Webサイトの代表的な脆弱性の1つであり、セキュリティー組織などは以前から注意を呼びかけている。そのかいあってか近年では減っているようだが、それでもたまに大手企業のWebサイトでも報告されることがある。マイクロソフトの報告では具体的な企業名を明らかにしていないが、大手だと推測される。
実際の「わなリンク」は複雑だ。リンクに仕込んだ細工が分かりにくいように、他の変数を多数入れたり、文字列をエンコードしたりしている。
マイクロソフトが公開した例では、フィッシングメールはZoomミーティングの招待メールに見せかけている。HTMLメールであり、メール中の「Re-view Invitation」にマウスカーソルを置くと、リンク先のURLが表示される。
URLは「http://t.emails.(伏せ字).com/r/?」で始まり、複数の変数や文字列が長々と続いた後に「c-hi.xyz?=(エンコードした受信者のメールアドレス)」で終わっている。
「(伏せ字).com」は大手企業の信頼できるドメイン名なので安心してクリックすると、「(伏せ字).com」のWebサイトではなく攻撃者が用意した「c-hi.xyz」に誘導される。
これ以外にも「c-tl.xyz」「a-cl.xyz」「j-on.xyz」「p-at.club」「i-at.club」「f-io.online」といったドメインが誘導先として使われていた。現時点ではいずれのドメインも既に閉鎖されている。
そのほか、マイクロソフトをかたるフィッシングメールの例も紹介している。こちらも有名企業のWebサイトに存在するオープンリダイレクトを悪用しているとみられる。リンクには多数の変数を記載してリダイレクト先が分かりにくいようにしている。リンクをクリックするとf-io.onlineに誘導される。
さまざまな工夫で信用させる
今回のフィッシング詐欺キャンペーンでは、オープンリダイレクト以外にも複数の工夫が凝らされている。その1つがCAPTCHA認証だ。
CAPTCHA認証とは、そのWebページにアクセスしているのがプログラム(ロボット)でなく人であることを判別するための認証。例えば複数の画像を表示して、指定されたもの(例えば「自動車」)が含まれる画像を選択させる。
わなリンクで誘導された偽サイトでは、米Google(グーグル)が無料で提供するreCAPTCHAサービスを使ってCAPTCHA認証を実施する。クローラーから偽サイトを隠すためである。
