タイポスクワッティング

タイポスクワッティング (typosquatting) とはURLハイジャッキングとも呼ばれる形態のサイバースクワッティングで、インターネットユーザーがWebブラウザにURLを入力する際に犯す打ち間違いを利用するものである。ユーザーが誤ったURLを偶然に入力すると、サイバースクワッターが所有する別の場所に導かれる。打ち間違い (タイポ; typo) と占有 (squatting) からの造語^[1]。

タイポスクワッティングの犠牲になるサイトは、一般に訪問の多いところである^[1]。タイポスクワッターのURLは、どれも犠牲者のサイトのアドレスに似た、次の3種類のいずれかである（意図しているWebサイトを"example.com"とする）。

• 意図するサイトの一般的なスペルミス：exemple.com
• タイピングのエラーによるミススペル：xample.comまたはexxample.com
• 異なる表現のドメイン名：examples.com

いったんタイポスクワッターのサイトに辿り着くと、コピーまたは類似したロゴ、Webサイトのレイアウトや内容などにより、ユーザーはそれを本当のサイトだと錯覚してしまう。犠牲になるサイトの競合相手がこういったことを行うこともある。

あるいは、ユーザーが意図するものとは全く異なる性質のサイトに連れて行かれることがある^[1]。この戦略はジョン・ズッカリーニが悪用し、子供向けのドメインをポルノサイトにリダイレクトした。コンピュータウイルス、アドウェア、スパイウェアなどのマルウェアを広めるために、このような誤ったアドレスをタイポスクワッターが使うことがある^[1]。

犠牲となるサイトは、通常、タイポスクワッターに対して、中止を求める手紙をまず送付し、これにより相手の活動を抑えようとする。

タイポスクワッターからURLを購入しようとすることもある。これは彼らの狙い通りになるということでもある。

タイポスクワッターのサイトや個人を相手取る訴訟に発展することも時々ある。

企業は、タイポスクワッティングを防止するために、よくあるスペルミスのWebサイトをいくつか取得し、それを正しく綴られたWebサイトにリダイレクトしようとする。例えば、www.gooogle.com、www.goolge.com、www.gogle.comなどはすべてwww.google.comにリダイレクトされる。他の例としては、俳優で政治家のアーノルド・シュワルツェネッガー (Arnold Schwarzenegger) は、姓のよくあるミススペルのうち、最も多い10個のドメインをコントロールしているといわれる。

• アメリカ合衆国大統領のWebサイトのドメインwww.whitehouse.govには、2つの有名な「スペルミス」がある。whitehouse.comはポルノサイト（現在はフォーラムサイト）であり、whitehouse.orgは風刺サイトである。(現在はMastodonの一部となっている。）
• ウィキペディアもまたタイポスクワッティングの犠牲になっている。2005年の段階で、www.wiipedia.org、www.eikipedia.org、www.wilipedia.org、en.wikipedi.orgはすべてポップアップ広告やスパイウェア/アドウェアのダウンロード、広告を生成するサーチエンジンを含むサイトである。
• 似た手法がアメリカの無料通話にあり、800から始まる番号のうちスペルミスに関わるものを取得するというものである。よい実例が、AT&Tが突然"1-800-OPERATOR"という番号を放棄し、"1-800-CALL-ATT"で置き換えたことである。アメリカ人の多くがoperatorをどのように綴るか分からなかったと見えて、MCI Communicationsは"1-800-OPERATER"から多くの通話をかき集め、AT&Tの宣伝から利益を得た（どちらの番号も、最後の"R"が余分である）。
• 一つの例が、最後に"s"の付かないtalkorigin.orgであり、www.talkorigins.orgのtalk.originアーカイブから利用者を遠ざけ、進化論を否定する創造説論者の司祭のサイトにリダイレクトする。日本ではe-words.jpに対してe-word.jpなどがある。

個々のドメイン名購入者のほかに、大企業も、無知なユーザーのタイプミスから利益を生み出そうという試みをしてきた。

• マイクロソフトのInternet Explorer（以下IE）は、ユーザーがタイプミスしたURLを自動的にMSN検索にリダイレクトする。ユーザーは別の検索エンジンを使うようにブラウザを設定できるとはいえ、^{[注釈 1]}MSNの最大のライバルGoogleはそのリストにはない。GoogleのWebサイトでは、タイプミスした際にIEが用いるデフォルト検索エンジンをGoogleにする方法が説明されている。
• トップレベルドメインのレジストリ管理者VeriSignは、Site Finderを使って、ユーザーに登録されていないドメインへのアクセスを自動的に自社サイトにリダイレクトしはじめた。インターネット標準のコミュニティはその行為を激しく非難し、この問題に対するBINDの緊急パッチが発行されるまでの事態となった^[2]。
• スタートアップ企業のPaxfireは、パートナーのインターネットサービスプロバイダに対してツールを販売している^[3]。そのツールは、タイプミスされた要求をPaxfireが生成するスポンサー付き広告の内容にリダイレクトし、タイプミスされた「注目ワード」に関連する内容を表示する。ユーザーのクリックから上がる収益は、Paxfireとインターネットサービスプロバイダとで分配される。
• ある種のマルウェアは、ブラウザのプラグインを装い、ユーザーのWebリクエストや検索クエリを、URLを正しく綴っている場合にさえ、こっそりリダイレクトする。

1. ^ ^{a b c d} “ドメイン情報の正確さの重要性とタイポスクワッティング”. カスペルスキー. 2020年11月19日閲覧。
2. ^ 米ベリサインのエラーページ・リダイレクトに非難の嵐, CNET Japan, 2003年9月17日
3. ^ Broken Links Lined With Gold for Paxfire, washingtonpost.com, 2005年1月31日

• フィッシング (詐欺)
• サイバースクワッティング
• type-in traffic
• DNS
• トップレベルドメイン
• UDRP
• URL
• Goggle.com