フィッシング詐欺の被害が止まらない。フィッシング詐欺とは、メールなどに記載したリンク(URL▼)でユーザーを偽サイト(フィッシングサイト)に誘導し、個人情報などを盗むネット詐欺である(図1)。
古典的なネット詐欺の1つだが衰えるところを知らない。国内の業界団体であるフィッシング対策協議会には2021年8月の1カ月で、過去最多となる5万3177件の報告が寄せられた▼。
「リンクをクリックする際には、リンク先のドメイン名を確かめているので自分は被害に遭わない」と自信を持っている人は多いだろう。
確かに、クリック前にリンク先を確認するのはフィッシング詐欺対策の基本だ。だがその基本が通用しない、巧みなフィッシング詐欺キャンペーンが出現している。2021年8月下旬に米マイクロソフトが報告した▼。
なおここでのフィッシング詐欺キャンペーンとは、同様の手口で継続的かつ広範に実施される一連のフィッシング詐欺を指す。
正規サイト経由で詐欺サイトに
報告されたフィッシング詐欺キャンペーンでは、オープンリダイレクトが悪用されている。オープンリダイレクトとは、意図しない転送(リダイレクト)を発生させるWebサイト(Webページ)の脆弱性である(図2)。
Webサイトによっては、リンクをクリックしたユーザーをまず特定のページ(ランディングページ)に誘導し、その後別のページにリダイレクトする。この場合、ユーザーや環境によって変えられるように、リダイレクト先を変数で指定することがある。
例えばアクセス先が「http://example.com/redirect」、変数が「url」でリダイレクト先が「login.html」の場合には、以下のように指定することになる。
http://example.com/redirect?url=/login.html
ここで、urlの値として外部のWebサイト(ここでは「evil.example.jp」)を指定できる場合、「example.com」を経由してevil.example.jpにユーザーを誘導できてしまう。
http://example.com/redirect?url=http://evil.example.jp/login.html
このように、外部の任意のURLをリダイレクト先に指定できてしまうのがオープンリダイレクトの脆弱性だ。リンクを確かめて「example.comなら大丈夫」と思ったユーザーがクリックすると、攻撃者が用意した「evil.example.jp」のログインページにリダイレクトされる。フィッシング詐欺に“うってつけ”の脆弱性といえる。
