アベマ、ホモグラフ攻撃の例としてgTLDを偽装したものを例示 24
ストーリー by nagazou
違うそうじゃない 部門より
違うそうじゃない 部門より
アベマでフィッシングサイトなどで使用される「ホモグラフ攻撃」と呼ばれる手法についての解説をしたニュースに多くのツッコミが殺到している。ホモグラフ攻撃は、実際のURLと似たような見た目を持ちながら、一部の文字が見た目が類似した別の文字に置き換えられるものだが、SNS上では動画内で出された置き換えの事例に「そこじゃない」との指摘が相次いでいる(ABEMA、Togetter)。
ツッコミされているのは、事例のURLのドメイン部分が「.com」から「.c0m」に書き換えられているという点。ドメイン名の変更やTLD(トップレベルドメイン)を置き換えることはまず無理なことから「惜しい」、「そっちかよ」、「TLD置き換えはスーパーハカーだ」といった内容が見られた。
ツッコミされているのは、事例のURLのドメイン部分が「.com」から「.c0m」に書き換えられているという点。ドメイン名の変更やTLD(トップレベルドメイン)を置き換えることはまず無理なことから「惜しい」、「そっちかよ」、「TLD置き換えはスーパーハカーだ」といった内容が見られた。
BAISOKUとBAlSOKUじゃ伝えにくいな・・・せや、com弄ったろ! (スコア:1)
ところで、映像ではcomのoの部分は、
0(ゼロ)ではなく、ο(オミクロン)なんだけど、
これはスーパーハカーnagazou氏によるホモグラフ攻撃?
# c0mはSPAM判定されず、οの前にcを置くと判定されるの辛い
Re: (スコア:0)
ところで、映像ではcomのoの部分は、
0(ゼロ)ではなく、ο(オミクロン)なんだけど、
Coron Omicron Macroavirusの支配下ということ
Re: (スコア:0)
興味半分で入力しちゃう人がいる可能性を考えて、よりあり得ないほうにしたという噂があるとかなんとか
紛らわわしいTLDはあるし (スコア:0)
.comと.coとか
今調べたら.hostなんてあるのか
ICANNはよく通すなこういうの
Re:紛らわわしいTLDはあるし (スコア:1)
ICANNはよく通すなこういうの
TLD増やすだけでみかじめ増えるんですから金の生る木か錬金術かってなもんで
四半世紀前には既に悪評受けてる団体ですよ
Re: (スコア:0)
TLDがTDL(東京ディズニーランド)に見えて
ディズニーこんなところまで金とってんのかよと
Re: (スコア:0)
.disneyは取ってないんだね。
ディズニーはグループ会社内で昔ドットコムバブルの時に買収したgo.comのサブドメインを今も使ってるのはなんなの。いい加減捨てればいいのに。
Re:紛らわわしいTLDはあるし (スコア:1)
ブラウザ側がしっかり対策してることに驚いた。
https://twitter.com/NaomiSuzuki_/status/1677029804317741058 [twitter.com]
Re: (スコア:0)
vivaldiが無い…
Re:紛らわわしいTLDはあるし (スコア:1)
.coはコロンビアの国ドメインだからなぁ・・。
日本で言う.jp みたいなもの。
それより、googleが作ったzipドメインの方が大問題だったと思う。
Re: (スコア:0)
.cornはないようだ。よかった。
Re: (スコア:0)
シャーク? [comma.co.jp]と思ってからcomかと理解した。
# shar.corn
Re: (スコア:0)
そもそもですよ、ドメイン名にアスキー文字以外が使えること自体必要だったんですかね…?
Re:紛らわわしいTLDはあるし (スコア:2, 興味深い)
.コム(.xn--tckwe)を例に出せばよかったのかも。
.ファッション(.xn--bck1b9a5dre4c)、.ストア(.xn--cck2b3b)、.ポイント(.xn--eckvdtc9d)、.クラウド(.xn--gckr3f0fm)、.セール(.xn--1ck2e1b)なんてのもあるが需要がない。
.中国(.xn--fiqs8s)と.中國(.xn--fiqz9s)は別物だけど、こいつも紛らわしいなあ
.台灣(.xn--kpry57d)と.台湾(.xn--kprw13d)ってのもあるのか
Re:紛らわわしいTLDはあるし (スコア:1)
異体字については織り込み済みなので、文字列は別物だけど別物としては扱われませんね。
Re: (スコア:0)
nissanとnissay
sharpとshop
orgとong
netとnttとnec
申請料だけで18万5000ドル
example (スコア:0)
TLD云々以前に、例示は example.com 等を使うべきとかそういう話もあるけど、
今回のホモグラフ攻撃のような場合は、example.com 以外のドメイン名がどうしても出てきちゃうな……
Re: (スコア:0)
> example.com 以外のドメイン名がどうしても出てきちゃうな……
example.com のサブドメインで例示してもいいんですよ…
Re: (スコア:0)
サブドメインの場合は、類似のものでもドメインの持ち主の認可がある状態だろ。
Re: (スコア:0)
> サブドメインの場合は、類似のものでもドメインの持ち主の認可がある状態だろ。
そんなことないですよ。
たとえば github.io のサブドメインは、github の利用者が好きに選んだ名称になります。
そういう類のサービスはそれなりにありますし、中にはホモグラフ攻撃ができるサービスもあるかも。
Re: (スコア:0)
それを利用者に認可していると言うのでは?
アクセスできちゃうからなんでしょうけど (スコア:0)
せめて注釈入れておいてくれればこんなことには...
#事故を防ごうとして事故った的な