目で見る「アドレスバー偽造型」フィッシング詐欺の手法   2004/11/11 03:00

深刻な問題となりつつあるフィッシング詐欺は日々進化している。そんな詐欺メールの最新手法を紹介しよう。この手口は日本語フィッシングメールにも悪用され始めた。


今のところ、日本ではまだ深刻な被害が出ていない(と願いたい)オンライン詐欺もどき、通称「フィッシング」が、米国を中心に深刻な問題となっている。先日来日したSymantec会長兼CEOのジョン・トンプソン氏のスピーチでも、脆弱性が悪用された例として当然のごとくフィッシングが語られていた。

フィッシングは個人情報を盗み出すためのテクニックのひとつと言える。金融機関やオンラインショッピングを装ったWebサイトに誘導し、「あなたの個人情報が危険にさらされているため」などともっともらしい理由をつけて、パスワードなどの重要なデータを自ら入力させるよう仕向け、まんまとそれらの個人情報を盗み取る、というわけだ(その意味で、個人情報はまさに「危険」にさらされているわけだが)。

当然ながらそのために、フィッシング詐欺師たちは正規のサイトと似たようなドメインを取得し、似たような入力画面を作り……と、あらゆる手を講じてくる。

さて、そのフィッシングメールだが、実際にご覧になった方はどのくらいいるだろう? そのメールはどのような形式なのだろうか?

筆者は現在、スパムメールの現状と対策をテーマにした原稿を作成しており、そのための情報収集中だ。その過程でなかなか興味深いフィッシングメールが届き、画像類を収集することができたので、今日はその手法を紹介したい。

詐欺師もお金がかかると必死なのだ

今回取り上げるフィッシングメールは、単にURLをクリックさせ、偽装サイトに誘導するといったものよりも、もうちょっと手が込んでいる。それらしいHTMLコンテンツを用意するだけでなく、Webサイトの身元が表示されるはずの「アドレスバー」を偽装して、ユーザーを騙そうとするのだ。

筆者のメイン環境はWindows XP……SP1である。当然、重要なパッチ類はすべて当てた環境で作業している。しかしこの状態でも、フィッシングサイトのこの「仕掛け」は有効に機能した。

フィッシング詐欺で騙られるサイトの筆頭に挙げられるのは米Citibankだ。ある日、スパムメールの収集に励んでいたところ、その最新版と思しきメールが届いた。

From: Citibank
Subject: Citibank Alerting Service

タイトルだけ見れば、まあいかにも「Citibankからのお知らせ」という体裁である。だが……

Received: from ppp-217-133-228-13.cust-adsl.tiscali.it
(ppp-217-133-228-13.cust-adsl.tiscali.it [217.133.228.13])

こうしてヘッダーを見れば一目瞭然だが、このメールをうちのメールサーバに届けたのはイタリアのADSLサービスと思しきホストからである。Citibankからの正当なメールとはとうてい思えない。ゾンビマシンによるスパムと判定してよさそうだ。そもそも筆者は、米Citiに口座なんか持っていない。

では本文は? と思って読んでみると

Dear Citibank Customer
We were unable to process the recent transactions on
your account. To ensure that your account is not
suspended, please update your information by clicking *here*
If you have recently updated your information, please
disregard this message as we are processing the
changes you have made.
(注:hereの部分はフィッシングサイトへのリンク)

要するに「あなたの情報を入れろ」ということで、フィッシング確定である。

では、そのフィッシングサイトにアクセスしてみよう。いやぁ、実によくできていますね。慌ててアクセスしたら勘違いしてしまうのも無理はないくらい、作り込まれてます。

画面1●本物のCitibank(http://www.citibank.com/)のサイト

画面2●IE 6とWIndows SP2の組み合わせでアクセスした偽サイトの画面

……でも、ズラずれてます

上記の画面は縮小された形で掲載しているため、ほとんど区別が付かないと思うが、よくよく見るとアドレスバーの下に妙な文字列が見えるはずだ。これが、今回のフィッシングメールの「ミソ」である。

その部分を拡大したのがコレだ。

画面3●Googleツールバーの直下に注目。「先生! ズラずれてます」

ん? と思ってSP1環境(こちらはクラシックウィンドウ)で同じサイトにアクセスしてみた結果はこちら。

画面4●今度はGoogleツールバーが上書きされるような形に

さらにGoogleツールバーを外すとこうなる(どちらも部分拡大)。

画面5●これでようやく(?)アドレスバー偽造が成功

ということで、アドレスバーの部分を上書きすべく、それなりに犯人が意図したような画像が出ることが分かる(HTMLソースを見ると、本当は本物サイトそっくりに表示させたいらしいのだが、バグがあるのか日本語版IEではうまく表示されない)。

ついでにいうと、フィッシングサイトの見分け方にはもう1つポイントがある。この手の詐欺サイトが電子証明書を取得し、SSLなぞ入れているわけがない。したがって、たとえアドレスバーが「https://」の文字列から始まっていても、ブラウザ右下を確認すれば「鍵アイコン」は表示されておらず、暗号化が行われていないことが分かる。この時点でかなり怪しいことが分かるだろう。

ちなみに、先のフィッシングサイトのIPアドレスはブラジルで管理されているものだ。詐欺師はさっそくWebサイトを引き上げたらしく、現在はこのURLにアクセスしても先のような画面は得られない。

オレオレ詐欺でもそうだが、犯人は足がつくことを恐れ、ある程度の成果が得られればすみやかに姿を隠そうとするらしい。したがって、フィッシングメールは鮮度も重要ということだから、ある程度メールを腐らせれば安心といえなくもない。まぁ、だからこそフィッシングを仕掛けるほうは、「危ないから急いで変更して!」と被害者を急かすわけだ。

カラクリはJavaScript

今回のようなことが可能になったカラクリはJavaScriptにある。HTMLソースを見ると以下の変数代入文があった。

vuln_y= window.screenTop-21;

この「window.screenTop」は、Webブラウザの描画画面の開始位置を示す。ここからマイナス方向に文字列画面を入れ込むことによりアドレスバー表示を上書きし、結果としてアドレスバー偽装型のフィッシングを許す原因になっているのだ。

なおこのソースは、描画ウィンドウのすぐ上にアドレスバーがあることを前提にして、パラメータを決め打ちで指定している。そのため、Googleツールバーなどをインストールしている場合は画像がずれ、「おや?」と思わせることになったわけだ。

JavaScriptがWeb画面の自由度を高めてくれているのは分かる。しかし、ブラウザの画面外にまで描画できてしまうのは問題ではないだろうか。

また、同じIE 6でも、Windows XP SP2とSP1上で挙動が異なるのは、マイクロソフトが問題を認めて修正したからだと考えるのが妥当だと思う。ではなぜ、SP1向けには修正が提供されないのだろうか? もちろんSP2で提供される「セキュリティセンター」のような新機能までがSP1で提供されないのは理解できるが、JavaScriptの「仕様変更」は、その影響の広さからも、SP1向けにも提供されてしかるべきものだと思うのだが……。

ともあれ、今回のフィッシングメールから得られた教訓は3つある。

1. フィッシングは身近な脅威として迫りつつあることを認識すべし

今のところ、大規模かつ非常に似通った手法による日本語でのフィッシング事例は報道されていない。しかし雛形さえあれば、「オレオレ詐欺」のようにあっという間に亜流が広まることは十分考えられる。今のうちに傾向と対策を考えておいたほうがよい。

2. XP SP2以外の環境では、JavaScriptでアドレスバー偽装ができてしまうことに注意

ただし、今回のような「数値決め打ち」の実装ならば、「何とかツールバー」をひとつインストールしておけば対処できるし、Windows XP SP2でも対応できる。スクリプト機能を無効にしてしまうという手もあるが、現実的にはアクセスできないサイトだらけになってしまうのが難点だ。

3. SSL偽装は鍵アイコンでチェック

鍵アイコンの偽装ができるかどうかは別として、少なくともお金が絡むサイトならば、SSLで保護されていてしかるべきだ。特に金融系ならば、せめて「128bitの暗号化は当たり前」と考え、アクセスする際には最低でも、マウスカーソルを鍵アイコンに当ててチェックする習慣を付けておくとよいだろう。

画面6●そのサイトがSSLを利用しているか、鍵アイコンにマウスを当ててチェック。余裕があればさらにクリックし、電子証明書の内容も確認したい

画面7●たとえフィッシング詐欺サイトではなくても、こんな表示が出た場合、センシティブな情報を入力するのはお勧めできない

なお、上は筆者が普段利用しているクレジットカードのインフォメーションサイト、下はこの前アクセスして、「いまどき40bitで暗号化?」と疑問に思った某ショッピングサイトの表示だ。

わざわざ「プロパティ」を参照してURLを確認するのは面倒でも、マウスをちょっと右下にずらすことで、フィッシング詐欺を見抜けるならば安いものだ。日ごろから鍵アイコンをチェックする習慣をつけておけば、トラブルをなくすとまではいかなくとも、減らすことができるだろう。

日本語での悪用も出現

……と、ここまで書いて脱稿した後、ビザ・インターナショナルの名前を騙って情報を詐取しようとする、日本語で書かれたフィッシングメールが発生したことが明らかになった。残念(?)ながらこのメールは、筆者の元には届いていないため詳細は不明だが、情報を収集した限りでは、今回紹介したテクニックが用いられ、アドレスバーが偽造されている可能性が高い。

画面8●VISAをかたったフィッシングメールが示すWebサイトにアクセスしてみた

画面9●先のCitibankの例と同様、アドレスバーを別の画面で上書きしようと試みていることが分かる

また、さらに別の、二段構えのフィッシングテクニックも明らかになっている(11月8日の記事参照)。

このようにフィッシング詐欺の手口は日進月歩で――原稿に手を加えているほんの数日の間でさえ――進化しつつある。今後は重要な情報はオンラインでは入力しないか、どうしても入力するならば少なくともSSLの鍵アイコンのチェックだけでも行うなど、細心の注意を払う必要があるだろう。