全3456文字

 フィッシング詐欺の被害が止まらない。フィッシング詐欺とは、メールなどに記載したリンク(URL)でユーザーを偽サイト(フィッシングサイト)に誘導し、個人情報などを盗むネット詐欺である(図1)。

図1●フィッシング詐欺の一般的な手口
図1●フィッシング詐欺の一般的な手口
攻撃者は、有名企業などをかたる偽のメールでユーザーを偽サイト(フィッシングサイト)に誘導し、パスワードやクレジットカード番号などを入力させて盗む。
[画像のクリックで拡大表示]

 古典的なネット詐欺の1つだが衰えるところを知らない。国内の業界団体であるフィッシング対策協議会には2021年8月の1カ月で、過去最多となる5万3177件の報告が寄せられた

 「リンクをクリックする際には、リンク先のドメイン名を確かめているので自分は被害に遭わない」と自信を持っている人は多いだろう。

 確かに、クリック前にリンク先を確認するのはフィッシング詐欺対策の基本だ。だがその基本が通用しない、巧みなフィッシング詐欺キャンペーンが出現している。2021年8月下旬に米マイクロソフトが報告した

 なおここでのフィッシング詐欺キャンペーンとは、同様の手口で継続的かつ広範に実施される一連のフィッシング詐欺を指す。

正規サイト経由で詐欺サイトに

 報告されたフィッシング詐欺キャンペーンでは、オープンリダイレクトが悪用されている。オープンリダイレクトとは、意図しない転送(リダイレクト)を発生させるWebサイト(Webページ)の脆弱性である(図2)。

図2●URL冒頭のドメインとは異なるWebサイトに誘導
図2●URL冒頭のドメインとは異なるWebサイトに誘導
オープンリダイレクトの概要。オープンリダイレクトは、意図しない転送(リダイレクト)を発生させるWebサイト(Webページ)の脆弱性。信用できるWebサイトにアクセスしたつもりなのに、偽サイトなどに誘導されてしまう。
[画像のクリックで拡大表示]

 Webサイトによっては、リンクをクリックしたユーザーをまず特定のページ(ランディングページ)に誘導し、その後別のページにリダイレクトする。この場合、ユーザーや環境によって変えられるように、リダイレクト先を変数で指定することがある。

 例えばアクセス先が「http://example.com/redirect」、変数が「url」でリダイレクト先が「login.html」の場合には、以下のように指定することになる。
http://example.com/redirect?url=/login.html

 ここで、urlの値として外部のWebサイト(ここでは「evil.example.jp」)を指定できる場合、「example.com」を経由してevil.example.jpにユーザーを誘導できてしまう。
http://example.com/redirect?url=http://evil.example.jp/login.html

 このように、外部の任意のURLをリダイレクト先に指定できてしまうのがオープンリダイレクトの脆弱性だ。リンクを確かめて「example.comなら大丈夫」と思ったユーザーがクリックすると、攻撃者が用意した「evil.example.jp」のログインページにリダイレクトされる。フィッシング詐欺に“うってつけ”の脆弱性といえる。