ドメイン名まで確認する人でも引っ掛かる？ チェック・ポイントが新たなフィッシング詐欺の注意喚起：URL情報を悪用して難読化する新たな手口を発見

チェック・ポイント・ソフトウェア・テクノロジーズは、偽装URLを使ったフィッシング詐欺の新たな手口が拡大していると注意を促した。この手口は、URL情報を悪用してフィッシングリンクを難読化させるもので、ほとんどのユーザーは危険性を見抜けないという。

[＠IT]

印刷

見るPost

Shareシェア

はてなブックマーク

SharePocket Button

　チェック・ポイント・ソフトウェア・テクノロジーズ（以下、チェック・ポイント）は2025年2月28日、「偽装URLを使ったフィッシング詐欺の新たな手口が拡大している」と注意喚起した。チェック・ポイントによると、この手法は非常に巧妙で、セキュリティ意識向上のためのトレーニングを受けていたとしても、ほとんどのユーザーは危険性を見抜けないという。

チェック・ポイントのWebページから引用

「ユーザーのセキュリティ機能への信頼を逆手に取っている」

続きを読む

　チェック・ポイントが発見した新たな詐欺手口は、2025年1月21日に初めて確認された。URL情報を悪用してフィッシングリンクを難読化させるもので、特定の業界をターゲットにしておらず、あらゆる企業がこの脅威にさらされる危険性があるという。同社は「この手法を使用したフィッシングメールが20万通存在することを確認した」としている。

　フィッシングメールそのものは、偽の請求書やチケット、アカウント有効化の通知といったよくあるものだが、今回発見されたのは、これに高度なURL改ざん技術を仕込んでいる点が特徴だ。URLの「ユーザー情報」部分、つまり「http://」と「@」記号の間（「https://username:password@example.com」というURLなら「username:password」の部分）を悪用する。

　チェック・ポイントによると、ほとんどのWebサイトがこのフィールドを重要視しないため、攻撃者は「@」記号の前に誤解を招く情報を挿入することで、悪意のあるリンクを偽装できる。

編集注：

例えば「https://japan-example.com@trap.com」というURLは一見「https://japan-example.com」というWebサイトに見えるが、実際には「https://trap.com」に誘導される。

　その上、複数の文字を含むエンコードや、一見正当に見えるリダイレクト経由、「@」記号の直後に悪意のあるURLを配置するなど複数の手法を組み合わせて偽装を強化しているという。最終的には、綿密に細工された「Microsoft 365」のフィッシングページを表示する。このページには「CAPTCHA認証」が組み込まれており、ユーザーのセキュリティ機能への信頼を逆手に取っている。

　チェック・ポイントでは、この脅威への対策として「リダイレクトルールの更新を検討する」「システムを定期的にアップデートしパッチを適用する」「高度な電子メールセキュリティを導入する」といった対策を推奨している。