出典: SANS Internet Storm Center – https://isc.sans.edu/diary/rss/32428
原題: A phishing with invisible characters in the subject line, (Tue, Oct 28th)
件名に不可視文字を用いた巧妙なフィッシング攻撃の手口解析
近年、フィッシング攻撃の手口はますます巧妙化しており、特にメールの件名に不可視文字を挿入する新たな技術が注目されています。本記事では、不可視文字を利用したフィッシング攻撃の具体的な手法や検出の難しさ、そして防御策について詳しく解説します。
主要なポイント
- 不可視文字の利用:攻撃者はメールの件名にゼロ幅スペースやソフトハイフン(U+00AD)などの不可視文字を挿入し、見た目は正常な件名に見せかけています。
- MIME encoded-word形式の悪用:件名を複数のMIME encoded-word(RFC 2047準拠)に分割し、それぞれに不可視文字を混入させることで、メールフィルターの検出を回避しています。
- 検出の難しさ:多くのメールクライアント(例:Outlook)ではソフトハイフンは表示されず、ユーザーも気づきにくいため、攻撃メールの判別が困難です。
- 攻撃の珍しさ:不可視文字を件名に用いる手法は本文での利用に比べて非常に珍しく、セキュリティ対策が追いついていないケースが多いです。
- 実際の攻撃例:フィッシングメールはウェブメールのログイン情報を盗む偽サイトへのリンクを含み、組織のセキュリティリスクを高めています。
技術的な詳細や背景情報
メールの件名は通常、RFC 2047で定義された「encoded-word」形式を用いてエンコードされます。これは非ASCII文字を安全にメールヘッダーに含めるための仕組みです。今回の解析では、件名がUTF-8で書かれたテキストをBase64エンコードした複数のencoded-wordに分割されていました。
この中に挿入されていた不可視文字はソフトハイフン(Unicode U+00AD)で、HTMLでは (ノーブレークスペース)と誤認されやすいものの、実際には単語の途中での改行候補を示す制御文字です。多くのメールクライアントはこれを表示しないため、件名は一見正常に見えますが、実際には複数の不可視文字が混入しています。
この手法は、メールの内容を解析するセキュリティ製品のキーワード検出やパターンマッチングを回避する目的で使われます。不可視文字によってキーワードが分断されるため、検出ロジックが機能しにくくなるのです。
影響や重要性
メールの件名はユーザーがメールの信頼性を判断する重要な要素です。件名に不可視文字が挿入されていると、ユーザーは正規のメールと誤認しやすくなり、結果としてフィッシング被害が拡大します。
また、既存のメールセキュリティ製品は本文中の不可視文字検出には対応していても、件名に対しては十分な検出機能を持たない場合が多く、攻撃者にとっては狙い目となっています。これにより、組織の情報漏洩リスクや不正アクセスの危険性が増大します。
まとめ
不可視文字を用いたフィッシング攻撃は、メールの件名にまで巧妙に手を伸ばしており、従来の検出方法だけでは防ぎきれない新たな脅威です。対策としては以下が重要です。
- メールセキュリティ製品の設定を見直し、件名に含まれる不可視文字の検出機能を導入する。
- ユーザー教育を強化し、怪しいメールの件名やリンクに注意を促す。
- 継続的な監視と最新の脅威情報の収集により、対策をアップデートし続ける。
今後も進化するフィッシング攻撃に対抗するため、組織全体でのセキュリティ意識向上と技術的対策の両輪が求められます。
参考文献:
