ホモグラフ攻撃 (Homograph Attack / IDN Homograph Attack) とは、見た目が同じまたは酷似した異なる Unicode 文字を使って、正規のドメイン名に偽装する攻撃手法です。たとえば、ラテン文字の「a」(U+0061) とキリル文字の「a」(U+0430) は肉眼では区別できませんが、コンピュータ上では異なる文字として扱われます。
具体例として、「apple.com」のラテン文字「a」をキリル文字「a」に置き換えた「apple.com」(見た目は同じだが実際は異なるドメイン) を登録し、Apple の偽サイトを構築するケースがあります。2017 年にセキュリティ研究者の Xudong Zheng 氏がこの手法を実証し、大きな注目を集めました。
国際化ドメイン名 (IDN) の仕組みがこの攻撃を可能にしています。IDN は日本語やアラビア語などの非 ASCII 文字をドメイン名に使えるようにする技術で、内部的には Punycode (xn-- で始まるエンコード) に変換されます。ブラウザのアドレスバーには Unicode 表示されるため、ユーザーは偽装に気づきにくくなります。
短縮 URL とホモグラフ攻撃の関係は二重のリスクを持ちます。第一に、短縮 URL サービス自体のドメインがホモグラフで偽装される可能性があります。第二に、短縮 URL のリダイレクト先がホモグラフドメインのフィッシングサイトである可能性があります。短縮 URL サービスは、登録される URL のドメインを Punycode に変換して既知のフィッシングドメインと照合する対策が求められます。
主要ブラウザはホモグラフ攻撃への対策を実装しています。Chrome や Firefox は、異なるスクリプト (文字体系) が混在するドメインを Punycode 表示に切り替え、ユーザーに不審なドメインであることを示します。関連書籍は Amazon でも探せます。