出典: SANS Internet Storm Center – https://isc.sans.edu/diary/rss/32428
原題: A phishing with invisible characters in the subject line, (Tue, Oct 28th)
件名に不可視文字を使った巧妙なフィッシングメールの手口解析
近年、フィッシング攻撃においてメールの件名に不可視文字を挿入する新たな手口が増加しています。これは受信者やメールフィルターの目を欺き、正規のメールに見せかけるための巧妙な技術です。本記事では、この手法の特徴と対策について詳しく解説します。
主要なポイント
- 不可視文字の挿入箇所:攻撃者は件名の単語間や文字間にゼロ幅スペース(U+200B)やゼロ幅ノンジョイナ(U+200C)、さらにはソフトハイフン(U+00AD)などの不可視文字を挿入します。これにより、見た目は通常の件名と変わらないものの、実際の文字列は異なり、メールフィルターの検知を回避します。
- メールフィルターの回避:多くのスパムフィルターは件名の文字列パターンを解析して悪意を検知しますが、不可視文字の混入により文字列が変化し、既知のフィッシングパターンと一致しなくなります。
- 受信者の混乱:不可視文字は多くのメールクライアントで表示されず、特にモバイル端末では判別が困難です。そのため、受信者は違和感を感じにくく、信頼できる送信者からのメールと誤認しやすくなります。
- 技術的なエンコード手法:件名はMIMEの「encoded-word」形式でBase64エンコードされ、複数行に分割されることがあります。これにより、不可視文字の挿入がさらに検知を難しくしています。
- 実際の攻撃例:解析されたフィッシングメールでは、件名や本文にソフトハイフンが多用され、リンク先は認証情報窃取を目的とした偽のWebメールログインページでした。
技術的な詳細や背景情報
不可視文字とは、画面上に表示されない文字であり、ゼロ幅スペース(U+200B)やゼロ幅ノンジョイナ(U+200C)、ソフトハイフン(U+00AD)などが含まれます。特にソフトハイフンは単語の途中での改行を示すために使われることが多く、通常は表示されません。
メールの件名はRFC 2047で定義された「encoded-word」形式でエンコードされることがあり、UTF-8文字セットのテキストをBase64でエンコードし、複数行に分割して記述されます。攻撃者はこの仕組みを利用し、不可視文字を挿入した複数のencoded-wordに分割することで、メールフィルターの検知をさらに困難にしています。
この手法は2021年にマイクロソフトのセキュリティブログで言及されているものの、件名に不可視文字を使う攻撃はまだあまり知られていません。本文中にも同様の不可視文字が多用され、単語の途中で分割されていることが確認されています。
影響や重要性
不可視文字を用いたフィッシングメールは、従来の文字列ベースの検知技術を回避しやすいため、セキュリティ対策の盲点となっています。特に企業のメールシステムや個人ユーザーがこの手口を知らない場合、被害が拡大する恐れがあります。
また、受信者が件名を見ただけで安全と判断しやすいため、フィッシングサイトへの誘導や認証情報の窃取リスクが高まります。メールのヘッダー情報や送信元のドメイン認証(SPF、DKIM、DMARC)を厳格に確認することが重要です。
まとめ
メール件名に不可視文字を挿入するフィッシング手口は、巧妙かつ検知が難しい新たな脅威です。メールシステム側で不可視文字を検出・除去するフィルタリングルールの導入や、ユーザー教育による注意喚起が不可欠となります。さらに、送信元のドメイン認証を厳格に行い、怪しいメールを見極める習慣をつけることが被害防止に繋がります。
このような新手法の存在を理解し、対策を強化することが今後のサイバーセキュリティにおいて非常に重要です。
