出典: SANS Internet Storm Center – https://isc.sans.edu/diary/rss/32428
原題: A phishing with invisible characters in the subject line, (Tue, Oct 28th)
件名に不可視文字を使った巧妙なフィッシング詐欺の手口解析
近年、フィッシング詐欺はますます巧妙化しており、その中でも「不可視文字」を利用した攻撃手法が注目されています。本記事では、メールの件名に不可視文字を挿入することで検出を回避するフィッシング詐欺の仕組みと対策について解説します。
主要なポイント
- 不可視文字とは何か:画面上に表示されない特殊なUnicode文字で、ゼロ幅スペースやソフトハイフンなどが含まれます。これらはメールの件名や本文に挿入され、見た目は正常でも実際には異なる文字列を隠せます。
- メール件名への利用例:フィッシングメールの件名にソフトハイフン(U+00AD)などの不可視文字を挿入し、複数のMIMEエンコードワードに分割することで、メールフィルタリングシステムの検出を回避しています。
- 検出回避の仕組み:不可視文字によりキーワードが分断されるため、従来のキーワードベースの検出ロジックが機能しにくくなり、悪意あるメールが受信箱に届くリスクが高まります。
- 対策の必要性:メールセキュリティ製品における不可視文字検出機能の強化と、ユーザー教育で怪しいメールのリンクを不用意にクリックしない注意喚起が重要です。
- 攻撃手法の進化:不可視文字を件名に使う手法はまだあまり知られておらず、今後も攻撃は進化し続けるため、最新の脅威情報の把握が欠かせません。
技術的な詳細や背景情報
不可視文字とは、画面上に表示されない特殊なUnicode文字群のことで、ゼロ幅スペース(Zero Width Space)、ゼロ幅非接合子(Zero Width Non-Joiner)、ソフトハイフン(Soft Hyphen, U+00AD)などがあります。特にソフトハイフンはHTMLエンティティ「­」としても知られ、通常のメールクライアントでは表示されません。
今回のフィッシングメールでは、件名がMIMEの「エンコードワード」形式(RFC 2047準拠)でBase64エンコードされており、複数行に分割されています。この中にソフトハイフンが挿入されており、メールフィルタリングシステムがキーワードを正確に認識できないようにしています。
この手法は、2021年にマイクロソフトのセキュリティブログでも言及されており、攻撃者はメール本文だけでなく件名にも不可視文字を挿入して検出回避を試みています。件名に不可視文字を使う例はまだ少なく、非常に巧妙な手口といえます。
影響や重要性
不可視文字を用いたフィッシングメールは、従来のキーワード検出に依存するメールセキュリティ製品の盲点を突いています。これにより、ユーザーの受信箱に悪意あるメールが届きやすくなり、認証情報の窃取やマルウェア感染のリスクが高まります。
また、ユーザーが件名を見ただけでは異常に気づきにくいため、リンクを不用意にクリックしてしまう危険性があります。したがって、セキュリティ対策としては技術的検出機能の強化だけでなく、ユーザー教育も不可欠です。
まとめ
不可視文字をメール件名に挿入するフィッシング詐欺は、検出回避のための新たな巧妙な手口です。ソフトハイフンなどの特殊文字を利用し、メールフィルタリングをすり抜けることで、悪意あるメールがユーザーの受信箱に届くリスクを高めています。
この問題に対処するためには、メールセキュリティ製品の不可視文字検出機能の強化と、ユーザーが怪しいメールのリンクを不用意にクリックしないよう教育することが重要です。今後も攻撃手法は進化し続けるため、最新の脅威情報を常に把握し、適切な対策を講じることが求められます。
【参考文献】
- RFC 2047 – MIMEエンコードワード形式
- Soft Hyphen – Wikipedia
- SANS Internet Storm Center Diary
- Microsoft Security Blog – Modern Phishing Emails
著者:ヤン・コプリバ(ネトルズ・コンサルティング)
