウザのアドレスバーにURLを入力する際に起こしやすい「打ち間違い(typo)」を利用して、攻撃者が用意した偽のウェブサイトに誘導するサイバー攻撃の手法です。
この手口は「サイバースクワッティング」の一種であり、「URLハイジャッキング」とも呼ばれます。「typo(打ち間違い)」と「squatting(占有)」を組み合わせた造語であり、ユーザーの偶然のミスを悪用して不正な利益を得たり、ユーザーに損害を与えたりすることを目的としています。
タイポスクワッティングの攻撃者は、多くのインターネットユーザーが頻繁にアクセスする有名なウェブサイトを主な標的とします。そして、その正規サイトのURLに似た、ユーザーが入力ミスしやすいドメイン名を事前に多数取得します。
例えば、正規のウェブサイトのドメイン名が「example.com」である場合、攻撃者は以下のような類似ドメインを登録することがあります。
一般的なスペルミス: 「exemple.com」のように、多くの人が間違えやすいスペルを狙ったもの。
タイピングエラー: キーボード上で隣接するキーを間違って押してしまう「xample.com」や、同じキーを二度押してしまう「exxample.com」といった純粋なタイプミスを悪用したもの。
異なる表現: 「examples.com」のように、ドメイン名の単数形と複数形を取り違えるケース。
ユーザーが誤ってこれらの偽ドメインにアクセスしてしまうと、攻撃者の意図に応じて様々な性質のサイトが表示されます。
正規サイトの模倣: 最も一般的なのは、正規のウェブサイトのデザイン、ロゴ、コンテンツなどをそっくり真似た「なりすましサイト」です。これによりユーザーを騙し、ログイン情報やクレジットカード情報といった個人情報を窃取するフィッシング詐欺や、偽の商品・サービスの販売などに悪用されます。時には、正規サイトの競合他社が嫌がらせや妨害目的でこのようなサイトを設置することもあります。
全く異なるコンテンツ: ユーザーが期待する内容とは全く無関係なサイトに誘導されるケースもあります。過去には、子供向けサイトのタイプミスドメインがアダルトサイトへリダイレクトされるといった悪質な事例がありました。
マルウェアの配布: アクセスしたユーザーのコンピュータに、ウイルス、アドウェア、スパイウェアといったマルウェアを自動的にダウンロード・インストールさせようとする、非常に危険なサイトへ誘導される場合もあります。
タイポスクワッティングの被害を防ぎ、あるいは既成の被害に対処するため、様々な対策が講じられています。
法的措置: 被害を受けた企業や組織は、まず攻撃者に対し、不正に取得・利用されているドメイン名の使用中止を求める警告書を送付することがあります。話し合いに応じない場合や悪質なケースでは、訴訟に発展することもあります。商標権などを根拠に、不正ドメインの登録取り消しや移転を求めるためのドメイン名紛争処理方針(UDRPなど)に基づく手続きも利用されます。
ドメインの事前取得: 多くの企業は、自社のブランド保護のため、正規ドメイン名に加えて、ユーザーがタイプミスしやすいと予測される類似ドメイン名を事前に多数取得しています。これらの「おとり」ドメインへのアクセスを正規サイトに自動的にリダイレクトすることで、ユーザーの誤入力を吸収し、タイポスクワッティングを未然に防ぐ効果があります。例えば、大手検索エンジンであるGoogleは、「gooogle.com」や「goolge.com」といったドメインを取得し、全て「google.com」にリダイレクトさせています。著名な人物も同様の対策をとることがあり、俳優で政治家のアーノルド・シュワルツェネッガー氏は、自身の姓のよくあるミススペルドメインを多数所有していると言われています。
ドメインの買い取り: 被害者側が攻撃者から不正ドメインを金銭で買い取るケースも皆無ではありませんが、これは結果として攻撃者の目的を達成させてしまうため、一般的には推奨されない手段です。
個別の攻撃者だけでなく、大規模な組織やサービス提供者が、ユーザーのタイプミスから広範に利益を得ようとする試みも過去に存在しました。これらは「全てを捕まえる」タイポスクワッティングと揶揄されることがあります。
ブラウザや検索エンジンのリダイレクト: かつて、MicrosoftのウェブブラウザであるInternet Explorerには、ユーザーがタイプミスしたURLを自動的にMSN検索へリダイレクトする機能がありました。これは、ユーザーの意図しない挙動として批判を浴びました。
レジストリによる包括的リダイレクト: ドメイン名の管理を担うレジストリであるVeriSignが、「Site Finder」というサービスを開始し、存在しないドメイン名へのアクセスを全て自社サイトにリダイレクトしようとした試みは、インターネットの根幹を揺るがすものとして大きな問題となり、迅速な技術的対応によって停止されました。
ISP向けツール: 一部の企業は、インターネットサービスプロバイダ(ISP)向けに、ユーザーのタイプミスによるアクセスを検出・傍受し、そこから収益を得るためのツールを提供しています。タイプミスされたリクエストは広告サイトなどにリダイレクトされ、クリックに応じた収益がツール提供企業とISPの間で分配されます。
* マルウェアによる強制リダイレクト: 悪意のあるソフトウェアの中には、ユーザーのブラウザやシステム設定を不正に変更し、たとえユーザーが正しいURLを入力した場合でも、特定の偽サイトや広告サイトに強制的にリダイレクトさせるものがあります。これも広義にはタイプミスを悪用する手法の一種と言えるかもしれません。
タイポスクワッティングは、単なるURLの打ち間違いという人間のミスを悪用し、フィッシング、マルウェア感染、風評被害など、様々なサイバー犯罪の入り口となりうる危険な手口です。インターネットを利用する際は、ウェブサイトのURLをよく確認し、疑わしいサイトには安易にアクセスしないといった注意が必要です。同時に、企業やサービス提供者側も、ユーザー保護のためのドメイン管理やシステムのセキュリティ対策を継続的に行うことが求められています。
この手口は「サイバースクワッティング」の一種であり、「URLハイジャッキング」とも呼ばれます。「typo(打ち間違い)」と「squatting(占有)」を組み合わせた造語であり、ユーザーの偶然のミスを悪用して不正な利益を得たり、ユーザーに損害を与えたりすることを目的としています。
攻撃の手法
タイポスクワッティングの攻撃者は、多くのインターネットユーザーが頻繁にアクセスする有名なウェブサイトを主な標的とします。そして、その正規サイトのURLに似た、ユーザーが入力ミスしやすいドメイン名を事前に多数取得します。
例えば、正規のウェブサイトのドメイン名が「example.com」である場合、攻撃者は以下のような類似ドメインを登録することがあります。
一般的なスペルミス: 「exemple.com」のように、多くの人が間違えやすいスペルを狙ったもの。
タイピングエラー: キーボード上で隣接するキーを間違って押してしまう「xample.com」や、同じキーを二度押してしまう「exxample.com」といった純粋なタイプミスを悪用したもの。
異なる表現: 「examples.com」のように、ドメイン名の単数形と複数形を取り違えるケース。
偽サイトの内容
ユーザーが誤ってこれらの偽ドメインにアクセスしてしまうと、攻撃者の意図に応じて様々な性質のサイトが表示されます。
正規サイトの模倣: 最も一般的なのは、正規のウェブサイトのデザイン、ロゴ、コンテンツなどをそっくり真似た「なりすましサイト」です。これによりユーザーを騙し、ログイン情報やクレジットカード情報といった個人情報を窃取するフィッシング詐欺や、偽の商品・サービスの販売などに悪用されます。時には、正規サイトの競合他社が嫌がらせや妨害目的でこのようなサイトを設置することもあります。
全く異なるコンテンツ: ユーザーが期待する内容とは全く無関係なサイトに誘導されるケースもあります。過去には、子供向けサイトのタイプミスドメインがアダルトサイトへリダイレクトされるといった悪質な事例がありました。
マルウェアの配布: アクセスしたユーザーのコンピュータに、ウイルス、アドウェア、スパイウェアといったマルウェアを自動的にダウンロード・インストールさせようとする、非常に危険なサイトへ誘導される場合もあります。
対策と対処法
タイポスクワッティングの被害を防ぎ、あるいは既成の被害に対処するため、様々な対策が講じられています。
法的措置: 被害を受けた企業や組織は、まず攻撃者に対し、不正に取得・利用されているドメイン名の使用中止を求める警告書を送付することがあります。話し合いに応じない場合や悪質なケースでは、訴訟に発展することもあります。商標権などを根拠に、不正ドメインの登録取り消しや移転を求めるためのドメイン名紛争処理方針(UDRPなど)に基づく手続きも利用されます。
ドメインの事前取得: 多くの企業は、自社のブランド保護のため、正規ドメイン名に加えて、ユーザーがタイプミスしやすいと予測される類似ドメイン名を事前に多数取得しています。これらの「おとり」ドメインへのアクセスを正規サイトに自動的にリダイレクトすることで、ユーザーの誤入力を吸収し、タイポスクワッティングを未然に防ぐ効果があります。例えば、大手検索エンジンであるGoogleは、「gooogle.com」や「goolge.com」といったドメインを取得し、全て「google.com」にリダイレクトさせています。著名な人物も同様の対策をとることがあり、俳優で政治家のアーノルド・シュワルツェネッガー氏は、自身の姓のよくあるミススペルドメインを多数所有していると言われています。
ドメインの買い取り: 被害者側が攻撃者から不正ドメインを金銭で買い取るケースも皆無ではありませんが、これは結果として攻撃者の目的を達成させてしまうため、一般的には推奨されない手段です。
広範な悪用の試み
個別の攻撃者だけでなく、大規模な組織やサービス提供者が、ユーザーのタイプミスから広範に利益を得ようとする試みも過去に存在しました。これらは「全てを捕まえる」タイポスクワッティングと揶揄されることがあります。
ブラウザや検索エンジンのリダイレクト: かつて、MicrosoftのウェブブラウザであるInternet Explorerには、ユーザーがタイプミスしたURLを自動的にMSN検索へリダイレクトする機能がありました。これは、ユーザーの意図しない挙動として批判を浴びました。
レジストリによる包括的リダイレクト: ドメイン名の管理を担うレジストリであるVeriSignが、「Site Finder」というサービスを開始し、存在しないドメイン名へのアクセスを全て自社サイトにリダイレクトしようとした試みは、インターネットの根幹を揺るがすものとして大きな問題となり、迅速な技術的対応によって停止されました。
ISP向けツール: 一部の企業は、インターネットサービスプロバイダ(ISP)向けに、ユーザーのタイプミスによるアクセスを検出・傍受し、そこから収益を得るためのツールを提供しています。タイプミスされたリクエストは広告サイトなどにリダイレクトされ、クリックに応じた収益がツール提供企業とISPの間で分配されます。
* マルウェアによる強制リダイレクト: 悪意のあるソフトウェアの中には、ユーザーのブラウザやシステム設定を不正に変更し、たとえユーザーが正しいURLを入力した場合でも、特定の偽サイトや広告サイトに強制的にリダイレクトさせるものがあります。これも広義にはタイプミスを悪用する手法の一種と言えるかもしれません。
タイポスクワッティングは、単なるURLの打ち間違いという人間のミスを悪用し、フィッシング、マルウェア感染、風評被害など、様々なサイバー犯罪の入り口となりうる危険な手口です。インターネットを利用する際は、ウェブサイトのURLをよく確認し、疑わしいサイトには安易にアクセスしないといった注意が必要です。同時に、企業やサービス提供者側も、ユーザー保護のためのドメイン管理やシステムのセキュリティ対策を継続的に行うことが求められています。
もう一度検索
【記事の利用について】
タイトルと記事文章は、記事のあるページにリンクを張っていただければ、無料で利用できます。
※画像は、利用できませんのでご注意ください。
【リンクついて】
リンクフリーです。