あなたの入力ミスを狙う「タイポスクワッティング」

運営者情報
椿

中小企業のIT部門を支援しています。情報収集が得意です。正確な情報を収集することで、根拠のある意思決定や問題解決を促します。

椿をフォローする

Webサイトを開こうとしてブラウザにURLを入力をしたとき、うっかり入力ミスをすることは誰にでも起こり得る。しかしその時、間違ったURLを入力したにも関わらずWebサイトが開くことがある。これは、私たちのうっかりミスを悪用する者から私たちを守るための施策の一つだ。この記事ではその施策について解説する。

1、現象の解説

Amazonを開こうとして「amazon.com」と入力しようとしたところ、「aamazon.com」とうっかり入力し間違えても「amazon.com」を開くことができる。通常、URLは一文字でも間違えていると目的のWebサイトにはアクセスできない。しかし、このようにドメイン名を入力し間違えても正規のページが開くことがある。

これは、誤ったドメインから正規のドメインへ自動的に転送する設定が施されているからだ。自動的にページが切り替わるため、あなたは誤入力に気付かないまま、いつも通り「amazon.com」にアクセスしたように感じられる。

【試してみよう】
以下のURLをブラウザのアドレスバーにコピペして検索してみよう。
aamazon.com
bamazon.com
gooogle.com

2、なぜ自動転送をしているのか

自動転送の設定は誤ったドメインの方に施すため、この設定を行うには誤ったドメインも取得しておく必要がある。例えば、Amazonは「amazon.com」の他に、「aamazon.com」や「bamazon.com」という類似ドメインも有料で取得しているということだ。自動転送費用をかけてまで類似ドメインを取得し自動転送をしているのは、単純にユーザの利便性を高めるためだけではない。私たち利用者を守るためというのが最も大きな目的だ。

私たちがURLを入力し間違えるのは、日常的にしばしば起こり得る。この偶然の出来事を利用し、ユーザを悪意のあるWebサイトに導く「タイポスクワッティング」という攻撃手法がある。

あなたが「amazon.com」にアクセスする際、気付かない内に入力ミスをしてしまい「aamazon.com」にアクセスしてしまったとする。そして、「aamazon.com」は悪意のある者によって本物そっくりなデザインにされていたとしよう。あなたは入力ミスに気付いていないため、本物の「amazon.com」だと錯覚しそのまま商品を購入するのではないだろうか。すると、住所やクレジットカード情報などが盗まてしまう危険性が高い。

このようなタイポスクワッティングを防止するために、企業は悪用されそうな類似ドメインを悪意のある者より先に取得するという対策を取っている。そして、本物のWebサイトに自動転送(リダイレクト)しているのだ。

3、タイポスクワッティングとは

タイポスクワッティングとは
URLハイジャッキングとも呼ばれる形態のサイバースクワッティングで、インターネットユーザーがWebブラウザにURLを入力する際に犯す打ち間違いを利用するものである。ユーザーが誤ったURLを偶然に入力すると、サイバースクワッターが所有する別の場所に導かれる。打ち間違い (タイポ; typo) と占有 (squatting) からの造語。

タイポスクワッティング|フリー百科事典『ウィキペディア(Wikipedia)』

タイポスクワッティングに使われるドメイン
・スペルミスをしたドメイン(amazan.comなど)
・他の単語と組み合わせたドメイン(payment-amazon.comなど)
・同音異義語のドメイン(4ever21.comなど)
・サブドメインと組み合わせたドメイン(payment.amazon.comなど)

タイポスクワッティングサイトの例
フィッシング:偽の通販サイト、会員登録サイト、無料プレゼントサイトなどを作り、クレジットカード情報やメールアドレスを入力させる
ウイルス感染:パソコンにマルウェアなどを送り込む
自動課金詐欺:Netflixなどの偽サイトを作り、定期支払いの契約をさせる
サポート詐欺:Microsoftなどの偽サイトを作り、サポート料金を支払わせる

4、タイポスクワッティングの対策

4、1、Amazonでの対策

類似ドメインを自社で取得し本物の「amazon.com」に自動転送している。以下のドメインは、全て「amazon.com」に自動転送されている。

先頭に余計な文字が入っているドメイン
aamazon.com
bamazon.com
damazon.com
eamazon.com
famazon.com
gamazon.com

同じ文字が連続しているドメイン
aamazon.com
ammazon.com
amaazon.com
amazzon.com
amazoon.com
amazonn.com

4、2、Googleでの対策

Googleは、類似ドメインを取得し悪用していたユーザに対して、法的措置を取ったことがある。

ユーザーのスペルミスに付け込んで「Googkle.com」などのサイトで不正コードがばらまかれていることは以前から指摘されており、Googleは昨年5月、これらドメインの法的権利は自社にあると主張してNAFに調停を申し立てた。

NAFの発表によれば、セルゲイ・グリダソフという人物が2000年から2001年にかけて「googkle.com」「ghoogle.com」「gfoogle.com」「gooigle.com」などのドメインを登録。このドメインを使い、ウイルスやトロイの木馬、スパイウェアなどを仕込んだWebサイトにユーザーを誘導していた。

Googleの商標権に似たアドレスは混乱を引き起こすものであり、同氏の行為はこれを使って利益を上げようとしていたもので不当だとの結論を下した。

「googkle.com」の権利はGoogleにあり――調停機関が認定|ITmediaNEWS

5、自己防衛策

5、1、ドメインの所有者を確かめる

類似ドメインの中には、既に悪意を持った者に取得され、本物そっくりのWebサイトが作られているものもあるかもしれない。また、本物のWebサイトでも季節ごとにデザインを変更したり、一時的なキャンペーンのために特設サイトを作ることもある。Webサイトを見ただけでは、本物のWebサイトか偽物のWebサイトかを判断できないことも多いだろう。本物のWebサイトか知りたいときには、「WHOIS検索」でドメインの所有者を調べるのが確実だ。

以下のサイトでドメインの所有者を調べることができる。
WHOIS検索|TECH-UNLIMiTED

このサイトで「aamazon.com」を調べると、本物のAmazonが所有していることが分かる。

5、2、OS・セキュリティソフトを最新の状態にしておく

OSやセキュリティソフトは定期的にアップデートされている。アップデートの中には、セキュリティ面の弱い部分を強化したり、最新の悪用手法を検出・防御する追加機能が含まれている。アップデートの通知が来たら更新をかけ、OSやセキュリティソフトを最新の状態にするよう心掛けよう。

5、3、公式サイトをブックマークしておく

タイポスクワッティングは、URLを入力する機会がなければ被害に遭う可能性はほとんどない。よく利用するWebサイトや、銀行や通販サイトなど重要な個人情報を登録しているWebサイトはブックマークしておこう。

6、まとめ

タイポスクワッティングは、ユーザのうっかりミスを利用する手法の一つだ。入力ミス自体を防ぐことは難しいため被害に遭遇する機会が多い。古典的な手法であるにも関わらず市場はいまだに広がっている。
特にスマホでは、フリック入力や画面のタッチミスによる入力ミスが起こりやすい。このような攻撃手法があることを知り、URLは直接入力しないようにするなど自己防衛の意識を高めよう。

SOURCE
MS Research、Google「タイプミス」広告業者の存在を指摘|ITmediaNEWS
サイバースクワッティング: 有名サービスのドメインを偽装し消費者を欺くテクニック|paloalto
Amazonの類似ドメイン、TLDドメイン管理にみる、ブランディングや商標戦略を考える