PR

Symantec Security Response Weblog
How Phishes Reach the Basket」より
January 13,2009 Posted by Davide Veneziano

 筆者は以前書いたブログ記事で,フィッシング・キットがどのようなものであるかを解説した。さらに,フィッシング・キットがよく備えている,フィッシングとして知られるソーシャル・エンジニアリング攻撃に加担する詐欺師向け機能についても書いた。今回は,このようなフィッシング・キットに採用されているデータ送信方法に焦点を当てる。つまり,フィッシング被害者から集めた情報を保存し,最終的に詐欺師の元へ届ける手段を説明する。

 データ送信方法の進化は,Web技術のたゆまぬ進歩と密接に関係している。我々が数年前に初めて遭遇したフィッシング攻撃は,完全に静的なHTMLだけで構成されていた。その当時,動的なコンテンツをホスティングできる処理能力を持つWebサーバーは非常に珍しかった。そのような時代ではあるが,集めた個人情報の送信にぜい弱な「入力データをメールで送信するWebフォーム」用プログラムを使うことが一般的だった。こうしたプログラムは簡単なCGIスクリプトであり,Webフォーム経由で入力されたデータを取得し,特定のあて先にメールで送る。

 動的コンテンツをホスティングできるWebサーバーが増えたうえ,自由に使えるメール送信Webフォーム用プログラムも姿を消したため,フィッシング・キットも状況に合わせて変化した。この変化で中心的な役割を担ったのは,PHP対応Webサーバーである。Antonio Forzieri氏がブログ記事で強調したとおり,詐欺師は動的な言語を使うことで強力かつ高度なフィッシング・キットを開発できるようになり,オンライン詐欺対策サービス・プロバイダから自分たちの行為を守る先進的な対抗策まで組み込むようになった。

 動的言語で作られたフィッシング・キットは,偽Webサイトをホスティングしているサーバー上にテキスト・ファイルを作り,そこに被害者から集めた情報を書き込む。情報をメールで外部に送信することも可能だ。なお,情報をメールで送信する場合は,フィッシング・キットに組み込まれた自前のPHPメール・エンジンを使う。これに対し,前述のWebフォームは,フィッシング・キットと無関係の外部メール送信「サービス」に頼っていた。

 集めた個人情報を送信する手段として,メールを使う方法は現在でも主流だ。状況によっては,サーバー上のテキスト・ファイルも利用される。ただし,テキスト・ファイル方式は,別の詐欺師や,標的であるはずの金融機関そのものといった他者にもデータを読まれかねない。これは,詐欺師にとってリスクであり,受け入れがたい欠点だろう。個人情報の送信にぜい弱なメール送信Webフォーム用プログラムを悪用する旧式の攻撃でさえ,いまだ現役である。

 以下の表は,詐欺師の視点で各データ送信手段の長所と短所を整理したものだ。

[画像のクリックで拡大表示]

 外部から自由に使用可能なメール送信Webフォーム用のCGIプログラムは見かけなくなってきたが,同じ目的に利用できるWebアプリケーションの各種ぜい弱性が存在する状況は変わっていない。これら新たなセキュリティ・ホールの悪用事例はまだないが,攻撃手段として実際に使われるのは時間の問題だと思う。Webアプリケーション開発者は基本的なセキュリティ原則にそってセキュリティ・ホールの発生を防ぎ,詐欺師に攻撃し続けられる隙を与えないように努力しよう。


Copyrights (C) 2009 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「How Phishes Reach the Basket」でお読みいただけます。