年を追うごとに、フィッシングはアタッカーがパスワードを盗む最もよく使われる手段になってきている。ユーザーとして、我々はフィッシングサイトの明らかな兆候を見つけることにかなり慣れているが、ほとんどの人はブラウザのアドレスバーでウェブアドレスを見て、サイトが本物かどうかを確認する。
しかし、ブラウザのフィッシング対策機能(フィッシング被害者予備軍にとって最後の防御ラインであることが多い)も完全ではない。
セキュリティー研究者のRafay Baloch(ラファイ・バロック)氏は、Apple(アップル)のSafari、Opera、Yandexなど現在最もよく使われているモバイルブラウザに、アタッカーがブラウザを騙し、ユーザーのいるウェブサイトと異なるウェブアドレスを表示させることのできる脆弱性があることを発見した。こうしたアドレスバー騙しバグによって、アタッカーはフィッシングを本物のウェブサイトに見せかけるのがずっと容易になり、パスワードを盗むのにおあつらえ向きの環境が生まれる。
一連のバグは、脆弱なブラウザがウェブページを読み込む時間を要するという弱点につけ込むことで悪用される。被害者がフィッシングメールやテキストメッセージで偽のリンクを開いた瞬間、悪意あるウェブページはページに隠されたコードを実行して、ブラウザのアドレスバーに表示された悪意あるウェブアドレスを、アタッカーの選んだ任意のウェブアドレスに置き換える。
少なくとも1つのケースで、その脆弱なブラウザは緑の南京錠アイコンを表示したまま、アドレスを書き換えられた悪意あるウェブページが本物であることを示してしまった。実際にはそうでないのに。
Rapid7の研究担当ディレクターで、バロック氏と協力して各ブラウザメーカーに脆弱性を報告したTod Beardsley(トッド・ビアズリー)氏は、アドレスバー騙し攻撃はとりわけモバイルユーザーを危険に曝すと指摘している。
「モバイルでは画面スペースは非常に貴重なので、1ミリも無駄にできません。その結果、セキュリティーのシグナルやアイコンのためのスペースがあまりありません」とビアズリー氏はTechCrunchに語った。「デスクトップブラウザでは、現在いる場所のリンクを見たり、リンクにマウスをかざしてどこへ飛ぶのかを調べたり、南京錠をクリックして詳しい証明書を見ることもできます。こうした追加情報はモバイルではまず得られないので、アドレスバーはユーザーに現在いるサイトを教えるだけでなく、そこに曖昧性がなく確信を持ってユーザーに知らせることが求められます。もしあなたが「palpay.com」にいるにも関わらず、本来の「paypal.com」でなければ、パスワードを入力する前に自分がフェイクサイトにいることがわかります」。
「この手の騙しは、アドレスバーを曖昧にすることで、アタッカーが自分の偽サイトに一定の信用と信頼を与えることが可能になります」とビアズリー氏はいう。
バロック氏とビアズリー氏によると、メーカーの対応はまちまちだという。
これまでにアップルとYandexだけが9月と10月に修正を発行した。Opera広報のJulia Szyndzielorz(ジュリア・ジーンツィエルボルツ)氏は、ブラウザのOpera TouchとOpera Miniの修正を「徐々に公開する」と語っている。
しかしUC Browser、Bolt BrowserおよびRITS Browser(合わせて6億台以上の端末にインストールされている)は、研究者らへの返信がなく脆弱性は修正されないままだ。
TechCrunchは各ブラウザメーカーに連絡をとったが、いずれもまだ返事がない。
関連記事
・社員がフィッシング詐欺にあわないように偽メールを送り教育する「Riot」
・Googleには検索結果を改ざんして簡単に誤情報を拡散できるバグがある
カテゴリー:セキュリティ
タグ:Apple、Opera、Yandex、フィッシング
画像クレジット:RobertAx / Getty Images
[原文へ]
(翻訳:Nob Takahashi / facebook )