IT用語集

ホモグラフ攻撃とは? 10分でわかりやすく解説

水色の背景に六角形が2つあるイラスト 水色の背景に六角形が2つあるイラスト
アイキャッチ
目次

UnsplashTomas Martinezが撮影した写真      

あなたのアカウントが乗っ取られる危険性に、今まで気づいていなかったのではありませんか?この記事では、ホモグラフ攻撃の仕組みと危険性について、10分で要点を押さえながら解説します。読み進めることで、ホモグラフ攻撃が「なぜ見破りにくいのか」を理解し、個人情報やアカウントを守るために「何を確認し、何を習慣化すべきか」を判断できるようになります。

ホモグラフ攻撃とは何か?

ホモグラフ攻撃とは、見た目が似ている文字を利用して、正規のウェブサイトを偽装し、ユーザーをだますサイバー攻撃の一種です。この攻撃では、ドメイン名の文字を酷似させることで、本物のサイトと区別がつきにくくなります。

ポイントは「リンク先のサイトが偽物でも、URLが“それっぽく”見えてしまう」ことです。見た目の違いが小さければ小さいほど、確認が雑になりがちな場面(急いでいるとき、スマホで見ているとき、メールのリンクをそのまま開いたとき)に引っかかりやすくなります。

ホモグラフ攻撃の定義と概要

ホモグラフ攻撃は、異なる文字体系の中から見た目が酷似している文字を選び、正規のドメイン名を模倣することを指します。攻撃者は、ラテン文字、キリル文字、ギリシャ文字など、様々な文字セットを組み合わせて、一見すると本物と区別がつかないドメイン名を作成します。これにより、ユーザーが偽のサイトにアクセスしてしまう可能性が高まるのです。

たとえば(概念としては)「英字のa」と、別の文字体系にある“見た目がaに近い文字”を置き換える、といったイメージです。文字コード上は別物でも、人間の目には似て見えるため、URLをざっと見ただけでは違いに気づきにくくなります。

ホモグラフ攻撃の仕組みと特徴

ホモグラフ攻撃は、以下のような手順で行われます。

  1. 攻撃者は、ターゲットとなる正規のドメイン名を分析し、似た見た目の文字を探します。
  2. 見つけた文字を組み合わせ、偽のドメイン名を作成します。
  3. 偽のドメイン名を使って、フィッシングサイトやマルウェア配布サイトを構築します。
  4. ユーザーに偽のサイトへのリンクを送信し、アクセスを誘導します。

ホモグラフ攻撃の特徴は、ドメイン名の視覚的な類似性を利用して、ユーザーの警戒心を緩ませる点にあります。多くのユーザーは、URLを注意深く確認せずにリンクをクリックする傾向があるため、この攻撃に引っかかりやすいのです。

さらに厄介なのは、「攻撃が成立する条件」がとても日常的なことです。たとえば、次のような状況は珍しくありません。

  • メールやチャットのリンクを、差出人や本文の雰囲気だけで信用して開く
  • 検索結果の上位に出てきた“それっぽいURL”を、細部まで見ずに開く
  • スマホでURLバーが省略表示され、ドメイン全体を見ないまま操作する

ホモグラフ攻撃は、こうした「確認の手間を省きたい心理」や「慣れ」を利用して、被害につなげます。

ホモグラフ攻撃が行われる理由と狙い

ホモグラフ攻撃の主な目的は、以下の通りです。

  • 個人情報の盗み取り(フィッシング詐欺)
  • マルウェアの配布と感染拡大
  • 正規サイトの信用低下と混乱の誘発
  • オンライン取引における金銭的利益の獲得

攻撃者は、ユーザーの信頼を悪用し、機密情報を盗んだり、不正な活動を行ったりします。ホモグラフ攻撃は、比較的容易に実行でき、多くのユーザーを欺くことができるため、サイバー犯罪者にとって“使い勝手がよい”手法になりやすいのです。

なお、ホモグラフ攻撃そのものは「偽ドメインを作る」行為ですが、実際の被害はその先で起きます。具体的には、偽サイトでログインさせる、支払い情報を入力させる、添付ファイルをダウンロードさせるなど、別の手口(フィッシング、マルウェア感染、詐欺)と組み合わせて“成果”を取りに来るのが典型です。

ホモグラフ攻撃の歴史と変遷

ホモグラフ攻撃の概念は、インターネットの国際化が進む中で、2000年代初頭から問題として知られるようになりました。当初は、主にラテン文字とキリル文字の組み合わせが使われていましたが、その後、他の文字体系も悪用されるようになりました。攻撃手法も年々巧妙化しており、ユーザーをだますためのソーシャルエンジニアリング技術も取り入れられています。

近年では、IDNホモグラフ攻撃と呼ばれる、国際化ドメイン名(IDN)を悪用した手法も登場しました。これは、各国固有の文字を利用してドメイン名を偽装する攻撃です。ホモグラフ攻撃は、技術の進歩とともに進化を続けており、今後も手口の変化が起こり得ます。

ホモグラフ攻撃から身を守るためには、URLを注意深く確認し、怪しいリンクはクリックしないことが重要です。また、企業においては、従業員への教育・啓発活動や、セキュリティ対策の強化が推奨されます。ホモグラフ攻撃は見破りにくい脅威ですが、適切な対策を組み合わせることで、被害を未然に防げる可能性は高まります。

ホモグラフ攻撃が「見破りにくい」具体的な理由

「URLを見れば分かる」と言われがちですが、現実にはそう簡単ではありません。見破りにくさには、いくつか理由があります。

  • 視覚的に同一に近い:文字の形が似ているほど、注意深く見ない限り気づけません。
  • 表示の省略:スマホや一部ブラウザでは、アドレスバー表示が省略され、ドメイン全体を確認しづらいことがあります。
  • 文脈で信用してしまう:メールやメッセージの文章・ロゴ・デザインが本物に似ていると、「URL確認」を飛ばしてしまいがちです。
  • HTTPS=安全、という誤解:鍵マーク(HTTPS)は通信の暗号化を示すもので、サイトの“正当性”を保証するものではありません。

このため、「URLを見ればOK」ではなく、「URLを見る“コツ”」と「事故りにくい習慣」をセットで持つことが現実的です。

ホモグラフ攻撃による被害と影響

以下では、ホモグラフ攻撃がもたらす主な影響について解説します。

フィッシングサイトへの誘導とパスワード流出

ホモグラフ攻撃の最も一般的な目的は、ユーザーをフィッシングサイトに誘導することです。攻撃者は、正規のサイトに似せた偽のログインページを作成し、ユーザーにIDとパスワードの入力を求めます。不注意にも情報を入力してしまったユーザーは、重要なアカウント情報を攻撃者に渡してしまう危険性があります。流出したパスワードは、他のサービスでも不正に利用される可能性が高く、二次被害につながるおそれがあります。

特に注意したいのは、パスワードの使い回しです。1つのアカウントが突破されると、同じメールアドレスとパスワードの組み合わせが他サービスにも試され、被害が広がることがあります。また、業務アカウントの場合は、個人の被害に留まらず、社内システムへの不正アクセスや情報漏えいに波及する可能性もあります。

偽サイトでの個人情報の不正取得

フィッシングサイトでは、パスワードだけでなく、氏名、住所、電話番号、クレジットカード情報など、様々な個人情報を狙われます。攻撃者は、これらの情報を不正に収集し、なりすまし犯罪や金銭的な詐欺に利用する可能性があります。個人情報の流出は、プライバシーの侵害だけでなく、経済的な損失につながる深刻な問題です。

加えて、流出情報は“単発の詐欺”で終わらないことがあります。たとえば、流出した氏名や電話番号、勤務先などが別の情報と突き合わされ、より精巧な標的型メールや電話(ビッシング)に使われるなど、後から被害が増えるケースもあり得ます。

偽サイトでのマルウェア感染

ホモグラフ攻撃で作成された偽のサイトには、マルウェアが仕込まれている場合があります。ユーザーが偽サイトを閲覧したり、そこからファイルをダウンロードしたりすると、知らないうちにマルウェアに感染してしまう危険性があります。マルウェアに感染したデバイスは、攻撃者の遠隔操作により、データの窃取や破壊、他の機器への攻撃などに利用される可能性があります。

「請求書」「配送通知」「アカウント確認」など、もっともらしい名目でファイルをダウンロードさせる手口はよく見られます。ダウンロードしたファイルが実行形式でなくても、マクロ付き文書やスクリプトなど、実行の入口は複数あります。リンク先が“正規っぽい”だけで信用しないことが重要です。

ブランドイメージの低下と風評被害

ホモグラフ攻撃は、企業のブランドイメージにも大きな影響を与えます。偽のサイトが実在の企業を装ってユーザーを欺いた場合、その企業の信頼性が損なわれ、風評被害が発生する可能性があります。また、偽サイトでの個人情報流出や詐欺行為が発覚した場合、企業は法的責任を問われる可能性もあります。ブランドイメージの低下は、顧客離れや売上の減少につながり、企業の存続を脅かす深刻な問題となり得ます。

実務面では、問い合わせ対応・注意喚起・調査・関係部署連携など、直接の被害がなくてもコストが発生します。また、採用や取引先との信頼にも影響し得るため、企業側は「偽装されにくい設計」と「されても被害を最小化する運用」を両輪で考える必要があります。

以上のように、ホモグラフ攻撃は多岐にわたる被害をもたらす危険性があります。個人情報の流出、マルウェア感染、ブランドイメージの低下など、その影響は個人と企業の両方に及びます。ホモグラフ攻撃から身を守るためには、URLを注意深く確認し、怪しいサイトにアクセスしないよう心がけることが重要です。

ホモグラフ攻撃の対策と防止策

以下では、ホモグラフ攻撃を防止するための主要な方策について解説いたします。

視覚的に類似した文字の使用制限

ホモグラフ攻撃を防ぐ上で重要なのは、ドメイン名登録時に視覚的に紛らわしい文字の使用を制限することです。各レジストラやドメイン管理団体は、混同を招くような文字の組み合わせを禁止したり、特定の文字セットのみを許可したりするなどの対策を講じることが推奨されます。これにより、悪意のある人物が偽のドメイン名を登録することを防ぐことが可能になります。

ただし、利用者側が「登録時のルール」を直接コントロールするのは難しいのが現実です。そのため、企業・組織の立場では、ルールに期待し切るのではなく、次の「監視」「周知」「技術対策」と組み合わせて、多層で対策を組むことが重要です。

登録ドメインの厳格な審査とチェック体制

ドメイン登録時の審査を厳格化し、不正な登録を未然に防ぐことも重要です。レジストラは、登録されたドメイン名が既存の企業や組織の名称と酷似していないか、注意深くチェックする必要があります。また、定期的にドメイン名のモニタリングを行い、不正な登録がないかを監視することも推奨されます。こうした取り組みにより、ホモグラフ攻撃に悪用されるドメイン名の登録を防ぐことができるでしょう。

企業側の現実的な運用としては、「自社名・ブランド名に似たドメインが登録されていないか」を継続的に監視し、発見時に注意喚起や削除申立て等の対応を検討できる状態にしておくことが重要です。さらに、公式サイト上で「正規ドメインの一覧」や「公式リンクの導線(ブックマーク推奨)」を明示することも、被害を抑える手当になります。

利用者への注意喚起と啓発活動

ホモグラフ攻撃を防ぐためには、利用者自身がこの脅威について理解し、適切な対策を講じることが重要です。企業は、従業員に対してホモグラフ攻撃の仕組みと危険性を説明し、URLを注意深く確認する習慣を身につけるよう指導することが推奨されます。また、一般のインターネットユーザーに向けても、ホモグラフ攻撃に関する情報提供や注意喚起を行うことが望ましいでしょう。利用者の意識を高めることで、被害の拡大を防ぐことができるでしょう。

注意喚起は「気をつけて」だけでは定着しません。具体的には、次のように“チェック観点を固定化”すると運用しやすくなります。

  • ログインや決済の前は、URLのドメイン部分(例:example.com)を必ず確認する
  • メールやSMSのリンクからログインしない(公式サイトを開いてからログインする)
  • 不自然な日本語、急かす文面(期限・停止・違反など)がある場合は、一度止まる

個人でも企業でも、「やらないルール」を決めた方が事故が減りやすいのが実情です。

セキュリティ対策ソフトやブラウザ機能の活用

セキュリティ対策ソフトやウェブブラウザの機能を活用することも、ホモグラフ攻撃対策として有効です。アンチフィッシング機能を備えたセキュリティソフトは、偽のサイトへのアクセスを検知し、警告を表示してくれます。また、最新のウェブブラウザには、IDNホモグラフ攻撃を検出し、危険性の高いサイトへのアクセスをブロックする機能が搭載されています。これらのツールを適切に使用することで、ホモグラフ攻撃のリスクを大幅に低減できるでしょう。

加えて、次のような「事故りにくい道具」を併用するのも有効です。

  • パスワードマネージャー:正規ドメインでないと自動入力が働かないことが多く、偽サイトに気づくきっかけになります。
  • 多要素認証(MFA):万一パスワードが漏れても、追加要素があることで突破されにくくなります。
  • DNSフィルタリング/Webフィルタ(企業向け):不審ドメインへのアクセスを組織的に抑止できます。

なお、これらの対策も万能ではありませんが、「単発の確認ミス」を“即・致命傷”にしないための安全網として機能します。

見破るための実務的チェックポイント

最後に、個人・企業を問わず使える確認のコツをまとめます。ホモグラフ攻撃は目視だけで完全に防ぐのが難しいため、「確認」+「習慣」の二段構えが現実的です。

  • ドメイン部分だけを抜き出して見る:URL全体ではなく、ドメイン(例:example.com)に集中すると違和感に気づきやすくなります。
  • ブックマーク経由で開く:ログインが必要なサービスは、検索やメールリンクではなくブックマークからアクセスするのが安全です。
  • ログイン要求が急な場合は一度停止:突然ログインを求められる、期限で脅す、アカウント停止を匂わせる場合は疑ってかかるべきです。
  • 社内・家族内で共有ルールを作る:とくに業務アカウントは、個人の注意力任せにしない運用が重要です。

ホモグラフ攻撃は巧妙な手口で、見破ることが難しい脅威ですが、上記のような対策を組み合わせることで、効果的に防御することができます。ドメイン名登録の段階での規制、利用者への啓発活動、セキュリティツールの活用など、多角的なアプローチが求められます。

まとめ

ホモグラフ攻撃は、見た目が似ている文字を巧妙に組み合わせて正規のウェブサイトを偽装し、ユーザーをだまして個人情報を盗み取ったりマルウェアに感染させたりする悪質な攻撃手法です。この脅威から身を守るためには、URLを注意深く確認し、怪しいサイトにアクセスしないことが重要です。企業においては、類似ドメインの監視、社内セキュリティの強化、インシデント対応体制の整備など、多角的な対策を講じることが求められます。ホモグラフ攻撃は巧妙化する一方ですが、適切な対策を講じることで、被害を未然に防ぐ可能性を高められます。

Q.ホモグラフ攻撃とは何ですか?

見た目が似た文字を使ってドメイン名を偽装し、偽サイトへ誘導する攻撃です。

Q.フィッシング詐欺との違いは何ですか?

ホモグラフ攻撃はURL(ドメイン)の見た目を偽装する点が特徴で、フィッシングの入口として使われます。

Q.HTTPS(鍵マーク)なら安全ですか?

安全とは限りません。HTTPSは通信の暗号化であり、サイトが正規かどうかを保証しません。

Q.スマホで特に注意が必要なのはなぜですか?

画面が小さくURLが省略表示されやすいため、ドメインの違いに気づきにくいからです。

Q.IDNホモグラフ攻撃とは何ですか?

国際化ドメイン名(IDN)を悪用し、各国の文字でドメインを偽装するホモグラフ攻撃です。

Q.個人ができる一番現実的な対策は何ですか?

ログインはブックマーク経由にし、メールやSMSのリンクから直接ログインしないことです。

Q.パスワードマネージャーは対策になりますか?

有効です。正規ドメインでないと自動入力されないことが多く、偽サイトに気づく助けになります。

Q.多要素認証(MFA)はどれくらい有効ですか?

有効です。パスワードが漏れても追加要素が必要になり、不正ログインを防ぎやすくなります。

Q.企業側で優先すべき対策は何ですか?

類似ドメインの監視、従業員教育、Web/DNSフィルタなどの技術対策を組み合わせることです。

Q.完全に防ぐ方法はありますか?

完全防止は困難です。確認の習慣化と多層防御で被害確率と影響を下げるのが現実的です。

記事を書いた人

ソリトンシステムズ・マーケティングチーム

申込受付中 イベント&セミナー 医療情報セキュリティ GIGAスクールも校務DXもソリトンでまとめて解決 2025年度 セキュリティ実態調査

ピックアップ Pick up

Pick up一覧

タグ Tag

金融 流通・小売 医療 エネルギー 運輸 サービス 情報通信 中央省庁・独法 自治体・地方公共団体 教育・文教 認証 エンドポイント ネットワーク ゼロトラスト 販売店インタビュー メーカーインタビュー セミナーレポート 展示会・フェアレポート サイバーセキュリティ リモートアクセス テレワーク 社内LAN 無線LAN プロダクト検証 サプリカント設定 技術解説記事 調査報告 Windows iOS macOS Android ChromeOS DHCP/DNS Soliton OneGate NetAttest EPS NetAttest D3 SmartOn ID InfoTrace 360 Soliton SecureBrowser Soliton SecureDesktop WrappingBox FileZen S VVAULT コラム 調査レポート目次 Soliton SecureWorkspace HiQZen 外部リンク VVAULT AUDIT サイバー攻撃 SASE
強固な認証で企業ネットワークを安全に 止まらないネットワークを実現する SSW 1/10程度のコストで実現 ゼロトラストを実現するIDaaS

関連記事

Related Article