はじめに
Netcraftの最近の調査により、Basic認証URLの書式を悪用した新たなフィッシング手口が明らかになりました。この手口は、レガシーなウェブ技術を利用して銀行などの正規サイトを視覚的に偽装し、ユーザーを欺くものです。日本のGMOあおぞらネット銀行を標的とした事例が発覚したことを受け、この古くも効果的な手法に依存するフィッシング活動の広範なレビューが行われました。
Basic認証URLの悪用
Basic認証は、hxxps://username:password@domain.comという形式でURLに認証情報を渡す、数十年前から存在する手法です。初期のウェブサーバーでのシンプルなアクセス制御を目的としていましたが、URLに認証情報を埋め込むとブラウザの履歴、ログ、リファラーヘッダーに情報が露出するため、現在ではほとんど使用されていません。しかし、現代のブラウザがこの構文を引き続きサポートしていることが、攻撃者による視覚的な欺瞞に悪用されています。
フィッシングシナリオでは、攻撃者はURLの「ユーザー名」部分に信頼できるドメイン名を配置し、その直後に「@」記号と実際の悪意のあるドメインを続けます。これにより、リンクをざっと見るか、切り詰められたリンクを見たユーザーは、最初に信頼できるブランド名を目にし、実際には「@」の後のドメインに接続されていることに気づかずにクリックしてしまう可能性があります。この手口は、メールクライアント、メッセージングアプリ、モバイルブラウザなど、URLがプレビュー表示されたり切り詰められたりする環境で特に効果的です。
GMOあおぞらネット銀行を標的としたフィッシングキャンペーン
GMOあおぞらネット銀行を偽装する最初のBasic認証URLが特定された後、研究者たちは同様の構造を持つリンクによる組織的なキャンペーンを発見しました。各URLにはgmo-aozora.com(またはその変種)が「@」の前に埋め込まれ、coylums.com、blitzfest.com、pavelrehurek.comといった無関係なドメインに誘導されていました。これらのドメインはすべて、/sKgdiqというパスで同一のフィッシングコンテンツを提供していました。
初期のURL例:hxxps://gmo-aozora.com%25Z9IQ7POD%25b5r14s6j%257DdIL@coylums.com/sKgdiq
これらのドメインの過去のDNSおよびホスティング記録によると、かつては「セキュリティチェック」と表示された日本語のCAPTCHAページが表示され、ユーザーにロボットではないことを確認し、「私はロボットではありません」のボックスをクリックするよう促すことで、偽のログインフォームを表示する前に信頼性を与えていました。
広範なフィッシングの傾向
Basic認証フィッシングの普及度を測るため、研究者たちは14日間に観測されたURLをサンプリングし、少なくとも214のユニークな事例を特定しました。Amazon、Google、Facebook、Yahoo、LinkedIn、Netflix、DHL、FedEx、Bank of America、SoftBankなど、主要なグローバルブランドが標的となりました。注目すべきは、214のURLのうち153(約71.5%)が、.jpトップレベルドメインやdocomo.co.jp、ocn.ne.jpといった日本固有のドメインを組み込むことで、特に日本のユーザーや組織を標的にしていたことです。
フィッシングメールは、アカウント閉鎖、セキュリティ警告、請求問題などの緊急通知を装い、ユーザーに欺瞞的なリンクをクリックして偽のログインまたは認証プロセスを完了するよう促していました。
対策と今後の課題
この調査は、Basic認証URLの書式のようなレガシーなウェブ機能が、脅威アクターの武器として依然として強力なツールであり続けていることを浮き彫りにしています。安全な利用のためには非推奨とされているにもかかわらず、現代のブラウザとの互換性やユーザーを視覚的に誤解させる能力が、その有効性を維持させています。
日本の金融機関や消費者ブランドに対する今回のキャンペーンが示すように、一見すると時代遅れに見える機能でも、標的型ソーシャルエンジニアリングと組み合わせることで、巧妙なフィッシング攻撃を助長する可能性があります。リンクの注意深い検査と、ブラウザUIにおける改善された視覚的キューが、これらの欺瞞的で影響力のある攻撃を軽減するために不可欠です。