はじめに:巧妙化するフィッシング詐欺
サイバーセキュリティの脅威は日々進化しており、攻撃者はユーザーを欺くために古い技術さえも再利用しています。最近、Netcraft社が日本の金融機関であるGMOあおぞらネット銀行を標的とした不審なURLを発見しました。このURLは、レガシーなウェブ技術であるBasic認証URLのフォーマットを悪用し、視覚的に銀行を偽装して顧客を騙すものでした。この発見は、この古くも効果的な手法に依存するフィッシング活動の広範な調査を促し、脅威アクターがいかに廃止されたウェブ標準を再利用して、何気ない検査を回避しているかを露呈しました。
Basic認証URLの悪用メカニズム
Basic認証は、hxxps://username:password@domain.comという形式でURL内に認証情報を渡す、数十年前からある手法です。元々は初期のウェブサーバーでのシンプルなアクセス制御を目的としていましたが、URLに認証情報を埋め込むとブラウザの履歴、ログ、リファラーヘッダーに露出するため、現在ではほとんど使用されていません。しかし、現代のブラウザはこの構文をサポートし続けており、攻撃者はこれを視覚的な欺瞞に利用しています。
フィッシングシナリオでは、攻撃者は信頼できるドメイン名をURLの「ユーザー名」部分に配置し、その直後に「@」記号と実際の悪意のあるドメインを続けます。ユーザーがリンクをざっと見たり、切り詰められたリンクを見た場合、最初に表示されるおなじみのブランド名に目を奪われ、ブラウザが実際には「@」の後のドメインに接続していることに気づかずにクリックしてしまう可能性があります。この手口は、メールクライアント、メッセージングアプリ、モバイルブラウザなど、URLがプレビューされたり切り詰められたりする環境で特に効果的です。なぜなら、最初の馴染みのあるテキストしか表示されないためです。
GMOあおぞらネット銀行を標的としたフィッシングキャンペーン
GMOあおぞらネット銀行を偽装した最初のBasic認証URLが特定された後、研究者たちは同様の構造を持つリンクによる組織的なキャンペーンを発見しました。各URLは「@」の前にgmo-aozora.com(またはそのバリアント)を埋め込み、同一のフィッシングページをホストする無関係なドメインを指していました。初期のURLは以下の通りです。
hxxps://gmo-aozora.com%25Z9IQ7POD%25b5r14s6j%257DdIL@coylums.com/sKgdiq
coylums.com、blitzfest.com、pavelrehurek.comの各ドメインは、すべて/sKgdiqというパスで同じフィッシングコンテンツを提供していました。これらのURLが非アクティブになる前には、日本語のCAPTCHAページ(「セキュリティチェック」と表示され、「私はロボットではありません」のボックスをクリックするよう促す)が表示され、偽のログインフォームを表示する前に偽の信頼性を与えていたことが、過去のDNSおよびホスティング記録から明らかになっています。
広範なフィッシングの傾向と日本のユーザーへの影響
Basic認証フィッシングの普及度を測るため、研究者たちは14日間に観測されたURLをサンプリングし、少なくとも214のユニークな事例を特定しました。Amazon、Google、Facebook、Yahoo、LinkedIn、Netflix、DHL、FedEx、Bank of America、SoftBankといった主要なグローバルブランドが標的となりました。例としては以下のようなものがあります。
- Amazon:
hxxps://amazon.jp-bghqtjbe%2Fufeuxoj…@lyfak.com/xekqxdyfj/rovglb… - Google:
hxxps://accounts.google.com+signin=secure…@lzx.enj.mybluehost.me/wp-admin… - Facebook:
hxxps://facebook.com@links.truthsocial.com/link/114903467869602196
驚くべきことに、214のURLのうち153(約71.5%)は、.jpトップレベルドメインやdocomo.co.jp、ocn.ne.jpのような日本固有のドメインを組み込むことで、特に日本のユーザーや組織を標的としていました。フィッシングメールは、アカウント閉鎖、セキュリティ警告、請求問題などの緊急通知を装い、ユーザーに欺瞞的なリンクをクリックさせ、偽のログインまたは認証プロセスを完了するよう促していました。
結論:警戒とUI改善の重要性
この調査は、Basic認証URLフォーマットのようなレガシーなウェブ機能が、脅威アクターの武器として依然として強力であることを浮き彫りにしています。安全な利用のためには廃止されたにもかかわらず、現代のブラウザとの互換性とユーザーを視覚的に誤解させる能力が、その有効性を維持しています。日本の金融機関や消費者ブランドに対するこのキャンペーンが示すように、一見すると古風な機能であっても、標的型ソーシャルエンジニアリングと組み合わせることで、洗練されたフィッシング操作を助長する可能性があります。リンクの検査における警戒と、ブラウザのUI表示の改善が、これらの欺瞞的で影響の大きい攻撃を軽減するために不可欠です。