サイバー犯罪者はどのようにURLを偽装するか

攻撃者が被害者を一見安全なURLから悪意のあるサイトやフィッシングサイトに誘導するために使用する手法。

企業の情報セキュリティ担当は、「自分は危険なリンクはクリックしないので、サイバー脅威にさらされることはない」と自信を持って言う従業員をたいてい数人は知っています。そのような従業員は、仕事の邪魔になるからと、組織のセキュリティ対策の方針に従わない場合があります。しかし攻撃者は、悪意のあるリンクやフィッシングリンクを巧みに偽装し、メールのフィルターや人間の注意をすり抜けようと常に試みています。彼らの狙いは、被害者に(たとえ私たちが繰り返しアドバイスしているようにURLを確認していたとしても)、実際には別のサイトに誘導するアドレスをクリックさせることです。このブログでは、サイバー犯罪者が悪意のあるURLやフィッシングURLを隠すために使う最も一般的な方法をご紹介します。

アドレスの@マーク

アドレスに含まれる実際のドメインを隠す最もシンプルな方法は、URLに@(アット)を使うことです。これは、ログインとパスワードをウェブサイトのアドレスに統合するために使用できる完全に合法的なシンボルです。HTTPでは、login:password@domain.com 形式を使用するだけで、URL経由でウェブサーバーに認証情報を渡すことができます。@マークの前のデータが不正確で認証に適さない場合、ブラウザーは単にそのデータを破棄し、ユーザーを@の後のアドレスにリダイレクトします。つまり、サイバー犯罪者は、説得力のあるページ名を考え出し、その中に正規のサイト名を使い、本物のアドレスを@マークの後に配置します。例えば、偽装された当ブログのアドレスは下記のとおりです。

http://convincing-business-related-page-name-pretending-to-be-on-google.com@blog.kaspersky.co.jp/

GoogleのドメインのどこかでホストされているWebサイトのように見えますが、ブラウザーは、https://blog.kaspersky.co.jp/に誘導します。

IPアドレスの代わりに数字

前述では、攻撃者が長いURLでユーザーを混乱させ、本当のアドレスから目を逸らさせようとする方法について説明しました。この方法では本当のアドレスはURLに残ったままですが、これを完全に隠す方法があります。それは、サイトのIPアドレスを整数に変換するものです。ご存知のように、IPアドレスはデータベースには保存されません。そのため、ある時IPアドレスを(保存にはるかに便利な)整数に、あるいはその逆に変換するメカニズムが考案されました。そして最近のブラウザは、URLの数字を見ると自動的にIPアドレスに変換してしまいます。同じ@マークと組み合わせることで、実際のドメインを効果的に隠すことができます。例えば当社のWebサイトへのリンクは下記のようになります。

http://google.com...%25@185.85.15.26/

このトリックを使う際、サイバー犯罪者は、@マークの前のドメインに注意を集中させ、それ以外を何らかのパラメータに見せかけようとします。様々なマーケットリサーチのツールは、リンクにあらゆる種類の英数字タグを挿入することがよくあるからです。

URL短縮サービス

本当のURLを隠すもう一つの簡単な方法は、一般的に使用されるURL短縮サービスを使うことです。クリックしなければ何が隠れているか確認することはできません。

http://tinyurl.com/ypzuvcht

Googleアクセラレーテッド・モバイルページ(AMP)

数年前Googleは、パートナーと共に、Google AMPフレームワーク(手法)を作成しました。これは、モバイル端末でWebページの表示速度を向上させることを目的としたサービスです。2017年、Googleは、AMP化されたページは1秒未満で読み込まれ、AMP化されていない同じページよりもデータ使用量が10倍少ないと主張しました。攻撃者はこの仕組みをフィッシングに利用する方法を知りました。メールには「google.com/amp/s/」で始まるリンクが含まれていますが、ユーザーがそれをクリックすると、Googleのものではないサイトにリダイレクトされます。フィッシング対策用のフィルターがGoogleだと誤って認識し、十分に信頼できるとみなす向があります。

電子メールサービスのプロバイダー

他人のURLに見せかけて自身のページを隠すもう一つの方法は、ESPを使うことです。つまり、ニュースレターやそのほかのメールマガジンなどを作成するサービスです。この方法については、以前の記事で詳しく説明しています(英語)。要するに、犯罪者はこれらの正規のESPサービスを利用して、メーリングキャンペーンを作成し、フィッシングリンクを入力します。その結果、一見何の悪意もない通常のアドレスに見せかけます。ESP企業は、このようなサービスの悪用に対する対策を講じていますが、常にうまくいくとは限りません。

中国最大検索サイト百度(Baidu)経由のリダイレクト

中国の検索エンジン「百度(バイドゥ)」は、Googleとは異なり、検索に関連するサイトのリンクをそのまま表示するのではなく、検索されたサイトへリダイレクトする百度のリンクを作成してそれを検索結果として表示します。つまり、悪意のあるURLを百度に偽装するためにサイバー犯罪者がすべきことは、ページを検索し(正確なアドレスを入力すれば非常に簡単)、リンクをコピーしてフィッシングメールに貼り付けるだけです。

https://www.baidu.com/link?url=vukOBuG2XyoQemvCQbKuBASjyO_Bbnajh-Y2tfpVUdS&wd=&eqid=d89f5f0b0008c16800000006650d73cf

他にもURLをリダイレクトしたり、ページをキャッシュしたりできるサービスが存在するかもしれません。

ここで学ぶべき教訓

従業員がフィッシングには騙されないと、どんなに自信を持っていても、リンクが危険かどうかを100%正しく認識することは不可能です。保護ソリューションでバックアップすることをお勧めします。さらに、そのようなソリューションは、企業のメールサーバーレベルと、インターネットに接続可能な作業デバイスレベルの両方に導入することをお勧めします。

 

 

 

ヒント
新着記事をメールでお知らせします