はじめに
このドキュメントでは、高度なフィッシング攻撃でのホモグリフ文字の使用について説明し、Cisco Eメールセキュリティアプライアンス(ESA)でメッセージフィルタとコンテンツフィルタを使用する際にこれらの文字に気付く方法を説明します。
Homoglyph 高度なフィッシング攻撃
現在の高度なフィッシング攻撃では、フィッシングメールに同義語の文字が含まれていることがあります。 ホモグリフとは、互いにほぼ同一または類似した形状を持つテキスト文字です。 ESAで設定されたメッセージフィルタまたはコンテンツフィルタによってブロックされないURLが、メールのフィッシング詐欺に組み込まれている可能性があります。
ɑ シナリオの例:お客様がwww.pypal.comのURLを含む電子メールをブロックしたい。 これを行うために、www.paypal.comを含むURLを検索する着信コンテンツフィルタが記述されます。 このコンテンツフィルタのアクションは、ドロップして通知するように設定されます。
お客様が次の内容を含む電子メールの例を受信しました。www.ɑpypal.com
設定されたコンテンツフィルタに含まれるもの:www.paypal.com
DNSを介した実際のURLを見ると、それらが異なる方法で解決されていることがわかります。
$ dig www.pɑypal.com
; <<>> DiG 9.8.3-P1 <<>> www.pɑypal.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 37851
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;www.p\201\145ypal.com. IN A
;; AUTHORITY SECTION:
com. 900 IN SOA a.gtld-servers.net. nstld.verisign-grs.com. 1440725118 1800 900 604800 86400
;; Query time: 35 msec
;; SERVER: 64.102.6.247#53(64.102.6.247)
;; WHEN: Thu Aug 27 21:26:00 2015
;; MSG SIZE rcvd: 106
$ dig www.paypal.com
; <<>> DiG 9.8.3-P1 <<>> www.paypal.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51860
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 8, ADDITIONAL: 8
;; QUESTION SECTION:
;www.paypal.com. IN A
;; ANSWER SECTION:
www.paypal.com. 279 IN CNAME www.paypal.com.akadns.net.
www.paypal.com.akadns.net. 9 IN CNAME ppdirect.paypal.com.akadns.net.
ppdirect.paypal.com.akadns.net. 279 IN CNAME wlb.paypal.com.akadns.net.
wlb.paypal.com.akadns.net. 9 IN CNAME www.paypal.com.edgekey.net.
www.paypal.com.edgekey.net. 330 IN CNAME e6166.a.akamaiedge.net.
e6166.a.akamaiedge.net. 20 IN A 184.50.215.128
;; AUTHORITY SECTION:
a.akamaiedge.net. 878 IN NS n5a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n7a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n2a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n0a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n1a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n4a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n6a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n3a.akamaiedge.net.
;; ADDITIONAL SECTION:
n0a.akamaiedge.net. 383 IN A 184.27.45.145
n1a.akamaiedge.net. 3142 IN A 184.51.101.8
n2a.akamaiedge.net. 6697 IN A 88.221.81.194
n3a.akamaiedge.net. 31 IN A 88.221.81.193
n4a.akamaiedge.net. 168 IN A 72.37.164.223
n5a.akamaiedge.net. 968 IN A 184.51.101.70
n6a.akamaiedge.net. 1851 IN A 23.220.148.171
n7a.akamaiedge.net. 3323 IN A 184.51.101.73
;; Query time: 124 msec
;; SERVER: 64.102.6.247#53(64.102.6.247)
;; WHEN: Thu Aug 27 21:33:50 2015
;; MSG SIZE rcvd: 470
最初のURLは、Unicode形式の文字「a」の準記号を使用します。
詳しく見ると、paypalの最初の「a」は2番目の「a」とは実際には異なることがわかります。
メッセージフィルタおよびコンテンツフィルタを使用してURLをブロックする際には、注意が必要です。 ESAは、ホモグリフと標準のアルファベット文字の違いを区別できません。 同性愛型フィッシング攻撃を適切に検出して防止する方法の1つは、OFおよびURLフィルタリングを設定して有効にすることです。
Irongeekは、ホモグリフをテストし、テスト用の悪意のあるURLを作成する方法を提供します。ホモグリフ攻撃ジェネレータ
Irongeek: Out of Character: Use of Punycode and Homoglyph Attacks to Obfuscate URLs for Phishingからも抜粋した同形異義語フィッシング攻撃に関する詳細な概要
フィードバック