本文とサイドメニューへジャンプするためのナビゲーションスキップです。

スタートアップガイド

J-Net21 中小企業ビジネス支援サイト

  • J-Net21とは
  • スタートアップガイド
中小機構
  • メルマガ登録
  • RSS一覧
  • お問い合わせ

HOME > 製品・技術を開発する > デジ・ステーション

デジ・ステーション


5分でわかる最新キーワード解説
「タイポスクワッティング」ってなんだ?!

日々進歩するIT技術は、ともすると取り残されてしまいそうな勢いで進化の速度を高めています。そこでキーマンズネット編集部がお届けするのが「5分でわかる最新キーワード解説」。このコーナーを読めば、最新IT事情がスラスラ読み解けるようになることうけあい。忙しいアナタもサラっと読めてタメになる、そんなコーナーを目指します。今回のテーマは「タイポスクワッティング」。これは、企業サイトなどトラフィックの多いURLのタイプミスを狙ったネット上の「不法占拠」とも言える行為です。アクセスするユーザにとって危険なだけでなく、その標的となったURLを所有する企業にとっても大きな脅威となりそうです!

タイポスクワッティングとは

タイポスクワッティングとは、元の英語表記”typo squatting”から見ると、


  typo    :タイプミス、キーボードの打ち間違い
    squatting :無断占拠、若者などが家屋や空き地に無断で居座ること


という2つの単語をつなぎ合わせた造語である。つまり、「打ち間違われやすいURLを無断で占拠する行為」ということになる。そもそもは、サイバースクワッティング(cybersquatting)という言葉が先にあり、これは企業の名前や商標などを使ったURLを先に取得してしまって、当該企業に高値で売却しようとする等の不法行為を指すものだ。このサイバースクワッティングについては、1999年にアメリカ連邦議会でACPA(Anticybersquatting Consumer Protecting Act) 法が制定され、法規制が進んでいるのだが、こうした法の網の目を巧みにすりぬける類似行為がタイポスクワッティングである。また、タイポスクワッティングを実行する悪意ある第三者のことをタイポスクワッター(typo squatter)と呼ぶこともある。
 単に打ち間違いやすいURLを取得するだけならば、あまり推奨できない行為ではあるものの、違法性はそれほどない。ここで問題となるのは、無断で占拠したタイポURL(打ち間違いのURL)から、フィッシング詐欺や、ウイルス、アドウェアやスパイウェアなどのマルウェアに感染するサイトへと誘導されるケースが多いからである。

図1 タイポスクワッティングの仕組み

タイポスクワッティングの主な事例

タイポスクワッティングという言葉が盛んに使われだしたのは2003年ごろからだが、果たしてこれまでどのような事例があったのか、タイプ別に見ていこう。

●タイプ1:綴り間違いを狙ったもの

アメリカのAT&Tが無料通話サービスの番号として1-800-OPERATORを宣伝していたところ、ライバルのMCI Communicationsが1-800-OPERATER(綴りが1文字だけ違う)の番号で同一のサービスを行って、AT&Tが広告で集めた顧客を横取りしてしまった事件があった。これはインターネットの事件ではないが、ネイティブでもスペルミスをしてしまうことが少なくないという事実からは、タイポスクワッティングの危険性の高さが伺える。このほか、yahooに対するyafooなどの音の印象からのスペルミスもこれに属するだろう。

●タイプ2:ピリオドの打ち忘れを狙ったもの

URLには、ドメインレベルの区切りとして必ずと言っていいほどピリオドが用いられる。これを用いたタイポスクワッティングの事例が、2006年、日本のhttp://www.kddi.com/を狙って発生した。この事例では、ピリオドが1つだけ欠落したwwwkddi.comというドメイン名が無断で占拠されたのだが、KDDIのサイトと酷似した偽のサイトが表示されただけで、特に被害はなかったという。さらに相次いでhttp://www.kabu.com/についても、同様にwwwkabu.comが取得されるトラブルが起こっている。これらの事例では実際の被害は出なかったものの、www後のピリオドに限らず、blogやmailなどサブドメイン後のピリオド忘れは無数に存在するため、類似の事例に注意が必要だろう。

●タイプ3:トップレベルドメインの間違いを狙ったもの

トップレベルドメインとは.jpや.com、.netなど、ドメイン名の最後尾につく名前のこと。この間違いを狙った事例として有名なものが、http://www.whitehouse.gov/を狙ったタイポスクワッティングで、www.whitehouse.comは政治関連のフォーラムサイト、www.whitehouse.orgはブッシュ大統領の風刺サイトになっている。これらは必ずしも悪質とは言えないサイトだが、過去には同じドメインがアダルトサイトによって占拠されたこともあるという。日本でも、jpに限らず幅広いトップレベルドメインが使用されているので、同様の事例について注意が必要だろう。 また、日本における同様の事例として、NTT-Xによる検索サービスhttp://www.goo.ne.jp/と、以前からサイトをwww.goo.co.jpで展開してきた株式会社ポップコーンとの訴訟があった。これも厳密にはタイポスクワッティングとはいえないが、goo.ne.jpの知名度が向上した1999年頃からgoo.co.jpはアダルトサイトへのリダイレクトを開始したため、訴訟に発展し、NTT-Xが勝訴している。

●タイプ4:その他、全般的なタイプミスを狙ったもの

上に挙げた3タイプのほかにも、タイプミスには様々なものがある。googleを狙ったgooogleやgogleなど繰り返し数の間違い、さらにgoolgeなどの文字の順番の入れ替えについて、googleはドメインを取得して正しいサイトへリダイレクトを行っている。キーボードの配列にともなって、OとP、QとWとA、MとN、BとVなども打ち間違えやすい。これらのタイプミスには無数の組み合わせがあるため、最も対策しづらいタイプの事例だといえるだろう。

図2 配列上、間違いやすいキー

ドメインオーナーにできる対策

それでは、タイポスクワッティングに対して、ドメインを所有する立場からはどのような対策ができるのだろうか。

●対策1:類似ドメインをあらかじめ取得しておく

前述の通り、企業名や商標などのドメイン取得に関しては、ACPAなどの法規制も進みつつあるが、タイプミスを狙ったタイポスクワッティングという手法については、現在これといった決め手はない。最も有効なのは利用されそうなドメイン名を、予測して押さえてしまうことだ。実際、googleやyahooなどではこの手法を取っている。また、アメリカ・カリフォルニア州のアーノルド・シュワルツェネガー州知事は、自身の複雑なSchwarzeneggerのスペルに対して、タイプミスしやすいトップ10のドメインをコントロールしているという。

●対策2:JPCERTなどの機関と協力する

実際に被害に遭ってしまった場合には、すでに取得されたドメインを停止させたり、取り戻したりする必要があるが、こうしたインターネット上のセキュリティ問題をマネジメントする機関として、各国にCERT(Computer Emergency Response Team)が設立されている。日本ではJPCERTがそれにあたり、国内外のネット上のセキュリティ関連トラブルに対応するための窓口となっている。先に紹介したgooのケースでは日本知的財産仲裁センターが間に立つ形となったが、ここもドメインなどの知的所有権に関するトラブルの裁定を行う機関だ。もちろん、日本のドメインを管理するJPNICも、こうした問題を解決するために役に立つだろう。

アクセスするユーザにできる対策

タイポスクワッティングで考えられる被害は、ウイルス、スパイウェア、アドウェア、アダルトサイトへの誘導、さらにはアフィリエイト収入を狙ったアクセス誘導など、多岐にわたる。ユーザとして一番大事なことはURLを間違えずに入力することなのだが、ミスを完全に防ぐことは難しい。それでは一体、どのような対策をとるべきだろうか。

●対策1:セキュリティソフトの導入

タイポスクワッティングに限らず、ウイルスやスパイウェアの脅威から身を守るには、セキュリティソフトの導入が必要不可欠だ。タイポスクワッティングによる被害のほとんどは、既存のマルウェア対策やフィッシング対策ソフトで防げる内容のもの。また、2007年4月には、Microsoftのサイバーセキュリティシステムが、タイポスクワッティング対策ソフトウェアのプロトタイプ、Strider URL Tracer with Typo-Patrol(英語サイト)をリリースした。まだプロトタイプではあるものの、今後こうした対策ソフトウェアも登場してきそうだ。

●対策2:ブックマークの活用

URLの打ち間違いを完全に防ぐ方法はない以上、一旦正しいURLでアクセスして、再びアクセスする可能性があると思ったら、こまめにブックマークを行うことが重要だ。Internet ExplorerやFireFoxを使っているなら、Ctrl+Dのショートカットを使えば、一々メニューから選択しなくても、すばやくブックマークすることができる。

取材協力 : 株式会社セキュアブレイン

掲載日:2009年3月25日

キーマンズネット

出典元:株式会社リクルート キーマンズネット 2007年07月18日掲載分

検索

このページの先頭へ