Unicode 正規化を悪用した URL の不明瞭化

スパマーは、メールフィルタを回避する新しい方法を見つけるためなら休むことはありません。これはスパマーが成果をあげるためにきわめて重要なことです。最近、スパマーがスパムサイトをポイントしている URL の特定の文字を、類似または等価の Unicode 文字に置き換えているスパムメッセージが、少数ながら安定した数観察されています。これは、URL を不明瞭化して解析しにくくする新たな手法です。

この技法がどのように機能するかを理解するには、Unicode 規格について少し知っておくと便利です。Unicode には、幅広い範囲の文字を指定するのに加えて、類似または等価の文字を単一のフォームに変換する正規化規則も用意されています。たとえば、各種 Unicode 正規化フォームでは、丸数字は通常の数字と等価と見なされます。スパマーが見出した今回の最新の URL 不明瞭化技法では、メールクライアント（Web ベースの電子メールの場合は Web ブラウザ）において適切な Unicode 正規化を URL に適用するための HTML レンダリングエンジンが利用されます。

たとえば、スパムメッセージに次のURL が含まれているとします。

http://example․ⅼy/xyz

一見すると、ピリオド（ドット）は通常のドット文字のように見えますが、実際には Unicode 文字 U+2024（1 点リーダー）に置き換えられています。トップレベルドメインの「l」も、通常のラテン文字「l」に見えますが、実際には Unicode 文字 U+217C（小文字のローマ数字 50）です。Web ブラウザまたはメールクライアントの HTML レンダリングエンジンによってこの URL が処理されると、通常は Unicode 正規化が適用され、「1 点リーダー」文字が通常のドットに、「小文字のローマ数字 50」が通常の「l」文字に置き換えられるため、ユーザーはスパムサイトにアクセス可能になります。この処理は次のように行われます。
 

ある意味で、これは国際化ドメイン名（IDN）同形異義語攻撃と似ています。この攻撃では、多くの場合フィッシング目的で、見た目が似ている Unicode 文字を使用してユーザーを偽のサイトに導きます。しかし、この技法では、サイトを偽装または詐称するのではなく、サイトを不明瞭化するために類似の Unicode 文字が使用される点が異なります。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。