IT用語集 2024/11/13

ホモグラフ攻撃とは？ 10分でわかりやすく解説

コラム

ホモグラフ攻撃は、見た目が似ている文字を使って正規サイトのドメイン名に見せかけ、利用者を偽サイトへ誘導するサイバー攻撃です。被害は、ID・パスワードの窃取、決済情報の入力誘導、マルウェア感染、企業ブランドのなりすましに及びます。対策の中心は、URLの見た目だけに頼らず、正規ドメインの確認手順、ブラウザやフィルタリング機能、パスワードマネージャー、多要素認証を組み合わせることです。

ホモグラフ攻撃とは何か

ホモグラフ攻撃とは、文字の形が似ている別の文字を使い、正規のドメイン名と視覚的に似たドメインを作る攻撃です。たとえば、ラテン文字、キリル文字、ギリシャ文字などには、別の文字コードでありながら人間の目には似て見える文字があります。攻撃者はこうした文字を使い、正規サイトに似たドメイン名を登録して、偽のログイン画面や決済画面へ誘導します。

この攻撃の本質は、通信内容の改ざんではなく、「利用者が見ているドメインの認識」を誤らせる点にあります。URL全体を読むのではなく、ロゴ、文面、画面デザイン、鍵マーク、検索結果の順位などをまとめて信用してしまう場面で成立しやすくなります。

フィッシング詐欺やタイポスクワッティングとの違い

ホモグラフ攻撃は、フィッシング詐欺で使われる偽装手段の一つです。フィッシング詐欺は偽メール、偽SMS、偽サイトなどで認証情報や個人情報を入力させる広い手口を指します。一方、ホモグラフ攻撃は、その中でも「ドメイン名の文字の見た目」を悪用する点に特徴があります。

タイポスクワッティングは、利用者の入力ミスを狙って、正規ドメインに似た綴りのドメインを用意する手口です。ホモグラフ攻撃は、綴りの違いよりも文字の形の類似性を利用します。どちらも偽サイトへの誘導に使われますが、見破り方は同じではありません。入力ミス対策だけでは、文字体系をまたいだ偽装には対応しきれません。

ホモグラフ攻撃の仕組み

国際化ドメイン名とPunycodeが関係する

国際化ドメイン名（IDN）は、英数字だけでなく各国の文字をドメイン名として扱うための仕組みです。IDNは多言語のインターネット利用を支える一方で、見た目が近い文字を使った偽装にも悪用されます。ブラウザやレジストリは一定の制御を行いますが、表示ルールや登録ルールは環境によって異なるため、「IDNなら必ず危険」「ブラウザが必ず防ぐ」とは言えません。

Punycodeは、IDNをDNSで扱える英数字形式へ変換する表記です。ブラウザによっては、紛らわしいIDNをそのまま表示せず、xn--で始まるPunycode形式で表示する場合があります。ただし、メール本文、チャット、短縮URL、検索結果の見え方まで一律に守られるわけではありません。

攻撃の流れ

攻撃者が、狙う企業名・サービス名・ログインページの正規ドメインを選ぶ。
正規ドメインに含まれる文字と似た文字を探し、視覚的に近い偽ドメインを作る。
偽ドメイン上にログイン画面、決済画面、配布ページなどを用意する。
メール、SMS、広告、SNS、検索結果などから利用者を偽サイトへ誘導する。
入力されたID・パスワード、決済情報、個人情報を取得する。場合によってはファイルのダウンロードやマルウェア感染につなげる。

攻撃は、ドメイン偽装だけで完結しません。実際には、ソーシャルエンジニアリング、偽ログイン画面、緊急性をあおる文面、正規サイトに似せたデザインと組み合わされます。文字だけでなく、状況全体で信用させる点が厄介です。

見破りにくい理由

文字が同一に近く見える：フォントや画面サイズによって、別の文字でも同じ形に見えることがあります。
スマートフォンではURLが省略されやすい：画面幅が狭く、ドメイン全体を確認しないまま操作しがちです。
HTTPSを過信しやすい：HTTPSは通信経路の暗号化を示しますが、サイト運営者が正規の企業であることまでは保証しません。
文脈で信用してしまう：差出人名、ロゴ、件名、画面デザインが整っていると、URL確認を省略しやすくなります。
短縮URLや転送でドメインが見えにくい：最終的な遷移先を確認しないまま開くと、偽サイトに気づく機会が減ります。

「URLを見る」だけでは不十分です。確認する対象を、URL全体ではなく登録ドメイン部分に絞る必要があります。たとえば login.example.com であれば、確認すべき中心は example.com です。サブドメインやパスが長いURLでは、正規ドメインに見える単語が途中に混ざっていても、登録ドメインが別物であれば信用できません。

ホモグラフ攻撃による被害

アカウント情報の窃取

最も多い被害は、偽のログイン画面にID・パスワードを入力してしまうケースです。取得された認証情報は、同じサービスへの不正ログインだけでなく、他サービスへのログイン試行にも使われます。パスワードを使い回している場合、個人アカウントから業務アカウントまで被害が連鎖するおそれがあります。

業務アカウントが悪用されると、社内システムへの不正アクセス、取引先へのなりすましメール、ファイル共有サービスからの情報漏えいにつながります。個人の確認ミスで終わらず、組織全体のインシデントに発展する可能性があります。

個人情報と決済情報の不正取得

偽サイトでは、氏名、住所、電話番号、勤務先、クレジットカード情報、本人確認書類の画像などが狙われます。流出した情報は、なりすまし、カード不正利用、標的型メール、電話による詐欺に再利用されます。被害は入力直後に表面化するとは限らず、時間を置いて別の攻撃に転用される場合があります。

マルウェア感染

偽サイトは、認証情報を盗むだけでなく、ファイルをダウンロードさせるためにも使われます。「請求書」「配送通知」「アカウント確認」「セキュリティ更新」などの名目でファイルを開かせ、マルウェア感染へ誘導する手口があります。実行形式ファイルに限らず、マクロ付き文書やスクリプトが使われる場合もあります。

企業のブランドなりすまし

企業名やサービス名に似た偽ドメインが使われると、顧客や取引先が正規サイトと誤認します。直接の侵害が企業側で起きていなくても、問い合わせ対応、注意喚起、調査、削除申立て、関係部署との連携が発生します。放置すると、顧客の不信、取引先への影響、採用活動への悪影響にもつながります。

個人が実施できる対策

ログインはブックマークや公式アプリから行う

ログインや決済が必要なサービスは、メールやSMSのリンクから直接開かず、登録済みのブックマーク、公式アプリ、公式サイト内の導線からアクセスしてください。ホモグラフ攻撃では、リンク本文や表示名が正規に見えても、遷移先のドメインが別物である場合があります。

ドメイン部分を確認する

URLを確認するときは、長い文字列全体ではなく、登録ドメイン部分を見ます。https://secure.example.com/login なら example.com が中心です。example.com.fake-site.example のように、正規サービス名が途中に入っていても、登録ドメインが別であれば信用できません。

見慣れない文字、余計なハイフン、不自然な綴り、xn--で始まる表記、短縮URLを見た場合は、ログインや決済を止め、公式サイトから入り直してください。

パスワードマネージャーを使う

パスワードマネージャーは、正規ドメインに対して保存済みのID・パスワードを自動入力します。偽ドメインでは自動入力されないことが多いため、利用者が違和感に気づく補助線になります。手入力で無理に進めず、自動入力されない理由を確認する習慣を持つと、被害を避けやすくなります。

多要素認証を設定する

多要素認証は、パスワードが漏れた場合の被害を抑えるための手段です。ただし、すべての方式が同じ強度ではありません。SMS認証やワンタイムパスワードは、パスワードだけの場合より安全性を高めますが、偽サイトに入力させる手口に巻き込まれる可能性があります。業務アカウントでは、条件に応じてFIDO2など耐フィッシング性の高い方式も検討対象になります。

企業・組織が実施すべき対策

類似ドメインを監視する

企業は、自社名、サービス名、製品名、略称に似たドメインが登録されていないかを継続的に監視します。発見時の対応として、注意喚起、レジストラへの申立て、ブランド保護サービスの利用、関係部署への連絡手順を用意しておくと、初動対応が遅れにくくなります。

正規ドメインの案内を固定する

公式サイト、サポートページ、メール署名、ヘルプセンターに、正規ドメインと公式連絡手段を明記します。利用者が「どれが公式か」を確認できる場所を用意しておくことで、偽サイトを見つけたときの判断がしやすくなります。

従業員教育をチェックリスト化する

教育は「怪しいリンクに注意」だけでは不十分です。ログイン前に登録ドメインを見る、メールリンクから管理画面に入らない、請求・アカウント停止・期限超過を理由に急がせる文面では公式導線から確認する、といった具体的な行動に分解してください。

URLフィルタリングやDNSフィルタリングを使う

企業環境では、URLフィルタリングやDNSフィルタリングにより、不審なドメインへのアクセスを制御できます。端末側の注意力だけに依存せず、組織全体で危険な遷移先を遮断する設計が必要です。加えて、メールセキュリティ、ブラウザ管理、EDR、ログ監視と組み合わせることで、誘導、アクセス、入力、侵害後の挙動を段階的に検知しやすくなります。

よくある誤解

HTTPSなら正規サイトとは限らない

HTTPSは、利用者とサイト間の通信を暗号化し、通信経路上での盗聴や改ざんを防ぐための仕組みです。しかし、HTTPSで表示されることは、そのサイトが本物の企業・サービスによって運営されていることの証明ではありません。攻撃者が用意した偽サイトでも、証明書を取得してHTTPS表示にすることは可能です。

ブラウザが必ず防ぐとは限らない

主要ブラウザは、紛らわしいIDNの表示や危険なサイトへのアクセスに対して一定の保護機能を備えています。ただし、すべての偽ドメインを確実に検出できるわけではありません。メール本文、SNS、短縮URL、転送ページ、業務チャットなど、ブラウザの表示に到達する前の段階で利用者が信用してしまう場面もあります。

目視確認だけでは限界がある

ホモグラフ攻撃は、人間の視覚の弱点を使います。小さな画面、似たフォント、長いURL、急がせる文面が重なると、注意していても見落としが起きます。目視確認は必要ですが、それだけに依存せず、ブックマーク、パスワードマネージャー、多要素認証、フィルタリングを併用してください。

参考資料

まとめ

ホモグラフ攻撃は、正規サイトに似たドメイン名を使い、利用者の認識を誤らせる攻撃です。見破るには、URL全体の雰囲気ではなく登録ドメイン部分を確認し、ログインや決済は公式導線から行う必要があります。個人はブックマーク、パスワードマネージャー、多要素認証を併用し、企業は類似ドメイン監視、正規ドメインの周知、従業員教育、URL/DNSフィルタリングを組み合わせてください。対策を一つに絞るより、誤認、入力、侵害後の悪用をそれぞれ抑える設計が被害の縮小につながります。