出典: SANS Internet Storm Center – https://isc.sans.edu/diary/rss/32428
原題: A phishing with invisible characters in the subject line, (Tue, Oct 28th)
Outlookのフィルターを回避するために不可視文字を用いた件名を使うフィッシング攻撃の解析
近年、フィッシング攻撃は巧妙化しており、メールセキュリティのフィルターを回避するためにさまざまな技術が使われています。特に、Microsoft Outlookのメール件名に不可視文字を挿入し、検出を逃れる新たな手法が確認されました。本記事では、この攻撃手法の詳細とその影響について解説します。
主要なポイント
- 不可視文字(ソフトハイフン)を件名に挿入: フィッシングメールの件名にUnicodeのソフトハイフン(U+00AD)を複数挿入し、Outlookの表示上は通常のテキストに見せかけています。
- MIME encoded-word形式の分割: 件名を複数のMIME encoded-word(RFC 2047準拠)に分割し、Base64エンコードされたテキストに不可視文字を混入させています。
- メールフィルターの回避を狙う巧妙な手法: 不可視文字の挿入により、セキュリティ製品の自動解析や検出ロジックがキーワードを正確に認識できず、フィッシングメールが見逃される可能性があります。
- 件名への不可視文字使用は珍しい: 本手法はメール本文での不可視文字使用はよく知られていますが、件名での使用例は非常に少なく、注目に値します。
- リンク先は認証情報窃取ページ: フィッシングメールのリンクはウェブメールのログイン情報を盗む偽サイトに誘導するものでした。
技術的な詳細や背景情報
今回のフィッシングメールの件名は、MIMEの「encoded-word」形式で2行に分割されており、それぞれがUTF-8でエンコードされたBase64文字列となっています。RFC 2047に準拠したこの形式は、メールヘッダーで非ASCII文字を扱う標準的な方法です。
デコードすると、件名の複数箇所にソフトハイフン(U+00AD)が挿入されていることが判明しました。ソフトハイフンは通常のテキスト表示では見えず、単語の途中で改行を許可するための制御文字ですが、多くのメールクライアントはこれを表示しません。
この不可視文字を挿入することで、メールフィルターは「フィッシング」や「ログイン」などのキーワードを正しく認識できなくなり、検出率が低下します。マイクロソフトのセキュリティブログでも、2021年に同様の不可視文字を用いた手法が報告されていますが、件名での使用は依然として稀です。
影響や重要性
この攻撃手法は、メールセキュリティ対策の盲点を突いており、企業や個人のメール環境におけるフィッシング検出の信頼性を低下させる恐れがあります。特にOutlookユーザーは、件名が正常に表示されるため不審に思わずクリックしてしまうリスクがあります。
また、不可視文字を使った攻撃は検出回避だけでなく、ユーザーの視覚的な警戒心を和らげる効果もあるため、攻撃成功率が高まる可能性があります。今後のメールセキュリティ製品では、不可視文字の検出や正規化処理の強化が求められます。
まとめ
今回紹介した不可視文字(ソフトハイフン)を用いたフィッシングメールの件名は、Outlookのフィルターを巧妙に回避する新たな手法です。メール件名に不可視文字を挿入し、MIME encoded-wordで分割することで、セキュリティ製品の検出を難しくしています。
ユーザーは、メールの件名が一見正常でもリンク先のURLを慎重に確認し、不審なメールは開かないことが重要です。企業のセキュリティ担当者は、不可視文字を含むメールの解析やフィルタリング強化を検討し、最新の攻撃手法に対応していく必要があります。
参考文献:
- RFC 2047 – MIME Encoded-Word Format
- Soft Hyphen – Wikipedia
- Microsoft Security Blog (2021) – Email Techniques in Phishing
著者:ヤン・コプリバ(ネトルズ・コンサルティング)
