## この記事でわかること - Punycode(RFC 3492)の仕組み - なぜ攻撃者が IDN ドメインを悪用するのか - 各レジストラ・ブラウザの対策状況 - 中小企業の対策手順 ## Punycode とは ![Punycode の仕組み](/blog/punycode-taisaku/encoding.svg) DNS の歴史的経緯で、ドメイン名は **ASCII 文字(a-z, 0-9, ハイフン)** しか使えません。日本語や Cyrillic 等の Unicode 文字を含む IDN(国際化ドメイン名)を DNS に乗せるため、Unicode を ASCII にエンコードするのが **Punycode(RFC 3492)**。 例: - `日本.jp` → `xn--wgv71a.jp` - `еxample.com`(Cyrillic e)→ `xn--xample-9bd.com` `xn--` プレフィックスは Punycode の目印です。 ## 攻撃者が IDN を悪用する理由 ### 1. 見た目が ASCII と区別困難 Cyrillic / Greek / アルメニア文字は ASCII と視覚的に同じ文字を含みます(前記事 [Homoglyph 攻撃](/blog/homoglyph-kogeki) 参照)。 ### 2. ブラウザが Unicode 表示する場合がある ブラウザによっては、同一スクリプト内(例: 全部 Cyrillic)の IDN を Unicode のまま表示します。アドレスバーで偽ドメインに気付きにくい。 ### 3. レジストラが緩い 一部の TLD では IDN の登録チェックが緩く、攻撃者が悪用ドメインを安価に取得可能。 ## 各レジストラ・TLD の IDN ポリシー ![TLD 別 IDN ポリシー](/blog/punycode-taisaku/tld-policy.svg) ### 厳格な TLD - **`.jp`**(JPRS): 日本語・英数字のみ、混在文字を厳しくチェック - **`.com / .net`**(Verisign): TLD 単位でホワイトリスト - **`.de`**(DENIC): ドイツ語の特定文字のみ許可 ### 緩い TLD(攻撃に悪用されやすい) - **`.xyz / .top / .online`** 等の新 gTLD - 一部の ccTLD(`.tk` 等) ## 中小企業の対策手順 ### ステップ 1: 主要 Homoglyph の防御取得 `example.co.jp` のような自社ドメインに対し、以下を予防的に取得: - `xn--xample-9bd.co.jp`(Cyrillic e パターン) - `examp1e.co.jp`(数字 1 置換) - `examp1e.com`(TLD 違いも) 費用は年 $10〜30 程度。少額で攻撃面が大きく減ります。 ### ステップ 2: ブラウザ側設定の社内案内 社内ブラウザ(特に Chrome / Edge)で以下を有効化: - アドレスバーの **完全 URL 表示**設定 - **Safe Browsing** 機能の有効化 - IDN のホワイトリスト機能(Firefox の場合) ### ステップ 3: メール認証で「なりすまし送信」を弾く 偽ドメインから送られるなりすましメールは、貴社の DMARC が `p=reject` であれば**受信側で拒否**されます。詳しくは [DMARC 設定方法](/blog/dmarc-setup-guide) を参照。 ### ステップ 4: 定期棚卸し 半年〜1 年に 1 回、新規登録された IDN 偽ドメインがないか CT log + dnstwist で再点検。 ## 防御取得の判断軸 | 取得すべき | 取得しなくてよい | |---|---| | ブランド名そのもの + 高頻度 homoglyph | 5 文字以下の短いブランド(生成パターン少ない) | | BtoC ターゲット(フィッシング被害が直接) | 完全クローズドな BtoB(社外公開なし) | | EC / 決済を扱う | 情報サイトのみ | | 過去にフィッシング被害がある | 業界に被害事例なし | 迷ったら、**最も攻撃されやすい 5〜10 ドメインだけ予防取得**で十分です。 ## まずは現状を把握しましょう ドメイン番人の [類似ドメイン棚卸し 単発チェック](/typosquat/check) で 30 秒で確認できます。Punycode を含む 200+ 候補を網羅し、登録状況を確認します。 棚卸しと防御取得の判断支援は [類似ドメイン棚卸し+ブランド保護診断](/contact)(5 万円〜)でご相談ください。 関連記事: - [Homoglyph 攻撃の見分け方](/blog/homoglyph-kogeki) - [Typosquatting とは](/blog/typosquatting-toha) - [偽ドメインを検出する方法 5 選](/blog/nise-domain-kenshutsu) 総合点検は [無料のドメイン診断](/diagnose) を、SSL 単独は [SSL 単発チェック](/ssl/check) をご利用ください。