新種のフィッシング攻撃:MIMEエンコーディングで隠された不可視文字を悪用
セキュリティ研究者たちは、MIMEエンコーディングを使用してメールの件名に埋め込まれた不可視のUnicode文字を悪用する巧妙なフィッシング技術を発見しました。この手口は、メールセキュリティの専門家の間でもほとんど知られていません。この発見は、攻撃者が自動フィルタリングシステムを回避しつつ、エンドユーザーには完全に読みやすい状態を維持するために、どのように回避策を進化させているかを明らかにしています。
最近傍受されたメッセージのルーチンマルウェア分析中に、セキュリティアナリストは、Outlookで開くと件名が正常に表示されるものの、メッセージリストビューで調べると隠れた異常を含む奇妙なフィッシングメールを観測しました。最初の調査で不可視文字の存在が示唆され、メールヘッダーの検査によってこの仮説がすぐに確認されました。
隠された脅威の解読
このメールの件名には、メールヘッダーで非ASCIIテキストを送信するための標準メカニズムであるRFC 2047 MIMEエンコードワード形式が使用されていました。悪意のある件名は、それぞれBase64エンコーディングで処理されたUTF-8文字セットデータを含む2つの別々のエンコードワードセグメントで構成されていました。デコードすると、文字列にはソフトハイフン文字(UnicodeコードポイントU+00AD)がテキスト全体に戦略的に散りばめられていることが明らかになりました。
ソフトハイフンは、HTMLの­エンティティとしてより一般的に認識されており、文書の書式設定でハイフネーションポイントを制御するために正当な目的で使用されます。しかし、Outlookを含むほとんどのメールクライアントはソフトハイフンを不可視文字としてレンダリングするため、人間の読者には知覚できませんが、メッセージ構造には技術的に存在します。これにより、脅威アクターが検出メカニズムを回避するための理想的な難読化ベクトルが作成されました。
攻撃者は、MIMEエンコーディングと複数のエンコードワードセグメントにわたるソフトハイフンの挿入を組み合わせることで、二重層の回避戦略を採用しました。このアプローチは、潜在的に悪意のあるキーワードを視覚的に認識できないパターンに断片化し、既知のフィッシングインジケーターを検出するように設計されたシグネチャベースのフィルタリングルールを回避します。件名は受信者には完全に読みやすいままでしたが、セキュリティシステムにはアルゴリズム的に破損しているように見えました。
報告が少ない脆弱性
このキャンペーンを特徴づけるのは、メールの件名に特化した不可視文字の難読化という珍しい適用です。Microsoft Threat Intelligenceは2021年に、攻撃者が回避技術として不可視のUnicode文字をメール本文や件名に時折挿入することを文書化していますが、この方法は観測されたフィッシングキャンペーンでは依然として非常にまれです。より広範なセキュリティコミュニティは、件名ヘッダーではなく、メッセージコンテンツ内の不可視文字の検出に主に焦点を当ててきました。
これは、現在のメールセキュリティ実装における顕著な盲点を表しています。ほとんどのコンテンツ重視のフィルタリングソリューションは、メッセージ本文、URL、添付ファイルの分析に集中しており、件名の精査はより詳細な検査を受けることが少ないです。この見過ごされたベクトルを武器にすることで、攻撃者はすべてのメールコンポーネントにわたる包括的なUnicode文字フィルタリングを実装できなかったソリューションを回避できる可能性があります。
キャンペーンの詳細と推奨事項
傍受されたキャンペーンでは、ソフトハイフンは件名だけでなく、メール本文全体に広範囲に現れ、個々の単語を断片化して意味をさらに曖昧にしていました。フィッシングメッセージは、侵害されたドメインでホストされている資格情報収集ウェブページ、具体的には認証資格情報を取得するように設計された汎用ウェブメールログインポータルに受信者を誘導しました。
組織は、件名とメッセージ本文の両方で包括的なUnicode文字検出を実装するために、メールフィルタリングポリシーを直ちにレビューすべきです。セキュリティ管理者は、MIMEエンコードされたヘッダーに不審な文字パターンがないか調査し、従来のキーワードマッチングを超えた難読化技術を特定できる、より高度なコンテンツ分析システムの導入を検討することが強く推奨されます。
脅威アクターが回避方法を洗練し続けるにつれて、防御戦略も同様に高度化する必要があります。