HOME コラム一覧 知って得するセキュリティのはなし  その273

知って得するセキュリティのはなし  その273

post_visual

「@」と偽の「/」を用いた偽装URLによるフィッシングの手口が話題に

1.このニュースをざっくり言うと

- 8月30日(日本時間)、インプレス社「やじうまの杜」において、同29日にX(旧・Twitter)で取り上げられ話題となったフィッシングの手口が言及されています。
- メール記載のリンクにマウスカーソルを合わせて表示されるURLでは「https:// 」の直後に一見本物のドメイン名が書かれているように見えますが、実際には「@(アットマーク)」の後ろに記載されているフィッシングサイトにアクセスするというものです。
- 昔から利用されていたURL形式で、ホスト名の前に「@」と認証情報を記載する仕様を悪用し、その箇所でドメイン名とパスとを区切る「/(スラッシュ記号)」に偽装して「スラッシュっぽく見える別の文字」を使う等、より誤認しやすい手口を用いています。
- 記事では、メールは基本的に「信用できないものとして扱うべき」とし、銀行やカード会社からの連絡は公式Webサイトや専用アプリで確認すべきとしています。

2.執筆者からの所感等

- 古くはFTPで、現在でもHTTPのBASIC認証等において、ユーザー名・パスワードを「https://username@example.co.jp/path」もしくは「https://username:password@example.co.jp/path」といった形式で記載するのが本来の用法で、今回の手口では「username」「username:password」の部分で偽装を行っており、また「スラッシュっぽく見える別の文字」としては、UnicodeのU+2044(FRACTION SLASH)・U+2215(DIVISION SLASH)・U+29F8(BIG SOLIDUS)等、多くの種類が考えられます。
- 従来のフィッシングにおける、リンク先URLのホスト名(FQDN)に本物のドメイン名やそれと似た文字を含む、さらには国際化ドメイン名(IDN)の仕様を突いてアルファベット以外の似た文字を用いるケースと異なり、偽のドメイン名の登録やDNSの用意は必要でなく、「@」より前の部分でIDNで許可されていない記号(「スラッシュっぽく見える別の文字」も含まれます)を利用可能であるという「利点」があると考えられます。
- ブラウザー・メーラー側やメールサーバー上・UTM等でのメールチェックにおいて、リンクURL中に不審なUnicode文字を含む認証情報部分がある場合に警告を出す、または認証情報部分の誤認されやすい記号等をURLエンコード状態で表示する、といった対策が取られるものと考えられる一方、DNSによる不審サイトのブロックサービスではFQDN部分のみをチェックするため回避される可能性があることに注意が必要でしょう。

執筆者情報

profile_photo

株式会社アルテミス

株式会社アルテミスは、1995年(平成7年)に設立以来、情報通信および情報セキュリティという事業領域において、お客様ニーズに合わせてワンストップにて各種ソリューションを提供しています。
自社製品として情報セキュリティ関連の各種シリーズをリリース、そのほか、ネットワークセキュリティの分野では、疑似侵入診断サービス、Webアプリケーション診断サービスなどによるネットワークの脆弱性診断などを展開するなど、官公庁・金融機関・一部上場企業を初めとする大手・中堅企業から中小企業に至るまで、多くの企業がセキュアなシステムを構築するための支援を首尾一貫して提供しています。
特に50名以下の管理者がいない法人(SMB)法人に対してセキュリティ+マネージドサービスを提供しています。
SMB市場でのセキュリティ機器&サービスは、提案、購入するだけでは、エンドユーザへの『真の導入には至らない』ため、システム管理者が不在でも、機器の運用、サービスの運用、 IT機器の活用方法、トラブル対応、リスク対応などを標準化した商品を提供しています。

株式会社アルテミス
https://www.artemis-jp.com/

株式会社アルテミス AUS便り
https://www.artemis-jp.com/wp/aus_arc/

この記事のカテゴリ

この記事のシリーズ

知って得するセキュリティのはなし

記事の一覧を見る

関連リンク

知って得するセキュリティのはなし  その272

税務・会計に関する情報を毎週無料でお届けしています!

メルマガ登録はこちら


コラム
/column/2024/img/thumbnail/img_36_s.jpg
- 8月30日(日本時間)、インプレス社「やじうまの杜」において、同29日にX(旧・Twitter)で取り上げられ話題となったフィッシングの手口が言及されています。- メール記載のリンクにマウスカーソルを合わせて表示されるURLでは「https:// 」の直後に一見本物のドメイン名が書かれているように見えますが、実際には「@(アットマーク)」の後ろに記載されているフィッシングサイトにアクセスするというものです。- 昔から利用されていたURL形式で、ホスト名の前に「@」と認証情報を記載する仕様を悪用し、その箇所でドメイン名とパスとを区切る「/(スラッシュ記号)」に偽装して「スラッシュっぽく見える別の文字」を使う等、より誤認しやすい手口を用いています。- 記事では、メールは基本的に「信用できないものとして扱うべき」とし、銀行やカード会社からの連絡は公式Webサイトや専用アプリで確認すべきとしています。
2024.09.06 14:54:00