国内でも話題になり始めた“フィッシング”。フィッシングとは,実在する企業から送られたように見せかけたメールなど偽のWebサイトへユーザーを誘導し,クレ ジット・カード番号などを入力させる詐欺行為である(関連記事)。

 米国では大きな被害をもたらしているという。フィッシングによる被害が大きくなるにしたがって,フィッシングに悪用可能な,ブラウザやメール・ソフトのセキュリティ・ホールが次々と報告され始めた。それらはアドレス・バーやステータス・バーの偽装を許すだけで,それら自体の危険度はそれほど大きくない。それらを突いて直接攻撃することなどできないからだ。ただし,フィッシングという詐欺行為に用いられると危険になりうる。フィッシングに悪用可能なセキュリティ・ホールは,IT Proでも複数報じている。本稿ではそれらをまとめる。

編集部にも送られてきた,ホールを突くフィッシング・メール

 フィッシングを“成功”させるには,ユーザーに(1)「偽メールの送信元を有名企業に思わせる」,(2)「偽メール中に記載したリンクを,有名企業のサイトへ誘導するものだと思わせる」,(3)「誘導されたサイトを,有名企業のサイトだと思わせる」――ことが重要である。

 フィッシングを試みる“フィッシャー”は,送信者名(Fromアドレス)の詐称やメール本文の工夫で(1)を実現させようとする。ただし(2)については,リンク部分にマウス・カーソルを当てると,飛び先のURLがメール・ソフトのステータス・バーに表示されるので,注意深いユーザーには見破られる。(3)についても,いくらページの体裁を有名企業のものにしても,ブラウザのアドレス・バーには本当のURLが表示されるので,ばれてしまう。

 これらを避けるため,フィッシャーは工夫する。例えば,リンクに仕込んだURLをASCIIコードにエンコードして分かりにくくしたり,誘導したページではブラウザのアドレス・バーを非表示にしたりする。

 ところが最近では,フィッシャーの工夫を助けるようなセキュリティ・ホールがブラウザやメール・ソフトに見つかっている。例えば,編集部に送られてきたフィッシング・メールの一つは,Outlook Expressのセキュリティ・ホールを突く(関連記事)。メールはHTMLメールで,メールの内容はGIF画像として貼り込まれている(写真)。送信者名は「US Bank」なので,米US-BANKから送られてきたように見え,GIF画像にマウス・カーソルを当てると,ステータス・バーには「http://www.usbank.com/」から始まるURLが表示される。このURLは実際にUS-BANKもの。ただし,マウスをクリックすると,実際には偽のサイトへ誘導される。誘導されると,アドレス・バーを非表示にした,個人情報入力画面が表示される。

 このメールが悪用するセキュリティ・ホールをはじめ,主要なメール・ソフトやブラウザには以下のようなセキュリティ・ホールが見つかっている。フィッシングが流行していることもあって,セキュリティ関連のメーリング・リストなどでは,フィッシングに使えるセキュリティ・ホールを見つけることが“ブーム”のようである。今後も続々と見つかることが予想されるので,十分注意したい。

IEにセキュリティ・ホール,フレーム中に任意のコンテンツを表示させられる [2004/06/30]
 フレームを使った任意のWebコンテンツ中に,任意のコンテンツを表示させられるIEのセキュリティ・ホール。パッチは未公開。

またもやOperaにアドレス・バーを偽装されるセキュリティ・ホール [2004/06/22]
 Operaのアドレス・バーを偽装されるセキュリティ・ホール。セキュリティ・ホールを修正したバージョンは未公開。

IEやMozillaにアドレス・バーを偽装されるセキュリティ・ホール [2004/06/14]
 Internet Explorer(IE)およびMozilla(Windows版)のアドレス・バーを偽装されるセキュリティ・ホール。IEの場合にはセキュリティ設定を回避される。パッチや修正版は未公開。

Operaにセキュリティ・ホール,「ファビコン」でアドレス・バーを偽装できる [2004/06/04]
 Operaのアドレス・バーを偽装されるセキュリティ・ホール。セキュリティ・ホールを修正したOpera 7.51が公開されている(ただし英語版のみ)。

Operaブラウザにアドレス・バーを偽装できるセキュリティ・ホール [2004/05/13]
 Operaのアドレス・バーを偽装されるセキュリティ・ホール。Opera 7.50以降では解消されている(日本語版 Opera 7.50は未公開)。

Outlook ExpressやEudoraなどにステータス・バーを偽装できるセキュリティ・ホール [2004/05/11]
 Outlook Express(IE)およびEudoraのステータス・バーを偽装できるセキュリティ・ホール。それぞれ異なるセキュリティ・ホールである。編集部に送られてきたフィッシング・メールが使っているのは前者。いずれもパッチや修正版は公開されていない。

リンク先のURLを偽装できるセキュリティ・ホールがIEに,OEユーザーは特に注意 [2004/04/05]
 IE(Outlook Express)のステータス・バーを偽装できるセキュリティ・ホール。パッチは未公開。

IEにURLを偽装できるセキュリティ・ホール,安易なクリックは禁物 [2003/12/11]
 Internet Explorer(IE)のアドレス・バー/ステータス・バーを偽装されるセキュリティ・ホール。パッチは公開済み(関連記事)。


専門サイト「IT Pro Security」トップへ