その部分を拡大したのがコレだ。
ん? と思ってSP1環境(こちらはクラシックウィンドウ)で同じサイトにアクセスしてみた結果はこちら。
さらにGoogleツールバーを外すとこうなる(どちらも部分拡大)。
ということで、アドレスバーの部分を上書きすべく、それなりに犯人が意図したような画像が出ることが分かる(HTMLソースを見ると、本当は本物サイトそっくりに表示させたいらしいのだが、バグがあるのか日本語版IEではうまく表示されない)。
ついでにいうと、フィッシングサイトの見分け方にはもう1つポイントがある。この手の詐欺サイトが電子証明書を取得し、SSLなぞ入れているわけがない。したがって、たとえアドレスバーが「https://」の文字列から始まっていても、ブラウザ右下を確認すれば「鍵アイコン」は表示されておらず、暗号化が行われていないことが分かる。この時点でかなり怪しいことが分かるだろう。
ちなみに、先のフィッシングサイトのIPアドレスはブラジルで管理されているものだ。詐欺師はさっそくWebサイトを引き上げたらしく、現在はこのURLにアクセスしても先のような画面は得られない。
オレオレ詐欺でもそうだが、犯人は足がつくことを恐れ、ある程度の成果が得られればすみやかに姿を隠そうとするらしい。したがって、フィッシングメールは鮮度も重要ということだから、ある程度メールを腐らせれば安心といえなくもない。まぁ、だからこそフィッシングを仕掛けるほうは、「危ないから急いで変更して!」と被害者を急かすわけだ。
今回のようなことが可能になったカラクリはJavaScriptにある。HTMLソースを見ると以下の変数代入文があった。
vuln_y= window.screenTop-21;この「window.screenTop」は、Webブラウザの描画画面の開始位置を示す。ここからマイナス方向に文字列画面を入れ込むことによりアドレスバー表示を上書きし、結果としてアドレスバー偽装型のフィッシングを許す原因になっているのだ。
なおこのソースは、描画ウィンドウのすぐ上にアドレスバーがあることを前提にして、パラメータを決め打ちで指定している。そのため、Googleツールバーなどをインストールしている場合は画像がずれ、「おや?」と思わせることになったわけだ。
JavaScriptがWeb画面の自由度を高めてくれているのは分かる。しかし、ブラウザの画面外にまで描画できてしまうのは問題ではないだろうか。
また、同じIE 6でも、Windows XP SP2とSP1上で挙動が異なるのは、マイクロソフトが問題を認めて修正したからだと考えるのが妥当だと思う。ではなぜ、SP1向けには修正が提供されないのだろうか? もちろんSP2で提供される「セキュリティセンター」のような新機能までがSP1で提供されないのは理解できるが、JavaScriptの「仕様変更」は、その影響の広さからも、SP1向けにも提供されてしかるべきものだと思うのだが……。
ともあれ、今回のフィッシングメールから得られた教訓は3つある。
1. フィッシングは身近な脅威として迫りつつあることを認識すべし
今のところ、大規模かつ非常に似通った手法による日本語でのフィッシング事例は報道されていない。しかし雛形さえあれば、「オレオレ詐欺」のようにあっという間に亜流が広まることは十分考えられる。今のうちに傾向と対策を考えておいたほうがよい。
2. XP SP2以外の環境では、JavaScriptでアドレスバー偽装ができてしまうことに注意
ただし、今回のような「数値決め打ち」の実装ならば、「何とかツールバー」をひとつインストールしておけば対処できるし、Windows XP SP2でも対応できる。スクリプト機能を無効にしてしまうという手もあるが、現実的にはアクセスできないサイトだらけになってしまうのが難点だ。
3. SSL偽装は鍵アイコンでチェック
鍵アイコンの偽装ができるかどうかは別として、少なくともお金が絡むサイトならば、SSLで保護されていてしかるべきだ。特に金融系ならば、せめて「128bitの暗号化は当たり前」と考え、アクセスする際には最低でも、マウスカーソルを鍵アイコンに当ててチェックする習慣を付けておくとよいだろう。
なお、上は筆者が普段利用しているクレジットカードのインフォメーションサイト、下はこの前アクセスして、「いまどき40bitで暗号化?」と疑問に思った某ショッピングサイトの表示だ。
わざわざ「プロパティ」を参照してURLを確認するのは面倒でも、マウスをちょっと右下にずらすことで、フィッシング詐欺を見抜けるならば安いものだ。日ごろから鍵アイコンをチェックする習慣をつけておけば、トラブルをなくすとまではいかなくとも、減らすことができるだろう。
……と、ここまで書いて脱稿した後、ビザ・インターナショナルの名前を騙って情報を詐取しようとする、日本語で書かれたフィッシングメールが発生したことが明らかになった。残念(?)ながらこのメールは、筆者の元には届いていないため詳細は不明だが、情報を収集した限りでは、今回紹介したテクニックが用いられ、アドレスバーが偽造されている可能性が高い。
また、さらに別の、二段構えのフィッシングテクニックも明らかになっている(11月8日の記事参照)。
このようにフィッシング詐欺の手口は日進月歩で――原稿に手を加えているほんの数日の間でさえ――進化しつつある。今後は重要な情報はオンラインでは入力しないか、どうしても入力するならば少なくともSSLの鍵アイコンのチェックだけでも行うなど、細心の注意を払う必要があるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.