世界のセキュリティベンダーのブログから、押さえておきたい話題をピックアップして紹介する。最初は新たなフィッシングの手口について。トレンドマイクロが追跡している、日本のショッピングサイトを狙う新たな手口「Operation Huyao」である。フィッシングサイトの脅威の様相を著しく変える可能性があるとして、トレンドマイクロが概要を説明している。
Huyaoは中国語で狐の妖怪のこと。ユーザーを巧みにだます振る舞いを狐にたとえたことに加え、攻撃の発信源が中国と思われることから命名したという。攻撃者は正規サイトを模倣したコピーを作成する必要がなく、フィッシングページに正規サイトへの中継の役割をするプロキシープログラムを埋め込めば済む。
従来のフィッシングサイトはそれぞれのオンライン店舗の偽装サイトを用意しなければならないが、Operation Huyaoでは以下のように1つの不正なドメインを用いて複数のオンライン店舗になりすます。ここにある「tslyphper」の部分は、中継プログラムの役目を果たすもので、なりすましの対象となるオンライン店舗のURLを含んだ文字列になる。
http://{不正ドメイン}/clothes/tslyphperaHR0cDov{ブロック済み}.html
攻撃者が用意した不正サイトは正規サイトのプロキシーとして振る舞う。ユーザーがブラウジングをしている限り、オリジナルのサイトのコンテンツを表示する。パソコン、スマートフォン、タブレット端末など使用デバイスが何であろうと、どのブラウザーを使っていようと関係ない。
攻撃手口の流れ
フィッシングページではオリジナルのサイトと同じコンテンツが表示されるが、「買い物カゴに入れる」ボタンは攻撃者が用意している。ユーザーが商品を購入しようとして「買い物カゴに入れる」ボタンをクリックすると、保護されていないHTTP接続を介して、偽の購入手続き画面に誘導される。これ以降のページはすべて、攻撃者が情報を盗むために作成したものだ。偽の購入手続き画面では、氏名、住所、電話番号、電子メールアドレス、パスワードなどの入力が要求される。
入力が終わると、クレジットカード認証サービスを装うページが表示される。ここではカード所有者の身元を証明するIDおよびパスワードを入力するよう促される。身元認証が終わると、ユーザーの電子メールアドレスに、注文確認の電子メールが配信される。被害ユーザーは、オンライン購入の手続きが無事に終わったと思い込み、自分がフィッシング詐欺に遭ったことには気づかない。
これまでのところ、Operation Huyaoは特定の日本のショッピングサイトをターゲットにした攻撃しか確認されていない。しかしこの手口がより広く使われるようになれば、深刻な事態に発展する可能性があると、トレンドマイクロは懸念を示している。
