無料会員登録
タイポスクワッティングは、URLの入力ミスや打ち間違いを狙う攻撃手法です。昔からある攻撃手法ですが、現在でも利用されている攻撃手法の一つとなります。「URLの入力ミス・打ち間違い程度で危険性があるのか?」と疑問を持つ人もいるかも知れません。しかし、タイポスクワッティングを足がかりとし、さまざまな攻撃へと繋げることが可能であり、危険な攻撃手法であると言えます。
今回は、タイポスクワッティングの概要から仕組みを解説し、危険性と対策方法まで解説していきます。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
タイポスクワッティングとは
タイポスクワッティングは、ユーザーのURLの入力ミスや打ち間違いを利用し、攻撃者が用意したWebサイトへと不正に誘導する手法です。タイポスクワッティングの語源は、入力ミス・打ち間違いを意味する「タイポ(Typo)」と「占有する(Squatting)」から名付けられました。他にも「URLハイジャック」と呼ばれることもあります。
タイポスクワッティングは、2000年代前半から存在しているものですが、現在でも利用されている攻撃手法です。アメリカのサイバー犯罪に詳しいジャーナリスト「ブライアン・クレブス」の調査によると、2018年の1月から3月までの間に1,200万件以上のタイポスクワッティングサイトへのアクセスが確認されました。
タイポスクワッティングを足がかりとし、Macユーザーに迷惑アプリをダウンロードさせる攻撃なども2018年に発見されています。
参照Dot-cm Typosquatting Sites Visited 12M Times So Far in 2018(Krebs on Security)
タイポスクワッティングの仕組み
タイポスクワッティングの仕組みは非常に簡単です。しかし、私たちが普段してしまいがちなミスを狙ったものであり、非常に効果が高い攻撃手法となっています。タイポスクワッティングの仕組みについて、詳しく見ていきましょう。
偽のURLで待ち構える
タイポスクワッティングは、URLの入力ミス・打ち間違いを狙ったものです。そのため、有名なサイトに似せた偽のドメインを取得し、私たちのアクセスを待ち構えています。
たとえば、「cybersecurity-jp.com」という正規のドメインに対し、以下のような偽のURLを用意して待ち構えます。
- cybersecurity-jp.cm(トップレベルドメインの変更)
- cybersecuirty-jp.com(単語の打ち間違いを狙う)
- cyber–security-jp.com(文字を追加する)
本来は、URLの入力ミス・打ち間違いをした場合、サイトが存在しないためHTTPのエラーコードが返されます。しかし、ユーザーが間違えがちなドメインを取得することで、攻撃者のサイトへとアクセスさせるのです。
攻撃者のWebサイトへリダイレクトする
偽のURLでアクセスした先では、広告を表示したり、ポルノサイトを表示したりします。あわせて、偽のURLを踏み台とした、攻撃者が用意する別のWebサイトへとリダイレクトすることもあるのです。
本来であれば、検索でも表示されず、アクセスするルートがないサイトであっても、タイポスクワッティングの手法を使って、任意のサイトへとリダイレクトすることが可能となります。
タイポスクワッティングの危険性
タイポスクワッティングによって、私たちはどのような不利益を被るのでしょうか。タイポスクワッティングの危険性について解説します。
マルウェアに感染してしまう
偽のURLでアクセスしたサイトでユーザーの危機感を煽り、マルウェアをインストールさせようとするサイトも存在します。あなたのパソコンやスマホのセキュリティが十分でない場合、アクセスするだけでマルウェアに感染してしまう可能性あるのです。
マルウェアの感染以外にも、フィッシング詐欺に遭ったり、ワンクリック詐欺に遭ったりする可能性も考えられます。
情報が漏洩してしまう
マルウェアのなかには、あなたの情報を盗む「スパイウェア」も紛れ込んでいます。スパイウェアは、あなたに気付かれないように、パソコンなどの情報端末からあなたの情報を盗み、攻撃者へ送信するソフトウェアです。
タイポスクワッティングによってアクセスしたサイトでスパイウェアに感染すると、あなたの個人情報やSNS、オンラインバンキングのログインIDやパスワードが盗まれてしまう可能性があります。
金銭が奪われてしまう
スパイウェアに感染した場合、個人情報やオンラインバンキングのログインIDやパスワードが盗まれる可能性があることをお話ししました。盗まれた情報を悪用されれば、金銭が奪われてしまう可能性もあるのです。
スパイウェア以外にも、ポルノサイトやワンクリック詐欺サイトへの誘導など、金銭を奪おうとするタイポスクワッティングサイトは存在しています。マルウェアの一種でもある、パソコンやスマホ内のデータを暗号化して身代金を要求する「ランサムウェア」への感染も考えられるため、注意しなければなりません。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
タイポスクワッティングの対策
タイポスクワッティングの仕組みは簡単であることから、対策も簡単に行なえます。日頃から注意していれば防げるものですので、次に挙げる対策方法を試してみてください。
ドメインを確認する(入力は正確に)
URLの入力ミス・打ち間違いが始まりですので、直接URLを入力する際には、入力したドメインに誤りがないかしっかりと確認しましょう。正確に正しいURLを入力すれば、タイポスクワッティングの被害に遭うことはありません
ブックマーク機能を使う
URLの入力に気をつけていても、ミスはしてしまうものですよね。そもそもURLを直接入力しない、ということも、タイポスクワッティングの対策になります。よく利用するサイトは、ブックマーク機能を使ってお気に入りとして管理すると良いでしょう。
想定外のページが表示されたら閉じる
タイポスクワッティングで気をつけなければならないことは、攻撃者のサイトに誘導されて、騙されてしまうことです。あなたの危機感を煽るようなページを表示したり、正規のソフトウェアを装ってファイルをダウンロードさせたりすることが該当します。
そのようなサイトの多くは、もともとアクセスしようとしていたサイトとは異なります。想定外のページが表示されたら、慌てずにサイトから立ち去りましょう。
OSやソフトウェアを最新の状態にしておく
OSやソフトウェアは、リリースされてからも定期的にアップデートされています。アップデートのなかには、セキュリティへの対策が含まれていることが多いものです。OSやソフトウェアのセキュリティ的に弱いところ(ぜい弱性)を放置していると、攻撃者によって悪用されてしまいます。タイポスクワッティングで誘導される不正なWebサイトにおいても、例外ではありません。
OSやソフトウェアのアップデート通知が来た際は、すぐにアップデートすることを心がけましょう。
セキュリティ対策ソフトを導入する
セキュリティ対策ソフトを導入することも重要です。お話ししたとおり、タイポスクワッティングでは、不正なサイトへのリダイレクトや、マルウェアをダウンロードさせる、といった攻撃が行われる可能性があります。
セキュリティ対策ソフトは、不正なサイトをブロックする機能や、マルウェアを検出・駆除する機能があるため、タイポスクワッティングの対策としても有効です。
まとめ
タイポスクワッティングは、URLの入力ミス・打ち間違いを狙う攻撃手法です。昔からある攻撃手法ですが、タイポスクワッティングを足がかりとして、新しい攻撃に使われることもある危険な攻撃手法となっています。
URLの入力ミス・打ち間違いを防ぐために、入力に気をつけるだけでなく、ブックマーク機能を使ったり、セキュリティ対策ソフトを導入したりすることが有効です。誰もが被害に遭う可能性がある攻撃手法ですので、あなたもいま一度対策を考えてみてはいかがでしょうか。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
関連コラム(あわせて、以下の記事もよく読まれています)
フラグメントキャッシュ攻撃とは?仕組みや危険性、対策について徹底解説
DNS水責め攻撃(ランダムサブドメイン攻撃)とは?仕組みや危険性、対策について徹底解説
ワイパー型マルウェアとは?攻撃の仕組みや特徴、対策について徹底解説
アグリゲーション攻撃とは?仕組みと危険性、対策について徹底解説
MITB攻撃(Man-in-the-Browser)とは?仕組みや注意点、対策について徹底解説
WEBスキミングとは?仕組みや危険性、対策方法について徹底解説
IPスプーフィングとは?攻撃の仕組みや危険性、対策について徹底解説
ドローンジャックとは?攻撃の仕組みや被害事例、対策について徹底解説
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
