文字セキュリティの開拓
【研究キーワード】
ホモグリフ / 文字 / ユニコード / セキュリティ / 文字符号 / 文字セキュリティ / ホモグラフ / 符号化文字集合 / 自然言語処理
【研究成果の概要】
本研究課題は、人間が見た外形は類似しているものの、コンピュータの内部処理としては異なるデータとして処理されるような文字ーホモグリフに着目する。例えば漢字の「卜」とカタカナの「 ト」はその一例である。本研究は、ホモグリフがもたらす人間の認知と機械処理の結果に存在するギャップが、どのようなセキュリティ上の脅威を生み出すかを明らかにすることを狙いとする。
2年目となる2021年度は、(1) 現実世界におけるホモグリフの脅威分析と、(2) Webフォントを用いた実証概念攻撃の評価を行った。
(1) として、オリンピックに関連したドメイン名の取得において、ホモグリフを使った事例があることに着目した調査分析を実施した。この結果、4060のオリンピック類似ドメイン名の内、98件がホモグリフあるいは typo squatting で構成されることが判明した。これらのドメイン名は、明らかにユーザの勘違いを誘発することを目的として登録されており、ユーザがアクセスする前に警告を出すことが望ましい。このような脅威を防ぐ対策手法として、ホモグリフおよびtypo squatting を網羅的にまとめたデータベースを作成し、データベースとの照合を行うことで、事前警告を出すことを可能とする方式を開発した。
(2) として、Webフォントと呼ばれる機構を用い、予め攻撃者が作成した辞書データ(フォントファイルとして作成)をもとに、単一換字式暗号と同様な文字の置換を行い、コンピュータが処理するデータとユーザがブラウザ上で見るデータのギャップを意図的に作り出す脅威を評価した。このようなギャップは、ユーザに対して偽のデータを提示するのみならず、サイトの内容を難読化することにより、攻撃検知を困難にする効果があること、ユーザがコピーするデータ(プログラム片など)に悪性なデータを潜ませるなどの脅威が想定される。
【研究代表者】
【研究種目】挑戦的研究(萌芽)
【研究期間】2020-07-30 - 2023-03-31
【配分額】6,500千円 (直接経費: 5,000千円、間接経費: 1,500千円)