出典: SANS Internet Storm Center – https://isc.sans.edu/diary/rss/32428
原題: A phishing with invisible characters in the subject line, (Tue, Oct 28th)
件名に不可視文字を使ったフィッシングメールの巧妙な手口解析
近年、フィッシングメールの巧妙化が進む中、件名に「不可視文字」を挿入する新たな手口が増加しています。これにより、見た目は正規のメールとほぼ変わらないものの、セキュリティフィルターの検出を巧妙に回避することが可能となっています。本記事では、この手法の詳細と対策について解説します。
主要なポイント
- 不可視文字の利用:フィッシングメールの件名にゼロ幅スペースやソフトハイフン(U+00AD)などの不可視文字を挿入し、見た目は正常でも内部的には異なる文字列として認識させる。
- MIME encoded-word形式の活用:件名を複数のMIME encoded-word(RFC 2047準拠)に分割し、Base64エンコードされたテキスト内に不可視文字を混入させることで、メールフィルターの検出を回避。
- メールクライアントの表示挙動:Outlookなど多くのメールクライアントではソフトハイフンを表示しないため、ユーザーには通常の件名に見えるが、解析ツールには異なる文字列として認識される。
- 検出の難しさ:不可視文字の存在は肉眼で判別しづらく、従来のキーワードベースのフィルタリングでは検出が困難。
- リンク先の悪質性:フィッシングメールのリンクはwebmailログイン情報を窃取する偽サイトへ誘導し、ユーザーの認証情報を盗み取る目的がある。
技術的な詳細や背景情報
メールの件名はRFC 2047で定義された「encoded-word」形式を用いてエンコードされることがあります。これは、非ASCII文字を含むテキストをBase64やQuoted-Printableでエンコードし、メールヘッダーに安全に埋め込むための仕様です。今回の解析では、件名が複数のBase64エンコードされたencoded-wordに分割されており、その中に「ソフトハイフン(U+00AD)」が挿入されていました。
ソフトハイフンは、通常は単語の途中で改行を許可するための制御文字ですが、多くのメールクライアントでは表示されません。これを悪用し、攻撃者は件名のキーワードを分断してセキュリティ製品の文字列マッチングを回避しています。不可視文字の挿入は、ゼロ幅スペースやゼロ幅ノンジョイナなども同様に利用されることがあります。
この手法は2021年にマイクロソフトのセキュリティブログでも言及されており、メール本文や件名のキーワードを分断することで検出を回避しようとする攻撃キャンペーンが観測されています。しかし、件名に対して不可視文字を用いるケースはまだ広く知られていません。
影響や重要性
不可視文字を用いたフィッシングメールは、従来のキーワードベースやパターンマッチング型のメールフィルターを容易に回避できるため、企業や個人のメールセキュリティに新たな脅威をもたらします。特に件名はユーザーがメールを開封するかどうかを判断する重要な情報であるため、ここに巧妙な改変が加えられると、ユーザーの警戒心を下げてしまう恐れがあります。
また、この手法は自動解析ツールの精度を低下させるため、セキュリティ担当者の負担が増大し、被害の拡大を招くリスクがあります。リンク先の偽ログインページは認証情報を盗む典型的なフィッシング手口であり、情報漏洩や不正アクセスの原因となります。
まとめ
件名に不可視文字を挿入するフィッシングメールは、見た目では判別しづらく、セキュリティフィルターの検出を巧妙に回避する新たな攻撃手法です。メールセキュリティ担当者は、MIME encoded-wordの解析や不可視文字の検出技術を導入するとともに、ユーザー教育を強化し、不審なメールの識別能力を高めることが重要です。
今後も攻撃者は新たな回避技術を開発してくるため、最新のサイバーセキュリティ動向に注目し、対策を継続的に更新していく必要があります。
