ドメイン名まで確認する人でも引っ掛かる? チェック・ポイントが新たなフィッシング詐欺の注意喚起:URL情報を悪用して難読化する新たな手口を発見
チェック・ポイント・ソフトウェア・テクノロジーズは、偽装URLを使ったフィッシング詐欺の新たな手口が拡大していると注意を促した。この手口は、URL情報を悪用してフィッシングリンクを難読化させるもので、ほとんどのユーザーは危険性を見抜けないという。
チェック・ポイント・ソフトウェア・テクノロジーズ(以下、チェック・ポイント)は2025年2月28日、「偽装URLを使ったフィッシング詐欺の新たな手口が拡大している」と注意喚起した。チェック・ポイントによると、この手法は非常に巧妙で、セキュリティ意識向上のためのトレーニングを受けていたとしても、ほとんどのユーザーは危険性を見抜けないという。
「ユーザーのセキュリティ機能への信頼を逆手に取っている」
チェック・ポイントが発見した新たな詐欺手口は、2025年1月21日に初めて確認された。URL情報を悪用してフィッシングリンクを難読化させるもので、特定の業界をターゲットにしておらず、あらゆる企業がこの脅威にさらされる危険性があるという。同社は「この手法を使用したフィッシングメールが20万通存在することを確認した」としている。
フィッシングメールそのものは、偽の請求書やチケット、アカウント有効化の通知といったよくあるものだが、今回発見されたのは、これに高度なURL改ざん技術を仕込んでいる点が特徴だ。URLの「ユーザー情報」部分、つまり「http://」と「@」記号の間(「https://username:password@example.com」というURLなら「username:password」の部分)を悪用する。
チェック・ポイントによると、ほとんどのWebサイトがこのフィールドを重要視しないため、攻撃者は「@」記号の前に誤解を招く情報を挿入することで、悪意のあるリンクを偽装できる。
編集注:
例えば「https://japan-example.com@trap.com」というURLは一見「https://japan-example.com」というWebサイトに見えるが、実際には「https://trap.com」に誘導される。
その上、複数の文字を含むエンコードや、一見正当に見えるリダイレクト経由、「@」記号の直後に悪意のあるURLを配置するなど複数の手法を組み合わせて偽装を強化しているという。最終的には、綿密に細工された「Microsoft 365」のフィッシングページを表示する。このページには「CAPTCHA認証」が組み込まれており、ユーザーのセキュリティ機能への信頼を逆手に取っている。
チェック・ポイントでは、この脅威への対策として「リダイレクトルールの更新を検討する」「システムを定期的にアップデートしパッチを適用する」「高度な電子メールセキュリティを導入する」といった対策を推奨している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
2025年のサイバーセキュリティは何が“熱い”? ガートナーがトップトレンド6選を発表
ガートナージャパンは、2025年のサイバーセキュリティのトップトレンドを発表した。同社は「セキュリティリーダーは、各トレンドに対して短中長期的な視点から議論し、戦略的ロードマップに反映させる必要がある」としている。
古いソフト/ファームウェアを狙うランサムウェア「Ghost」で70カ国以上の組織、多数の中小企業が被害に 対策は?
FBI、CISA、MS-ISACは共同で、ランサムウェア「Ghost」に関する共同サイバーセキュリティアドバイザリを発表した。
貴社で「メールが届かない」問題が起こる理由――メール送信/受信の基礎知識
メールの仕組みや基礎を再確認しながら、確実にメールを届けるために必要な設定や運用のポイントを解説する連載「意外と知らないメールサーバ構築・運用の基本」。初回は、メール送信ニーズがシステム開発で高まる中で起きている「メールが届かない」問題について、メール送信/受信の基礎知識を交じえながら解き明かす。