| 研究課題/領域番号 |
20K21797
|
|---|
| 研究機関 | 早稲田大学 |
|---|
研究代表者 |
森 達哉 早稲田大学, 理工学術院, 教授 (60708551)
|
|---|
| 研究期間 (年度) |
2020-07-30 – 2023-03-31
|
| キーワード | ホモグリフ / 文字 / ユニコード / セキュリティ |
|---|
| 研究実績の概要 |
本研究課題は、人間が見た外形は類似しているものの、コンピュータの内部処理としては異なるデータとして処理されるような文字ーホモグリフに着目する。例えば漢字の「卜」とカタカナの「 ト」はその一例である。本研究は、ホモグリフがもたらす人間の認知と機械処理の結果に存在するギャップが、どのようなセキュリティ上の脅威を生み出すかを明らかにすることを狙いとする。
2年目となる2021年度は、(1) 現実世界におけるホモグリフの脅威分析と、(2) Webフォントを用いた実証概念攻撃の評価を行った。
(1) として、オリンピックに関連したドメイン名の取得において、ホモグリフを使った事例があることに着目した調査分析を実施した。この結果、4060のオリンピック類似ドメイン名の内、98件がホモグリフあるいは typo squatting で構成されることが判明した。これらのドメイン名は、明らかにユーザの勘違いを誘発することを目的として登録されており、ユーザがアクセスする前に警告を出すことが望ましい。このような脅威を防ぐ対策手法として、ホモグリフおよびtypo squatting を網羅的にまとめたデータベースを作成し、データベースとの照合を行うことで、事前警告を出すことを可能とする方式を開発した。
(2) として、Webフォントと呼ばれる機構を用い、予め攻撃者が作成した辞書データ(フォントファイルとして作成)をもとに、単一換字式暗号と同様な文字の置換を行い、コンピュータが処理するデータとユーザがブラウザ上で見るデータのギャップを意図的に作り出す脅威を評価した。このようなギャップは、ユーザに対して偽のデータを提示するのみならず、サイトの内容を難読化することにより、攻撃検知を困難にする効果があること、ユーザがコピーするデータ(プログラム片など)に悪性なデータを潜ませるなどの脅威が想定される。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
3: やや遅れている
理由
2021年度は初年度に引き続き COVID-19 の影響を受け、当初予定していたように研究が進展しなかった。
|
| 今後の研究の推進方策 |
2022年度は研究体制を一新し、また文字セキュリティの範囲を広げた上で、総合的なまとめを狙いとした研究を実施する。
|
| 次年度使用額が生じた理由 |
COVID-19 の影響を受け、研究が思うように進展しなかったため、支出計画が後ろ倒しとなったため。翌年度に関しては、研究体制を一新し、本課題専任のRAを雇用した上で、研究の進展を狙いとする。
|
