フィッシングやマルウェアのURLを共有する時、リンク化されないように hxxp://example[.]comのように記載する事があると思います。
その変換形式を定義する、『A Standard for Safe and Reversible Sharing of Malicious URLs and Indicators』という提案仕様がIETFに提出されています。
用語
- 難読化(Obfuscating): 誤ってクリックされないようにする変換のこと
- 難読化解除(De-obfuscating): 難読化されたものをもとに戻す変換のこと
- IOC: indicators of compromise。悪意あるURL、メールアドレスのこと
もともとは、『無害化(defanging)』『もとに戻す(refanging)』の用語を使ってはいたがObfuscating, De-obfuscatingになりました
例
| 変換前 | 変換後 |
| https://evil.example.com/path | hxxps://evil[.]example[.]com/path |
| http://username:password@attacker.com | hxxp://username:password[@]attacker[.]com |
| user@phishing.example.com | user[@]phishing[.]example[.]com |
| http://192.0.2.1 | hxxp://192[.]0[.]2[.]1 |
| http://[2001:db8::1]:8080 | hxxp://[2001:db8::1]:8080 |
変換処理は
- http/https は hxxp/hxxps に変換する
- ピリオドは [.] に変換する
- @マークは [@] に変換する
