フィッシング詐欺の手口[前編]

本物と偽物のサイトを組み合わせる
フィッシング詐欺

星澤 裕二
株式会社セキュアブレイン
2005/6/22



 スパムフィルタ回避型

 広告や宣伝を目的としたスパムメールに対し、フィッシング詐欺メールは詐欺を目的としている。メールの内容が異なるため、従来のスパムフィルタではすり抜けてしまうケースも少なくなかったが、最近ではフィッシングに対応したルールが追加され、スパムと判定されることが多くなってきている。そのため、フィッシャーはスパム業者と同様な手法を使い始めた。

 HSBC Bankのフィッシング詐欺メールでは、ランダムな文字列を追加してスパムフィルタに引っ掛からないようにしていたが、それ以外にもフィルタリングを回避する方法がある。「a」の代わりに「@」を使うなど、アルファベットを数字や記号に置き換えるといった初歩的なものや、意図的にスペルミスをするという単純なものもあるが、ここではHTMLを悪用したテクニックを取り上げる。

 「Earthlink client information confirmation」と題されたメールは、テキストメールを装ったHTMLメールである。何の変哲もないテキストのように見えるが、実は表を使って、複数のセルに文字列を分割して入れている。表組みの罫線は、TABLE要素のborder属性を0にすることにより非表示にしている。単語の途中にタグが挿入されているのでスパム判定が難しくなるというわけだ。

 それだけでなく、不可視の文字をランダムに割り当てている。この手法を組み合わせることで、一層フィルタリングを困難にしている。

図4 Earthlinkをかたったフィッシング詐欺メール(クリックして拡大)

図5 Earthlinkのフィッシング詐欺メールの不可視部分を変更して表示したもの
TABLE要素のborder属性を1、FONT要素のcolor属性を#ff0000(赤)に変更(クリックして拡大)

 文字色を悪用した手口をもう1つ紹介しよう。AT&Tをかたったフィッシング詐欺メールをよく見ると、黒色のテキストの後ろに背景色に近い色でテキストが挿入されているのが分かる。フィルタを欺くために、広告や宣伝とは関係のない文字列を大量に挿入する。その文字を背景色と同じか、もしくは近似色にして見えないようにするのだ。人間の目では見えないが、スパムフィルタがスパム判定をするときに、それらの文字列を拾ってしまうので判定を誤ってしまうことを狙っている。

図6 AT&Tをかたったフィッシングメールクリックして拡大

<FONT color=#eaf5f3>aligning reels Greeks Shantung auras</FONT><BR>Dear AT&amp;T member <FONT color=#e5e9e4>clowning Harriet gawky assiduous Perseid</FONT><BR><BR>Due to recent security upgrades and anti fraud protection measures we <FONT color=#e0fcef>luncheons damnation drums gavel Clapeyron</FONT><BR>request you verify your account. <FONT color=#f8e2eb>Briggs referral educator waffles paragons</FONT><BR>We strongly reccomend you to update your account information <FONT color=#e4fef8>ultimate plagiarist reader Carbones Bauer</FONT><BR>
メールのHTMLソース(冒頭部)。緑色の部分が人間の目に見える文字、ピンク色の部分は人間の目では見えにくい文字

 これ以外にもフィルタを欺くためのテクニックは数多く存在する。フィッシャーはそれらを複数組み合わせて、複雑かつ悪質なフィッシング詐欺メールを作り出しているのだ。

 ステータスバー偽装型

 多くのメールソフトやWebブラウザはリンクにマウスカーソルを合わせると、関連付けられたリンク先のアドレスをウィンドウ最下部のステータスバーに表示する。サイトを訪問する前にアドレスを目視確認できるので、フィッシング詐欺対策として有効な手段に見える。

 しかし、JavaScriptなどを使えば、ステータスバーに任意のテキストを表示することができるため、アクティブスクリプトを有効にしている状態では全く役に立たない。実際、フィッシング詐欺の中には、ユーザーを欺くためにこの手法を利用しているケースがある。

 PayPalの偽サイトでは、JavaScriptを使ってステータスバーに「PayPal - Login」というテキストをスクロールさせているため、ステータスバーでリンク先のアドレスを確認することができない。スクリプトを使えば、リンクにマウスカーソルを合わせたときに実際に接続する先のアドレスとは異なるアドレスを表示するといったことも簡単にできてしまう。

図7 PayPalの偽サイト
JavaScriptを使って、ステータスバーに「PayPal - Login」というテキストを表示している
クリックして拡大

対策:アクティブスクリプトを無効にする

Internet Explorer 6では、[インターネットオプション]−[セキュリティ]−[レベルのカスタマイズ]をクリックすると表示される[セキュリティの設定]ダイアログボックスで[アクティブスクリプト]を[無効にする]に設定すればアクティブスクリプトを無効にできる。ただし、アクティブスクリプトを無効にすると、ページが正しく表示されなくなることがあるので注意が必要である。

 では、アクティブスクリプトを無効にすればステータスバーの表示は信頼できるかというと、そうでもない。なぜなら、JavaScriptなどを使わずにステータスバーを偽装する方法が複数発見されているからだ。

 Visaのサポートに成りすましたフィッシング詐欺メールを見てみよう。本文中の「Sign On to Online Banking」という部分にマウスカーソルを合わせると、ステータスバーには「https://www.visa.com/upib/」と表示されるが、これは実際のリンク先ではない。ステータスバーが偽装されているのだ。

図8 ステータスバーを偽装したVisaのフィッシング詐欺メール
TABLE要素を使ったアンカーでステータスバーを偽装している。ステータスバーに表示されているhttps://www.visa.com/upib/は実際のリンク先ではない
クリックして拡大

 これは、TABLE要素を利用したアンカーにより、リンク先を示すステータスバーのアドレス表示を偽装している。A要素の開始タグと終了タグの間に、リンクとして機能するもの(例えばA要素)を入れたTABLE要素を挿入すると、ステータスバーには外側のA要素のリンク先アドレスが表示される。

 しかし、実際にリンクをクリックするとTABLE要素内のリンクが機能してしまう。Visaをかたったフィッシング詐欺メールでは、TABLE要素内のLABEL要素により実際の接続先と関連付けられたテキストを置いている。テキストには下線を付け、文字色を青にしてアンカーテキストのように見せ掛けている。

<P><A id=MALL href="http://www.cerehad.org/redir.html"></A></P>
<DIV><A href="https://www.visa.com/upib/">
<TABLE>
  <CAPTION><A href="https://www.visa.com/upib/"><LABEL for=MALL>
  <U style="CURSOR: pointer; COLOR: blue">Sign On to Online
  Banking</U></LABEL></A></CAPTION>
  <TBODY></TBODY></A></DIV>
ステータスバーの偽装してリンク先とは異なるアドレスを表示させるHTMLソース

【参考】

Internet Explorer/Outlook Express Status Bar Spoofing
http://secunia.com/advisories/14304/

 いまのところ、この問題はInternet Explorer、Outlook Express、Outlookで発生することが確認されている(Outlookの場合、ステータスバーではなく、リンクにマウスカーソルを合わせたときに表示されるポップアップが偽装される)。現時点では、この問題を解決するパッチなどは提供されていない。これらのソフトを利用している場合、アクティブスクリプトを無効にしていたとしてもステータスバーの表示を過信しないようにしたい。

図8-2 Outlookの場合、ステータスバーではなく、リンクにマウスカーソルを合わせたときに表示されるポップアップが偽装される

 ほかのWebブラウザやメールソフトに乗り換えるという選択肢もある。しかし、注意が必要だ。ほかのソフトにはこの脆弱性がないとしても、これ以外の脆弱性が存在する可能性があるからだ。また、安易に乗り換えた結果、生産性が低下したり不慣れな操作のためにかえって被害に遭ってしまったりでは何の意味もない。

 次回は、アドレスバーの偽装やクロスサイトスクリプティングを悪用したフィッシングの手口などを解説する。

2/2


Index
本物と偽物のサイトを組み合わせるフィッシング詐欺
  Page1
本物のWebサイトと偽物のポップアップウィンドウ複合型
Page2
スパムフィルタ回避型
ステータスバー偽装型

関連記事
フィッシング詐欺対策として企業が負うべき責任
いまさらフィッシング詐欺にだまされないために

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間