「@」と偽の「/」を用いた偽装URLによるフィッシングの手口が話題に

セキュリティニュース
ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

「@」と偽の「/」を用いた偽装URLによるフィッシングの手口が話題に

– 8月30日(日本時間)、インプレス社「やじうまの杜」において、同29日にX(旧・Twitter)で取り上げられ話題となったフィッシングの手口が言及されています。

– メール記載のリンクにマウスカーソルを合わせて表示されるURLでは「https:// 」の直後に一見本物のドメイン名が書かれているように見えますが、実際には「@(アットマーク)」の後ろに記載されているフィッシングサイトにアクセスするというものです。

– 昔から利用されていたURL形式で、ホスト名の前に「@」と認証情報を記載する仕様を悪用し、その箇所でドメイン名とパスとを区切る「/(スラッシュ記号)」に偽装して「スラッシュっぽく見える別の文字」を使う等、より誤認しやすい手口を用いています。

– 記事では、メールは基本的に「信用できないものとして扱うべき」とし、銀行やカード会社からの連絡は公式Webサイトや専用アプリで確認すべきとしています。

AUSからの所感 AUSからの所感

古くはFTPで、現在でもHTTPのBASIC認証等において、ユーザー名・パスワードを「https://username@example.co.jp/path」もしくは「https://username:password@example.co.jp/path」といった形式で記載するのが本来の用法で、今回の手口では「username」「username:password」の部分で偽装を行っており、また「スラッシュっぽく見える別の文字」としては、UnicodeのU+2044(FRACTION SLASH)・U+2215(DIVISIONSLASH)・U+29F8(BIG SOLIDUS)等、多くの種類が考えられます。

従来のフィッシングにおける、リンク先URLのホスト名(FQDN)に本物のドメイン名やそれと似た文字を含む、さらには国際化ドメイン名(IDN)の仕様を突いてアルファベット以外の似た文字を用いるケースと異なり、偽のドメイン名の登録やDNSの用意は必要でなく、「@」より前の部分でIDNで許可されていない記号(「スラッシュっぽく見える別の文字」も含まれます)を利用可能であるという「利点」があると考えられます。

ブラウザー・メーラー側やメールサーバー上・UTM等でのメールチェックにおいて、リンクURL中に不審なUnicode文字を含む認証情報部分がある場合に警告を出す、または認証情報部分の誤認されやすい記号等をURLエンコード状態で表示する、といった対策が取られるものと考えられる一方、DNSによる不審サイトのブロックサービスではFQDN部分のみをチェックするため回避される可能性があることに注意が必要でしょう。


XSS攻撃による不正アクセスで改ざん…個人情報21,728件・クレカ情報11,844件流出か

– 5月17日(日本時間)、全国漁業協同組合連合会(JF全漁連)より、ECサイト「JFおさかなマルシェ ギョギョいち」が不正アクセスを受け、個人情報およびクレジットカード情報が流出した可能性があると発表されました。

– 8月19日に発表された続報によれば、被害を受けたのは、サイトに会員登録した21,728件の氏名・性別・生年月日・メールアドレス・住所・電話番号と、2021年4月22日~2024年5月14日にサイトでの決済に使用されたクレジットカード情報11,844件のカード番号・有効期限・セキュリティコード(CVV)とされています。

– 5月14日にサイトの一部が改ざんされているとの警視庁からの連絡を受けサイトを停止しており、「サイト構築サービスにおけるクロスサイトスクリプティング(XSS)の脆弱性を突いての不正アクセスにより、不正ファイルの設置およびペイメントアプリケーションの改ざんが行われた」としています。

AUSからの所感 AUSからの所感

当該サイトは現在も閉鎖中ですが、取り扱っていた商品は全国農業協同組合連合会(JA全農)「JAタウン」で販売しているとのことです。

XSSから不正アクセスに至った経緯は、あくまで推測ながら、管理画面内で脆弱性が発現するよう仕掛ける不正な注文等を行う、いわゆる「Stored XSS(格納型・持続型XSS)」の攻撃を受けた可能性が考えられます。

– ECサイトを構築するメジャーなソフトウェアにおいても度々そのような脆弱性が発見・修正されており、随時最新のバージョンにアップデートすること、また特に独自でサイトを構築した場合は、可能な限り管理画面側も含めXSS他の脆弱性がないか第三者による診断を受けることを推奨致します。


Windowsを脆弱なバージョンにダウングレードする攻撃「WindowsDowndate」

– 8月7日(現地時間)、セキュリティカンファレンス「Black Hat USA」において、セキュリティ企業SafeBreach社の研究者により、Windowsを最新ではない脆弱なバージョンにダウングレードさせる攻撃「Windows Downdate」が発表されました。

– Windows Update機能を含むOSの脆弱性を悪用してこれを乗っ取り、OSを過去の脆弱なバージョンに戻したうえで、「完全にパッチ適用済み」であると偽装させるものとなっています。

– マイクロソフト(以下・MS)では2月にSafeBreach社から連絡を受けていたとし、8月7日に脆弱性「CVE-2024-21302」「CVE2024-38202」として情報を発表、同14日の月例セキュリティアップデートでは一部(CVE-2024-21302)について対策しています。

AUSからの所感 AUSからの所感

– Windowsが最新のバージョンかは、通常であればwinverコマンド等で表示される「OS ビルド」の番号とMSの情報を照合させることにより確認可能ですが、ダウングレード攻撃の際に一部コンポーネントのみを差し替えられたり、ビルド番号を改ざんされたりすることも考えられます。

今回の攻撃に関連する脆弱性はリモートから直接悪用可能ではない模様ですが、とにかくこのような攻撃を目論むマルウェアへの感染等を防止するため、OSを最新に保ち、アンチウイルスやUTMによる防御を固めること、またサーバーへのリモートデスクトップからの不正アクセス等にも注意を払うことが肝要です。

– 8月時点で対策されていない残りの脆弱性(CVE-2024-38202)についてMSよりリスク軽減策が提案されているものの、将来的にはこれもアップデートによって解消されること、また攻撃が成立してダウングレードされた状態となっていないか検知あるいは修復できるような機構やツールが提供されることを期待したいものです。