出典: SANS Internet Storm Center – https://isc.sans.edu/diary/rss/32428
原題: A phishing with invisible characters in the subject line, (Tue, Oct 28th)
件名に不可視文字を挿入した巧妙なフィッシングメールの手口解析
近年、フィッシング攻撃はますます巧妙化しており、特にメールの件名に不可視文字を挿入する手法が注目されています。本記事では、ゼロ幅スペースやソフトハイフンなどの不可視文字を用いて、メールの見た目を正規のものとほぼ区別できない状態にし、受信者の注意を欺くフィッシングメールの手口について詳しく解説します。
主要なポイント
- 不可視文字の利用による検知回避:メールの件名にゼロ幅スペースやソフトハイフン(U+00AD)などの不可視文字を挿入することで、メールフィルタリングシステムのパターンマッチングをすり抜けることが可能です。見た目は正規の件名と変わらず、受信者を誤認させます。
- MIMEエンコードワードの分割活用:件名が複数のMIMEエンコードワード(RFC 2047準拠)に分割されており、Base64でエンコードされた部分に不可視文字が含まれているため、単純な文字列比較やブラックリスト検出を回避しています。
- ソフトハイフンの特徴と表示挙動:ソフトハイフンは本来単語の途中での改行を示す制御文字で、ほとんどのメールクライアント(例:Outlook)では可視化されません。この性質を悪用し、件名や本文中の単語を分断して検知を困難にしています。
- 実際の攻撃例とリンク先:解析されたフィッシングメールは、ウェブメールのログイン情報を窃取する偽サイトへ誘導するURLを含んでおり、企業のセキュリティ対策をかいくぐる目的でこの手法が用いられています。
- 対策の必要性とユーザ教育:不可視文字を検出する高度なメールフィルタリングの導入や、ユーザに対する不可視文字の存在を意識した注意喚起が重要です。
技術的な詳細や背景情報
メールの件名は通常、RFC 2047で定義された「エンコードワード」形式でエンコードされることがあります。今回の解析では、件名がUTF-8文字セットで書かれたテキストをBase64でエンコードした複数のエンコードワードに分割していました。これにより、メールフィルタリングシステムが文字列を連続して認識できず、検知を回避しています。
不可視文字として使用されたソフトハイフン(Unicode U+00AD)は、単語の途中での改行を示す制御文字であり、通常は表示されません。Outlookなどのメールクライアントではこの文字が可視化されないため、受信者は件名に異常があることに気づきにくいのです。
この手法は、メール本文だけでなく件名にも適用される点が特徴的で、フィッシング攻撃の新たなトレンドとして注目されています。2021年のマイクロソフト・スレットインテリジェンスの記事でも、不可視Unicode文字を用いた検知回避が指摘されていますが、件名に特化した詳細な解析は少ないのが現状です。
影響や重要性
不可視文字を用いたフィッシングメールは、従来の文字列ベースの検知技術を回避するため、企業のメールゲートウェイやアンチフィッシングソリューションにとって大きな脅威となっています。特に件名は受信者がメールを開くかどうかを判断する重要な要素であり、ここに巧妙に不可視文字を挿入されることで、被害拡大のリスクが高まります。
また、ユーザがメールの見た目だけで正規のメールと誤認しやすいため、教育や啓発活動も不可欠です。さらに、メールセキュリティ製品側も不可視文字の検出機能を強化し、MIMEエンコードワードの解析精度を向上させる必要があります。
まとめ
件名に不可視文字を挿入するフィッシングメールの手口は、見た目の違和感がほとんどなく、メールフィルタリングの検知を巧妙に回避する新たな攻撃技術です。特にソフトハイフンのような制御文字を用いることで、受信者の注意を欺き、認証情報窃取などの被害につながる恐れがあります。
このような手口に対抗するためには、メールセキュリティ製品の高度化とともに、ユーザ教育の強化が不可欠です。不可視文字の存在を意識し、怪しいメールのリンクを安易にクリックしない習慣を身につけることが重要です。
本解析が、今後のフィッシング対策の一助となり、より安全なメール環境構築に貢献することを期待します。
