“フィッシング”に悪用可能なセキュリティ・ホールが続出

勝村幸博

2004.07.01

　国内でも話題になり始めた“フィッシング”。フィッシングとは，実在する企業から送られたように見せかけたメールなど偽のWebサイトへユーザーを誘導し，クレジット・カード番号などを入力させる詐欺行為である（関連記事）。

　米国では大きな被害をもたらしているという。フィッシングによる被害が大きくなるにしたがって，フィッシングに悪用可能な，ブラウザやメール・ソフトのセキュリティ・ホールが次々と報告され始めた。それらはアドレス・バーやステータス・バーの偽装を許すだけで，それら自体の危険度はそれほど大きくない。それらを突いて直接攻撃することなどできないからだ。ただし，フィッシングという詐欺行為に用いられると危険になりうる。フィッシングに悪用可能なセキュリティ・ホールは，IT Proでも複数報じている。本稿ではそれらをまとめる。

編集部にも送られてきた，ホールを突くフィッシング・メール

　フィッシングを“成功”させるには，ユーザーに（1）「偽メールの送信元を有名企業に思わせる」，（2）「偽メール中に記載したリンクを，有名企業のサイトへ誘導するものだと思わせる」，（3）「誘導されたサイトを，有名企業のサイトだと思わせる」――ことが重要である。

　フィッシングを試みる“フィッシャー”は，送信者名（Fromアドレス）の詐称やメール本文の工夫で（1）を実現させようとする。ただし（2）については，リンク部分にマウス・カーソルを当てると，飛び先のURLがメール・ソフトのステータス・バーに表示されるので，注意深いユーザーには見破られる。（3）についても，いくらページの体裁を有名企業のものにしても，ブラウザのアドレス・バーには本当のURLが表示されるので，ばれてしまう。

　これらを避けるため，フィッシャーは工夫する。例えば，リンクに仕込んだURLをASCIIコードにエンコードして分かりにくくしたり，誘導したページではブラウザのアドレス・バーを非表示にしたりする。

　ところが最近では，フィッシャーの工夫を助けるようなセキュリティ・ホールがブラウザやメール・ソフトに見つかっている。例えば，編集部に送られてきたフィッシング・メールの一つは，Outlook Expressのセキュリティ・ホールを突く（関連記事）。メールはHTMLメールで，メールの内容はGIF画像として貼り込まれている（写真）。送信者名は「US Bank」なので，米US-BANKから送られてきたように見え，GIF画像にマウス・カーソルを当てると，ステータス・バーには「http://www.usbank.com/」から始まるURLが表示される。このURLは実際にUS-BANKもの。ただし，マウスをクリックすると，実際には偽のサイトへ誘導される。誘導されると，アドレス・バーを非表示にした，個人情報入力画面が表示される。

　このメールが悪用するセキュリティ・ホールをはじめ，主要なメール・ソフトやブラウザには以下のようなセキュリティ・ホールが見つかっている。フィッシングが流行していることもあって，セキュリティ関連のメーリング・リストなどでは，フィッシングに使えるセキュリティ・ホールを見つけることが“ブーム”のようである。今後も続々と見つかることが予想されるので，十分注意したい。

◆IEにセキュリティ・ホール，フレーム中に任意のコンテンツを表示させられる [2004/06/30]
　フレームを使った任意のWebコンテンツ中に，任意のコンテンツを表示させられるIEのセキュリティ・ホール。パッチは未公開。

◆またもやOperaにアドレス・バーを偽装されるセキュリティ・ホール [2004/06/22]
　Operaのアドレス・バーを偽装されるセキュリティ・ホール。セキュリティ・ホールを修正したバージョンは未公開。

◆IEやMozillaにアドレス・バーを偽装されるセキュリティ・ホール [2004/06/14]
　Internet Explorer（IE）およびMozilla（Windows版）のアドレス・バーを偽装されるセキュリティ・ホール。IEの場合にはセキュリティ設定を回避される。パッチや修正版は未公開。

◆Operaにセキュリティ・ホール，「ファビコン」でアドレス・バーを偽装できる [2004/06/04]
　Operaのアドレス・バーを偽装されるセキュリティ・ホール。セキュリティ・ホールを修正したOpera 7.51が公開されている（ただし英語版のみ）。

◆Operaブラウザにアドレス・バーを偽装できるセキュリティ・ホール [2004/05/13]
　Operaのアドレス・バーを偽装されるセキュリティ・ホール。Opera 7.50以降では解消されている（日本語版 Opera 7.50は未公開）。

◆Outlook ExpressやEudoraなどにステータス・バーを偽装できるセキュリティ・ホール [2004/05/11]
　Outlook Express（IE）およびEudoraのステータス・バーを偽装できるセキュリティ・ホール。それぞれ異なるセキュリティ・ホールである。編集部に送られてきたフィッシング・メールが使っているのは前者。いずれもパッチや修正版は公開されていない。

◆リンク先のURLを偽装できるセキュリティ・ホールがIEに，OEユーザーは特に注意 [2004/04/05]
　IE（Outlook Express）のステータス・バーを偽装できるセキュリティ・ホール。パッチは未公開。

◆IEにURLを偽装できるセキュリティ・ホール，安易なクリックは禁物 [2003/12/11]
　Internet Explorer（IE）のアドレス・バー／ステータス・バーを偽装されるセキュリティ・ホール。パッチは公開済み（関連記事）。