フィッシング詐欺の手口[前編]

本物と偽物のサイトを組み合わせる
フィッシング詐欺

星澤 裕二
株式会社セキュアブレイン
2005/6/22



 特集「いまさらフィッシング詐欺にだまされないために」が掲載されてから約半年が経過した。その間、日本語のフィッシング詐欺メールが数多く出回るようになったり、国内でフィッシング詐欺によるものと思われるクレジットカードの偽造事件が発生したりしている。半年前、「フィッシング」は、「fishing」ではなく「phishing」と綴ると書いたが、もはや、そんな説明は不要なほどメジャーになった。

 「いまさらフィッシング詐欺にだまされないために」では、フィッシング詐欺の定義から対策まで、一般的な内容を網羅したが、実際のフィッシング詐欺の手口については深く触れることができなかった。今回は、注意すべきフィッシング詐欺の手口を詳しく解説する。被害に遭わないために相手の手口を知ることは重要である。手口を知ることでどう防御するかを考えることができるからだ。

 本物のWebサイトと偽物のポップアップウィンドウ複合型

 「ログイン画面はポップアップウィンドウで表示されるもの」と思っている人が多いのではないだろうか。実際に、インターネットバンキングにログインしようとすると、表示中のページの上にログインIDやパスワードを入力するためのウィンドウを表示する銀行がいくつか存在する。

 また、「ポップアップウィンドウにはアドレスバーがない」と思っている人も少なくないだろう。そこまで思っていなくとも、アドレスバーが隠されていても気付かなかったり、不審に思わないという人は結構いるのではないだろうか。確かに、以前の銀行のWebサイトなどではログイン画面がアドレスバーを隠したポップアップウィンドウになっていることが多かったので、そう勘違いしてしまう人がいてもおかしくはない。

 そこで登場したのが、本物のサイトをバックグラウンドにし、偽サイトをポップアップウィンドウで表示するフィッシング詐欺である。例として、HSBC Bankの本物のWebサイトと偽物のポップアップウィンドウを使ったフィッシング詐欺を見てみよう。

 まず、HSBC Bankをかたったメールが送られてくる。本文中のリンクをクリックすると、HSBC BankのトップページとBanking IDなどの情報を入力させるポップアップウィンドウが現れる(ポップアップブロックを無効にしている場合)。HSBC BankのWebページは本物でポップアップウィンドウは偽物だ。バックグラウンドに本物のWebページが表示されていれば、ポップアップの入力画面を疑う人は少ないだろう。それを狙っているのだ。

図1 本物のHSBC Bankのトップページと偽の入力画面
偽の入力画面を本物らしく見せるため、バックグラウンドに本物のWebサイトを表示している
(クリックして拡大)

 では、この手口を詳しく見てみよう。メールの差出人は「HSBC [DemetriAlbritton@hsbc.co.uk]」。HSBC Bankの担当者から送信されたように見えるが、これは偽装である。差出人はこれ以外にも、「HSBC Bank [ClovisBakay@hsbc.co.uk]」や「HSBC BANK [CalleyBijjani@hsbc.co.uk]」など数種類が確認されている。リストからランダムに選んで設定しているのだろう。

【編集部注】

上記に例として挙げたHSBC Bankの担当者のメールアドレスは、「@」を「@」に置換してあります

 件名は「HSBC: your email - yuji_hoshizawa@securebrain.co.jp」で、マイナス記号の後ろには受信者のメールアドレスが挿入される。差出人と件名が一定ではないため、フィルタリングは難しい。

図2 HSBC Bankをかたったフィッシング詐欺メール
テキストメールのように見えるがHTMLメール。偽サイトへは、GoogleとMSNのリダイレクト機能を使って接続する
クリックして拡大

 本文は一見テキストメールのようだが、実はHTMLメールである。テキストのみを使ってテキストメールのふりをしているのである。内容はメールアドレスの確認作業と偽って、フィッシング詐欺サイトに誘導するというものだ。ロゴマークを盗用したり、Webサイトのデザインを模倣したりするフィッシング詐欺メールが多い中、テキストのみのシンプルなものになっている。

 最近、こうした手口が増えているが、その理由の1つとして、金融機関などのフィッシング詐欺対策が進んだことが挙げられる。配信するメールをHTMLからテキストに切り替えたり、テキストメールしか送らないことを利用者に知らせたりしている。ウイルスや不正アクセスと同様に、ユーザーの対策意識が高まったり、対策技術が進化したりすると、フィッシング詐欺の手口も巧妙かつ悪質に進化するという“いたちごっこ”が続くのである。

 リンクのパス名は、ランダムに選択された無意味な文字の羅列である。これは、スパムフィルタを回避するためだ。リンクをクリックすると、GoogleとMSNのリダイレクト機能を悪用して偽サイトに接続する。

 Googleなどが提供しているリダイレクト機能は、本来クリック件数をカウントするためのものだが、フィッシング詐欺ではユーザーを欺くために使われている。一見、Googleにアクセスするかのように見えるからだ。GoogleやMSNだけでなく、eBayやYahoo!などのリダイレクト機能を利用した手口も存在する。

 また、この例では、リダイレクト先(href属性値の「target=」の後ろ)をパーセントエンコーディング(URLエンコーディング)して分かりにくくしている。

<A href="http://www.google.sh/url?q=http://go.msn.com/HML/5/5.asp?
target= http://%09%70e9%700i%70%%%2e%09%64%41.%%%%72%09%%75/" target=_blank>http://www.hsbc.co.uk/ypdGbr2JF4A6VgRWZit1xJ2t04
CfxcRovzbMILbko9v2UxC6cN4o4fp12np</A>
リンクをクリックすると、GoogleとMSNを経由してフィッシング詐欺へとジャンプするようにしたソース
http://%09%70e9%700i%70%%%2e%09%64%41.%%%%72%09%%75/がパーセントエンコーディングしたフィッシング詐欺サイトのURL

 メール本文中のリンクをクリックし、フィッシャー(フィッシング詐欺師)が用意した偽サイトにアクセスすると、HSBC Bankのトップページへ自動的にリダイレクトされる。これは、META要素のhttp-equiv属性でHSBC Bankのトップページをロードするように指定する、という単純な仕掛けだ。

 その後、onloadイベント(ページが読み込まれたときに発生する)でwindows.openを呼び出し、本物のサイトの上に偽の入力画面を表示している。このウィンドウのツールバーとアドレスバーはwindows.openのオプションで非表示になっている。アドレスバーが隠されているので、マウスボタンを右クリックし、ページのプロパティを表示させるなどをしなければサイトのURLを確認できない。

<HTML><HEAD>
<META HTTP-EQUIV="Refresh" CONTENT="0; URL=http://www.hsbc.co.uk/1/2/hsbc/about">
<SCRIPT language=JavaScript>
             // ensure top window
             if (window != top)
             {
                     top.location = window.location;
             }
</SCRIPT>
<title></title></HEAD>
<BODY bgColor=#ffffff onload="window.open
('welcome3.html', 'metoo7', 'top=205,left=230,width=410,height=250,
toolbar=no,location=no,scrollbars=no,resizable=no')">

</BODY></HTML>
<textarea style=display:none>
本物のWebサイトの上に偽のWebサイトをポップアップするHTMLソース
ピンク色の部分で本物のサイト(http://www.hsbc.co.uk/1/2/hsbc/about)を表示。緑色の部分で個人情報を入力させる偽のポップアップウィンドウを表示。ツールバー、アドレスバー、スクロールバーを非表示にし、サイズ変更を無効にしている

対策:META refreshを無効にする

Internet Explorer 6では、[インターネットオプション]−[セキュリティ]−[レベルのカスタマイズ]をクリックすると表示される[セキュリティの設定]ダイアログボックスで、[ページの自動読み込み]を[無効にする]に設定すればMETA refreshによるページの自動読み込みを無効にすることができる。

 偽の入力画面に情報を入れて[Verify]ボタンを押すと、確認作業終了のメッセージが表示される。未入力の情報があるとエラーメッセージが表示されるが、でたらめに入力しても確認作業終了のメッセージが表示されるので、入力されたデータのチェックは行われていない。別件では、入力データを本物のサーバに中継して真偽を確認するといった手の込んだ悪質な手口も存在する。

図3 入力画面で[Verify]ボタンを押すと、確認作業終了のメッセージを表示

 同様の手口のフィッシング詐欺は、HSBC Bank以外にも、ETRADEやSouthTrust Bankなどを装ったものが発見されている。

 
1/2


Index
本物と偽物のサイトを組み合わせるフィッシング詐欺
Page1
本物のWebサイトと偽物のポップアップウィンドウ複合型
  Page2
スパムフィルタ回避型
ステータスバー偽装型

関連記事
フィッシング詐欺対策として企業が負うべき責任
いまさらフィッシング詐欺にだまされないために

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間