タイポスクワッティングとは？ドメイン攻撃手法と防止策

タイポスクワッティングとは？

「gogle.com」と入力してしまい、「google.com」と入力するつもりだったのにEnterキーを押してしまう。数ミリ秒のうちに、単純な文字の抜けを悪用した認証情報収集ページが表示されます。そのたった一度のタイプミスが、攻撃者に企業の認証情報へのアクセスを許してしまいました。

タイポスクワッティングは、脅威アクターが一般的なタイピングミスを悪用して、正規のウェブサイトに酷似したドメイン名を登録するドメインベースの攻撃です。FBIの2023年インターネット犯罪報告書によると、 フィッシングやなりすまし攻撃（タイポスクワットドメインの主な用途）は、2023年だけで298,878件の苦情が寄せられました。

CISAの公式ガイダンスでは、タイポスクワッティングをドメインベースの ソーシャルエンジニアリング攻撃と定義し、脅威アクターが「正規ドメインの特徴をわずかに変更した偽装ドメインを設定する」と説明しています。攻撃者は「gogle.com」（文字の省略）、「googel.com」（文字の入れ替え）、「googlr.com」（隣接キーの誤入力）などのドメインを登録し、ユーザーを欺くフィッシング基盤を構築します。

この攻撃が成功する理由は、人間の認識が機械の精度とは異なるためです。画面上で「paypal.com」と見えても、ブラウザはキリル文字の「а」（U+0430）を含む「pаypal.com」に解決しますが、これはラテン文字の「a」（U+0061）と全く同じように表示されます。このドメインはPayPalではなく攻撃者のものです。

タイポスクワッティングにはソーシャルエンジニアリングのストーリーは不要です。攻撃者は、統計的に予測可能な頻度で発生するタイプミスをただ待つだけです。数千人の従業員が毎日数百のSaaSプラットフォームにアクセスするエンタープライズ規模では、これらのミスは確率ではなく、ボリュームで攻撃機会となります。

この脅威の規模を理解すると、すぐに疑問が生じます。なぜ既存のセキュリティ制御ではこれらの攻撃を防げないのでしょうか？

従来のセキュリティがタイポスクワッティングに対抗できない理由

タイポスクワッティングは、多段階の攻撃チェーンの入口として機能し、境界防御を完全に回避します。 CISA勧告 AA23-025Aによると、「初期フィッシングメールにリンクされた第一段階の悪意あるドメインは、定期的に他のサイトへリダイレクトし、RMMソフトウェアの追加ダウンロードを行う」とされています。ユーザーが自発的に悪意あるドメインへアクセスするため、エンドポイントセキュリティは初期侵害を検知できません。

従来のURLフィルタリングは、タイポスクワットドメインに悪意あるレピュテーション履歴がないため失敗します。DNSログには、コマンド＆コントロールパターンではなく、正規のユーザー発信クエリが記録されます。SSL証明書も検証を通過し、信頼された鍵アイコンが表示されます。セキュリティスタックは、悪意ある活動ではなく、認可されたユーザー行動として認識し、ペイロードが実行されるまで気付きません。

サイバーセキュリティへの影響は、個人の認証情報窃取にとどまりません。 カーネギーメロン大学の研究では、タイポスクワットドメインが集中型メールサーバーインフラを通じて年間大量の誤送信メールを受信していることが記録されています。ユーザーが自社ドメインのタイポスクワット版に誤って業務連絡を送信すると、攻撃者はビジネスインテリジェンス、財務データ、戦略的コミュニケーションを一切のセキュリティアラートなしで傍受します。

これらの攻撃に対抗するには、まず攻撃者が欺瞞的なドメインを作成する具体的な手法を理解する必要があります。

タイポスクワッティング攻撃の種類

攻撃者は、説得力のあるドメインバリアントを生成するために様々な手法を用います。研究によると、タイポスクワットドメインの約99%が1文字の変更を利用しており、これらのパターンは予測可能でありながら効果的です。

1. 文字の省略は1文字を削除します：「gogle.com」（本来は「google.com」）。これは、指がキーを飛ばしてしまう高速タイピングを悪用します。
2. 文字の重複は余分な文字を追加します：「googgle.com」は、繰り返し文字のダブルタップミスを狙います。
3. 文字の入れ替えは隣接する文字を入れ替えます：「googel.com」は、高速タイピング時の文字順逆転の傾向を悪用します。
4. 隣接キーの置換は、キーボード上の隣接キーで文字を置き換えます：「googlr.com」（rはeの隣）など、物理的なタイピングエラーを狙います。
5. ホモグラフ攻撃は、見た目が同一のUnicode文字を置換します。 ICANNの研究によると、研究者は20か月間で11,766のユニークなIDNホモグラフを記録しました。キリル文字の「а」（U+0430）はラテン文字の「a」（U+0061）と同一に表示され、「pаypal.com」は正規ドメインと見分けがつきません。
6. ドッペルゲンガードメインはサブドメインのピリオドを省略します：「wwwgoogle.com」や「aborofamerica.com」（「boa」の後のドットが欠落）など、サブドメインとドメインの間のピリオドを打ち忘れたユーザーのトラフィックを捕捉します。
7. コンボスクワッティングは正規に見える単語を付加します：「google-login.com」や「secure-paypal.com」は公式サブドメインのように見せかけ、実際は攻撃者の所有です。
8. 誤ったTLDの置換はドメイン拡張子の混同を悪用します：company.comしか所有していない場合に、攻撃者がcompany.co、company.net、company.orgを登録します。
9. ハイフンバリエーションはハイフンの追加や削除を行います：「face-book.com」と「facebook.com」など、ブランド名のハイフン位置の不確かさを狙います。
10. ビットスクワッティングは、キャッシュされたドメイン名のメモリエラーによるビット反転を悪用し、正規ターゲットと1ビットだけ異なるドメインにトラフィックをリダイレクトします。

これらの手法はすべて、被害者を悪意ある宛先に誘導することが目的です。しかし、欺瞞的なドメインの登録は第一歩に過ぎません。攻撃者がこれらのドメインをどのように実運用の脅威へと変換するかを解説します。

タイポスクワッティングの仕組み

タイポスクワッティング攻撃は、登録ドメインを組織への実際の脅威へと変換する4段階の運用サイクルに従います。

1. フェーズ1：ドメインの特定と登録。攻撃者はアルゴリズムを用いて高価値ドメインのタイポバリアントを生成します。トラフィック量が多く、認証情報や金融取引機能を持つブランドを特定し、複数のTLDで数百のバリアントを登録します。
2. フェーズ2：インフラ構築で悪意あるインフラを整備します。攻撃者はDNSレコードを設定し、タイポスクワットドメインをクローンログインページ、 マルウェア配布プラットフォーム、リダイレクトチェーンをホストするウェブサーバーに向けます。有効なSSL証明書を取得し、誤送信メールを受信するメールサーバーも構成します。
3. フェーズ3：トラフィックの捕捉は複数のチャネルで発生します。手動でURLをタイプミスした場合に直接ナビゲーションエラーが発生します。侵害されたアカウントからのメールキャンペーンには、メッセージ文脈上正規に見えるタイポスクワットリンクが含まれます。 FBIは「脅威アクターは正規ウェブサイトドメインの特徴をわずかに変更した偽装ウェブサイトを作成し、被害者から機密情報を収集する」と警告しています。
4. フェーズ4：マネタイズは攻撃者の目的に応じて複数の戦略を用います：

• 認証情報収集は、盗まれた認証情報でSaaSプラットフォームへのアクセスを狙います
• マルウェア配布は、 ランサムウェアやインフォスティーラーをドライブバイダウンロードで配布します
• メール傍受は、機密ビジネス情報を含む誤送信コミュニケーションを収集します
• 広告詐欺は、強制リダイレクトで広告ネットワークへの収益を生み出します
• ブランドなりすましは、ビジネスメール詐欺スキームを支援します

カーネギーメロン大学の研究では、タイポスクワットドメインが集中型インフラを通じて年間約80万通のメールを受信していることが記録されています。

この運用モデルは理論上のものではありません。実際の著名なインシデントが、これらの攻撃が組織にどのような影響を与えるかを示しています。

実際のタイポスクワッティング攻撃事例

記録されたインシデントは、タイポスクワッティングが組織の規模、業種、セキュリティ成熟度に関係なく影響を及ぼすことを示しています。これらの事例は、攻撃による直接的な被害と、それに続く評判リスクの両方を示しています。

• Google vs. Gooogle LLC（2022年）：2022年10月、Googleはニューヨーク南部地区連邦地方裁判所にGooogle LLCを提訴しました。同社は「gooogle.com」（「o」が1つ多い）などのドメインを登録していました。裁判資料によると、タイポスクワットドメインはマルウェア配布やGoogleユーザーを標的としたフィッシングキャンペーンを実施していました。この事例は、世界で最も認知度の高いブランドでさえ、継続的なタイポスクワッティングの脅威に直面していることを示しています。
• Equifaxタイポスクワッティング事件（2017年）：1億4700万人の消費者に影響を与えたEquifaxの大規模な データ侵害の余波で、同社自身が被害者をタイポスクワットドメインに誤って誘導しました。Equifaxの公式Twitterアカウントが「equifaxsecurity2017.com」ではなく「securityequifax2017.com」へのリンクを投稿しました。タイポスクワットドメインはセキュリティ研究者によって作成されましたが、攻撃者がこれを悪用して混乱した被害者から認証情報を収集する可能性がありました。

これらの事例は、タイポスクワッティングが組織を標的としてだけでなく、自社顧客への攻撃を意図せず助長するリスクもあることを示しています。しかし、なぜこの攻撃ベクターは業種やターゲットを問わず一貫して効果的なのでしょうか？

タイポスクワッティングが成功する理由

タイポスクワッティングは、セキュリティ投資に関係なく、この手法を一貫して効果的にする攻撃者側の根本的な優位性を悪用します。

• 人的ミスは統計的に必然です。FBIは2023年に298,878件のフィッシング苦情を記録しました。数千人の従業員が毎日URLを入力するエンタープライズ規模では、タイプミスは数学的に必ず発生します。攻撃者は、単純なドメイン登録だけで、予測可能な人間の行動から自然発生する誤送信トラフィックを捕捉できます。
• 視覚認識ではピクセル単位で同一の文字を区別できません。「pаypal.com」にキリル文字の「а」（U+0430）が含まれていても、ラテン文字の「a」（U+0061）と同じグリフが表示されるため、視覚的には「paypal.com」と認識されます。ICANNの研究によると、攻撃者はこの生物学的限界を悪用し、数千のユニークなホモグラフバリアントを登録しています。
• 信頼指標が武器化されます。攻撃者は、正規の認証局からタイポスクワットドメイン用の有効なSSL証明書を数分で取得できます。ユーザーに確認を促してきた鍵アイコンが、今や偽の安心感を与えます。 ICANNの文書によると、証明書は接続の暗号化を証明するだけで、ドメインの正当性は保証しません。
• 攻撃実行に必要なリソースは最小限です。ドメイン登録は15ドル未満で数分で完了します。Let's Encryptの無料SSL証明書で即座に正当性を装えます。フィッシングキットは認証情報収集ページの展開を自動化します。攻撃者は技術的障壁がなく、最小限の投資で大規模なキャンペーンを展開できます。

これらの攻撃者優位性は、タイポスクワッティング防御に取り組むセキュリティチームに対応する課題をもたらします。

タイポスクワッティング防御の課題

セキュリティチームは、十分なリソースやツールがあっても、タイポスクワッティング防御を根本的に困難にする構造的制約に直面しています。

• レピュテーションベースの検知は手遅れです。セキュリティスタックは、既知の悪意あるドメインをブロックリストや 脅威インテリジェンスフィードに依存していますが、これらは攻撃で観測された後にしか悪性ドメインを特定できません。新規登録のタイポスクワットドメインにはレピュテーション履歴がなく、最初の被害者が侵害されるまでフィルタを回避します。
• バリアントの規模が監視能力を超えます。1つのブランドだけで、文字変更、TLDの代替、コンボスクワッティングの組み合わせにより、数百の数学的に可能なタイポスクワットバリアントが生成されます。すべてのTLDで全パターンを監視し、IDNホモグラフも含めると、人間にも自動化にも現実的な監視能力を超えます。
• 攻撃対象領域はウェブドメインを超えます。攻撃者は、ソフトウェアパッケージリポジトリ（NPM、PyPI、RubyGems）やAI/MLモデルリポジトリ（Hugging Face）でもタイポスクワッティングを展開しています。開発者が「requests」ではなく「requets」と入力してパッケージマネージャーからインストールしても、ドメイン監視では可視性がありません。
• メール傍受はセキュリティアラートを発生させません。従業員が自社ドメインのタイポスクワット版に内部連絡を誤送信しても、検知は発生しません。攻撃者は集中型メールサーバーで、ビジネスインテリジェンス、財務データ、戦略的コミュニケーションを含む誤送信メールを静かに収集します。
• テイクダウンプロセスは攻撃より遅いです。UDRP申立てやレジストラへの不正報告は処理に数日から数週間かかります。攻撃者は法的手続きで削除されるより早く代替ドメインを登録し、防御が常に攻撃に後れを取る無限ループが生じます。

これらの構造的課題は、セキュリティチームが実際には攻撃者が悪用するギャップを広げる一般的なミスを招きがちです。

タイポスクワッティング防御のよくあるミス

組織は、タイポスクワッティング防御を実装する際に、攻撃者が積極的に狙うギャップを生むミスを犯しがちです。

• ミス1：URLフィルタリングで十分と考える。既知の悪意あるドメインをブロックするウェブプロキシやDNSフィルタリングサービスを導入している。しかし、タイポスクワットドメインは新規登録で悪性レピュテーション履歴がないため、この前提は破綻します。
• ミス2：メール認証の実装を怠る。組織ドメインに対してDMARCの強制ポリシー（p=quarantineまたはp=reject）を導入していない。DMARCがなければ、なりすましメールが受信者の受信箱に届き、ブランドの評判がフィッシングキャンペーンで損なわれます。
• ミス3：ウェブドメインだけに注力し、ソフトウェアサプライチェーンを無視する。セキュリティチームはウェブベースのタイポスクワッティングのドメイン登録を監視しているが、開発者ワークステーションでのパッケージマネージャーインストールには可視性がありません。開発者が「requests」ではなく「requets」と入力してpip installコマンドを実行すると、タイポスクワットパッケージが開発環境に直接展開されます。
• ミス4：証明書の限界を説明せずに鍵アイコンの確認をユーザーに教育する。セキュリティ意識向上トレーニングに抜けがあります。攻撃者がタイポスクワットドメイン用の有効なSSL証明書を容易に取得できることを説明していません。証明書は暗号化を証明するだけで、正当性は保証しません。
• ミス5：効果測定なしに防御策を実装する。防御的なドメインバリアントを登録し、メール認証を構成しても、組織を標的としたタイポスクワットドメインにユーザーがどれだけ遭遇しているかを測定する監視を導入していません。

これらのミスを回避するには、まず可視性が必要です。存在を知らない脅威には対抗できません。

自社ブランドを標的としたタイポスクワッティングの検知方法

攻撃者がタイポスクワットドメインを武器化する前に特定するには、複数のデータソースを横断した積極的な監視が必要です。

• 証明書トランスペアレンシー監視は、新規発行SSL証明書へのほぼリアルタイムの可視性を提供します。攻撃者が自社ブランドに類似したドメインの証明書を取得した際、CTログが発行イベントを記録します。組織名や製品名を含む証明書発行にアラートを設定しましょう。
• DNS分析は、不審な登録パターンを明らかにします。短期間に複数TLDで自社ブランドに類似したドメインの一括登録を監視します。攻撃者は通常、キャンペーン開始前に多数のバリアントを同時登録します。
• WHOISデータベース監視は、タイポスクワッティングパターンに一致する新規ドメイン登録を追跡します。商用脅威インテリジェンスサービスは、アルゴリズムでタイポスクワットバリアントを生成し、登録データベースに一致するドメインが現れた際にアラートを出します。
• タイポスクワッティング生成アルゴリズムは、Damerau-Levenshtein距離計算を用いて包括的なバリアントリストを作成します。すべての1文字変更パターンを生成し、アクティブなDNSレコードと照合して登録済み脅威を特定します。
• ウェブトラフィック分析は、ユーザーがタイポスクワットドメインにアクセスした際に特定します。DNSクエリログ、ウェブプロキシデータ、エンドポイントテレメトリで、組織を標的としたタイポスクワッティングキャンペーンの誤送信トラフィックパターンを明らかにします。

検知だけでは不十分です。タイポスクワッティング脅威を特定できるようになったら、最初から侵害を防ぐ体系的な防御策が必要です。

タイポスクワッティング防止のベストプラクティス

タイポスクワッティング対策には、ドメインレベル、ネットワークレベル、エンドポイントレベル、組織レベルの脆弱性を同時にカバーする多層的な制御が必要です。

• リスクベースの優先順位付けによる防御的ドメイン登録を実施する。 CISガイダンスによると、「一般的なタイプミスを防ぐために、自社ドメインのバリエーション購入を検討すべき」とされています。以下の4つの主要カテゴリで予測可能なタイポスクワットバリアントを登録しましょう：

1. ハイフンバリエーション（company-name.comとcompanyname.com）
2. 特にキリル文字を用いた見た目が似ている文字のホモグリフバリエーション
3. キーボード近接エラーに基づく一般的なスペルミス
4. 主要なTLDの代替（.com、.net、.org、.co）

• 段階的なDMARC強制によるメール認証を導入する。SPFレコードを設定し、DKIM署名を実装し、DMARCを最初はモニターモード（p=none）で導入します。正規メール送信元を検証後、quarantine、rejectポリシーへ移行します。
• 暗号化解決によるDNSセキュリティ制御を構成する。DNSSECを導入し、DNS応答を暗号的に検証します。新規登録ドメインをレピュテーション分析完了までブロックする保護DNSサービスを構成します。
• 自律型アラート付きの継続的ドメイン監視を確立する。証明書トランスペアレンシーログ、WHOISデータベース、商用ドメイン監視サービスからドメイン登録フィードを購読します。secure、login、portal、verify、accountなどの一般的な単語と組み合わせたコンボスクワッティングバリアントも監視します。
• クリック後の影響を阻止するエンドポイントレベルの保護を構築する。SentinelOneのSingularity Platformは、自律型レスポンス機能により、不審な挙動が発生した際にエンドポイントを隔離し、タイポスクワッティング侵害後のマルウェア実行や認証情報窃取の試みを阻止します。
• ユーザーに具体的な検証手法を教育する。ユーザーには、認証情報入力前にURLを1文字ずつ手動で確認するよう教育します。頻繁にアクセスするサイトは手入力ではなくブックマークを利用するよう強調します。

これらの制御を導入しても、一部のタイポスクワッティング攻撃はユーザーに到達します。予防が失敗した場合、影響を阻止するエンドポイントレベルの保護が必要です。

SentinelOneでタイポスクワッティング攻撃を阻止

SentinelOneの Singularity Platformは、ユーザーがタイポスクワットドメインにアクセスした後に発生する悪意ある活動に対するエンドポイントレベルの保護を提供し、悪意あるサイトへの初期ナビゲーションを防ぐドメインベースの防御を補完します。

認証情報収集の試みの後にエンドポイントで悪意あるペイロードが展開された場合、 Singularity Endpointはリアルタイムで認証情報窃取を検知する行動AIを提供します。独立した MITRE ATT&CK評価によると、競合ソリューションと比較して88%ノイズが少なく、SOCは誤検知の調査ではなく実際の脅威に集中できます。

• Purple AIでタイポスクワッティングインシデント対応を加速 Purple AI。 SentinelOneの研究によると、Purple AIは脅威の特定と修復を大幅に加速します。ユーザーがタイポスクワットドメインにアクセスしたことを発見した際、Purple AIは自然言語でエンドポイントデータを照会し、どのシステムがそのドメインにアクセスし、不審な挙動が続いたかを即座に特定します。調査ワークフローは数時間から数分に短縮されます。複数プラットフォームのDNSログ、ウェブプロキシデータ、エンドポイントテレメトリを手動で相関させる代わりに、「過去7日間にtyposquatted-domain.comを解決し、その後どのプロセスが実行されたか？」とPurple AIに尋ねるだけで、影響を受けたシステムで何が起きたか完全なフォレンジックタイムラインが返されます。
• ストーリーライン技術で攻撃チェーン全体の可視性を獲得。タイポスクワッティングが初期侵害の入口となった場合、Storylineはすべてのプロセス生成、ネットワーク接続、ファイル変更、レジストリ変更を記録します。初期ブラウザナビゲーションから認証情報収集、ラテラルムーブメント、データ流出まで、攻撃の全進行を単一の統合タイムラインで可視化します。

SentinelOneのデモをリクエストし、タイポスクワッティング攻撃に対するエンドポイント保護を強化しましょう。Singularity Endpointはマルウェア実行を阻止し、競合ソリューションと比較して88%ノイズが少ないリアルタイム認証情報窃取検知を提供し、行動AI監視で攻撃進行を阻止します。

重要なポイント

タイポスクワッティングは予測可能な人間のタイピングミスを武器化し、2023年にはFBIに298,878件の苦情が寄せられ、認証情報窃取からランサムウェア配布まで多様な攻撃を可能にしています。この攻撃が成功するのは、新規登録ドメインに悪性レピュテーション履歴がなく、実際の攻撃で観測されるまで従来のセキュリティ制御を回避できるためです。

効果的な防御には、多層的な制御（防御的ドメイン登録、メール認証（DMARC/SPF/DKIM）、DNSセキュリティ、継続的監視、 エンドポイント保護）が必要です。タイポスクワッティング攻撃でユーザーが侵害された場合でも、SentinelOne Singularity Platformは、競合ソリューションと比較して88%ノイズが少ない行動AIで認証情報窃取やマルウェア実行を検知し、ドメインベースの侵害後の悪意ある活動に迅速に対応できます。