PR

 2010年5月末、フィッシング詐欺に悪用可能な新しい手口が公表された。 Webブラウザーに表示されているタブの内容を、偽のログインページなどに変更してユーザーをだます。悪用の報告はまだないが、実際に使われる危険性は高い。悪用される前に、その手口を知っておこう。

 今回の手口を公開したのは、Webブラウザー「Firefox」などを開発する米モジラの研究者エイザ・ラスキン氏。ユーザーの心理を突く巧みな手口なので悪用される危険性が高いとして、注意喚起のために情報を公開した。

 新しい手口の流れは次の通り。攻撃者はまず、メールやリンクなどで、自分の管理下にあるWebページにユーザーを誘導する(下図の(1))。この点は通常のフィッシング詐欺と同じ。通常の手口では、偽のログインページなどに誘導し、ユーザーIDやパスワードを入力させて盗む。それに対して今回の手口では、誘導したページは一見まともな内容にして、ユーザーに警戒させない(同(2))。

 その後、ユーザーがタブを切り替えて別のタブの内容をブラウザーに表示させると(同(3))、攻撃者のWebページに仕込まれたプログラム(JavaScript)が“発動”。隠れているタブのタイトルやアイコン(ファビコン)、表示している内容を、パスワードなどを盗むための偽ページに切り替える(同(4))。これが、今回の手口のポイントである。ラスキン氏が公開しているデモでは、最初は技術解説だったWebページ(タブ)が、「Gmail」のログイン画面に見せかけた偽ページに切り替わる(同(5))。
URLの確認を忘れずに

 Webページの見た目は変わるものの、アドレスバーのURLは変更されない。最初にアクセスした攻撃者サイトのURLのままだ。だがラスキン氏によれば、ユーザーの多くは、タブのアイコンやタイトルなどが本物そっくりなら、URLまではチェックしないという。

 そもそも、開いているタブの内容が変わるとは考えもしない。このため、既に開いているタブにGmailのログインページが表示されていれば、何らかの理由でGmailからログアウトしてしまったと考える可能性が高い。

 そう考えたユーザーは、再度ログインするために、ユーザーIDとパスワードを入力するだろう(同(6))。これで、フィッシング詐欺は“成功”。偽ページはその後、本物のGmailのページにリダイレクトして、だまされたことをユーザーに気付かせない。

 今回のような手口にだまされないためには、既に開いているタブであっても、個人情報を入力する際には、URLをきちんとチェックすることが重要だ。隠れているタブの内容が、いつの間にか変わっている可能性はゼロではない。タブのアイコンやタイトルは簡単に偽装できる。過信してはいけない。

●タブが隠れると仕掛けが発動、ユーザーの意表を突く
今回報告されたフィッシング詐欺の新手口。画面の一部は、発見者であるエイザ・ラスキン氏のデモから引用した。攻撃者のWebページを表示しているタブが隠れると、そのページに仕込まれたプログラム(JavaScript)が発動。そのWebページの内容を、パスワードを盗む偽のログインページなどに変更する
今回報告されたフィッシング詐欺の新手口。画面の一部は、発見者であるエイザ・ラスキン氏のデモから引用した。攻撃者のWebページを表示しているタブが隠れると、そのページに仕込まれたプログラム(JavaScript)が発動。そのWebページの内容を、パスワードを盗む偽のログインページなどに変更する
[画像のクリックで拡大表示]