フィッシング詐欺の被害が止まらない。フィッシング詐欺とは、メールなどに記載したリンク(URL)でユーザーを偽サイト(フィッシングサイト)に誘導し、個人情報などを盗むネット詐欺である。

フィッシング詐欺のイメージ
フィッシング詐欺のイメージ
(出所:日経NETWORK)
[画像のクリックで拡大表示]

 古典的なネット詐欺の1つだが衰えるところを知らない。国内の業界団体であるフィッシング対策協議会には2021年8月の1カ月で、過去最多となる5万3177件の報告が寄せられた。

フィッシング対策協議会への報告件数の推移
フィッシング対策協議会への報告件数の推移
(出所:フィッシング対策協議会)
[画像のクリックで拡大表示]

 「リンクをクリックする際には、リンク先のドメイン名を確かめているので自分は被害に遭わない」と自信を持っている人は多いだろう。

 確かに、クリック前にリンク先を確認するのはフィッシング詐欺対策の基本だ。だがその基本が通用しない、巧みなフィッシング詐欺キャンペーンが出現している。2021年8月下旬に米Microsoft(マイクロソフト)が報告した。

 なおここでのフィッシング詐欺キャンペーンとは、同様の手口で継続的かつ広範に実施される一連のフィッシング詐欺を指す。

正規サイト経由で詐欺サイトに誘導

 報告されたフィッシング詐欺キャンペーンではオープンリダイレクトが悪用されている。オープンリダイレクトとは、意図しない転送(リダイレクト)を発生させるWebサイト(Webアプリケーション)の脆弱性である。

 Webサイトによっては、リンクをクリックしたユーザーをまず特定のページ(ランディングページ)に誘導し、その後別のページにリダイレクトする。この場合、ユーザーや環境によって変えられるように、リダイレクト先を変数で指定することがある。

 例えば変数が「redirect」でリダイレクト先が「login.html」の場合には、以下のように指定することになる。

http://example.com/?redirect=/login.html

 ここで、redirectの値として外部のWebサイト(ここでは「evil.example.jp」)を指定できる場合、「example.com」を経由してevil.example.jpにユーザーを誘導できてしまう。

http://example.com/?redirect=http://evil.example.jp/login.html

 このように、外部の任意のURLをリダイレクト先に指定できてしまうのがオープンリダイレクトの脆弱性だ。リンクを確かめて「example.comなら大丈夫」と思ったユーザーがクリックすると、攻撃者が用意した「evil.example.jp」のログインページにリダイレクトされる。フィッシング詐欺に“うってつけ”の脆弱性といえる。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。