はい、M10iです☆
そろそろ今年も終わりなのですが、ちょっと前に気になったこちらの記事。
New Phishing Attack Using Invisible Characters Hidden in Subject Line Using MIME Encoding
こちらの記事について、ちょっとお話させて頂きたいと思います!
はじめに:進化し続けるフィッシング攻撃
フィッシングメールは年々巧妙化しており、単純な「怪しい件名」や「不審なリンク」だけでは見抜けないケースが増えてきていますね?近年は生成AIの普及もあり、文章自体自然で違和感のないメールも珍しくなくなりました。
そんな中、海外のセキュリティ系メディアで 「見えない文字」を使ってメールセキュリティを回避する新しい手法 が紹介されていたのがこちら。
この記事で紹介された新しい攻撃手法とは?
今回紹介されているのは、メールの件名(Subject)を悪用した手法。
ポイントはとてもシンプル。
- 受信者には「普通の件名」に見える
- しかし実際のデータ上では、見えない特殊文字が紛れ込んでいる
- 機械的には「別の文字列」として扱ってしまう
でここで疑問になる訳ですが、見えない文字がどうやって悪さをするのか????
見えない文字(soft hyphen)が引き起こす問題
今回の攻撃で使われている soft hyphen(U+00AD) は、
もともと「単語の途中で改行する位置」を示すための 制御用の文字 です。
なので、メールセキュリティソフトでよくフィルタにかけられるような単語でも、間に制御文字が挟まっていたらどうなるのか?
具体的に例えると・・・・
絶対儲かる!という超絶怪しい単語をフィルター設定で弾いていたとします。
しかし間にU+00ADを挟んで絶対|儲か|る!のようにしてしまうと、セキュリティソフトからは区切り文字が挟まっているので別の単語として認識してしまうわけです。
でも人間からは普通に絶対儲かる!と読める訳です。
そして、え??そうなの??儲かるの??ってうっかり件名をクリックしてしまったら・・・・
賢明な読者の皆様に限ってそんな事はしないと思いますが(件名なだけに・・・)
もうひとつの技術MIME encoded-word とは何か
この攻撃で使われている技術のひとつが MIME encoded-word という仕組み。
MIME(Multipurpose Internet Mail Extensions)は、
メールで日本語などの ASCII以外の文字 を正しく扱うための標準仕様です。
で、その中のRFC 2047 で定義されているのが、
今回話題の件名やヘッダ内の文字列をエンコードする encoded-word形式 です。
件名などに絵文字や特殊文字を入れられるようにするため割とよく使われてたりします。
メーラー開いて絵文字正常に表示されてると、ああこれが使われるんだなーって思ってくださいw
で、お話はsoft hyphenに戻ります。soft hyphenはそのまま送り付けることができないので攻撃者はこのsoft hyphenをMIME encoded-wordでエンコードして、メールで送りつける訳です。
最後に
今回の事例が示しているのは、
「人間に見えないものこそ、攻撃者にとって都合がいい」
「当たり前の仕組みそのものを悪用するフェーズに入っている」
というシンプルな事実、っていう怖い話でした。
前回の記事Browser Cache Smuggling とはもCDNの仕組みを悪用してましたね。
怖い時代になったものです。。。
ではでは、M10iでした☆
