OCRを利用したホモグラフIDNの検知法

摘要

正規サイトのドメイン名に類似したドメイン名を利用するホモグラフ攻撃が問題となっている．ホモグラフ攻撃は正規サイトのドメイン名に含まれる文字を視覚的に類似する文字列で置換したドメイン名（ホモグラフドメイン名）を生成して，ユーザを本来とは異なるサイトへ誘導する攻撃である．特に非ASCII 文字を用いることが可能な国際化ドメイン名（IDN）では類似ドメイン名を多数生成することが可能であり，攻撃者がホモグラフ攻撃で生成したIDN（ホモグラフIDN）がフィッシング攻撃で利用された事例が存在する．既存のホモグラフIDN の検知手法には固定的な変換表を用いてドメイン名を検知する手法がある．この方法では変換表に登録されていない文字を検知することができない，変換表を人手で更新する必要があるという課題がある．本稿ではホモグラフIDN が視覚的に正規サイトのドメイン名に類似しているという特徴に着目して，Optical Character Recognition (OCR) を利用してホモグラフIDN を検知する手法を提案する．評価に当たっては実際に利用されていた319 万件のIDN，および1 万件の悪性なIDN を用いて従来手法と提案手法を比較して，従来手法では検知できなかったホモグラフIDN が提案手法を用いることで検知可能であることを確認した．