出典: SANS Internet Storm Center – https://isc.sans.edu/diary/rss/32428
原題: A phishing with invisible characters in the subject line, (Tue, Oct 28th)
件名に不可視文字を使った巧妙なフィッシングメールの解析
近年、フィッシング攻撃はますます巧妙化しており、今回注目されたのは「件名」に不可視文字を挿入する手法です。不可視文字とは、メールの表示上は見えない特殊な文字であり、これを利用することで受信者の注意を欺き、セキュリティ製品の検出を回避することが可能になります。
主要なポイント
- 不可視文字の種類と使用例:今回の解析では、Unicodeのソフトハイフン(U+00AD)が件名に挿入されていました。これは通常の表示では見えず、メールクライアント上でテキストが分断されているように見えません。
- MIMEエンコードワードの活用:件名はRFC 2047に基づくMIMEエンコードワード形式で複数行に分割されており、Base64エンコードされた文字列内に不可視文字が混入しています。これにより、セキュリティフィルターのキーワード検出を回避しています。
- フィッシングメールの巧妙な偽装:不可視文字を挿入しても件名は一見正常に見えるため、ユーザーは違和感を覚えにくく、リンク先の偽ログインページへ誘導されやすくなります。
- 過去の事例と比較的珍しい手法:不可視文字の使用は本文ではよく見られるものの、件名に使われるケースは非常に稀であり、2021年のマイクロソフトの報告以外にはほとんど言及がありません。
- 対策の必要性:メール受信システムで不可視文字の検出・除去機能を強化し、ユーザー教育やメールヘッダーの詳細解析、SPF/DKIM/DMARC検証を併用することが推奨されます。
技術的な詳細や背景情報
メールの件名は通常、RFC 2047の規定により「エンコードワード」という形式でエンコードされます。これは非ASCII文字を安全に送信するための仕組みで、今回のフィッシングメールではUTF-8でエンコードされた文字列をBase64で表現し、複数行に分割していました。
不可視文字として使われたソフトハイフン(U+00AD)は、単語の途中での改行を示すための文字であり、通常は表示されません。この特性を悪用し、単語を分断してセキュリティ製品のキーワード検出をかいくぐることが可能です。
メールクライアント(例:Outlook)では、これらの不可視文字を表示しないため、ユーザーは件名を通常通りに読み取りますが、実際には異なる文字列として認識され、フィルターの検出ロジックが混乱します。
影響や重要性
この手法は、フィッシングメールの検出を難しくし、ユーザーが偽装メールを見抜くことを困難にします。特に件名はメールを開封するかどうかの判断材料として重要であるため、ここに不可視文字を挿入することで攻撃者は開封率を高めることができます。
また、セキュリティ製品がキーワードベースの検出に依存している場合、このような不可視文字の挿入は効果的な回避手段となり得ます。したがって、メールセキュリティ対策の見直しや高度化が急務です。
まとめ
件名に不可視文字を挿入するフィッシングメールは、ユーザーの注意を欺きつつ、セキュリティ検出を回避する巧妙な攻撃手法です。今回の解析では、ソフトハイフンを用いた具体例が示され、MIMEエンコードワードとの組み合わせで検出困難性が高まっていることが明らかになりました。
対策としては、メール受信システムの不可視文字検出・除去機能の強化、ユーザー教育の推進、メール認証技術(SPF/DKIM/DMARC)の適切な運用が不可欠です。今後もこのような高度な手法に警戒し、セキュリティ対策を継続的に更新していく必要があります。
