PhishWall利用サポート
法人向け製品サポート
パートナー様向けログイン

脆弱性のあるWebサイトを利用したフィッシング詐欺とは? オープンリダイレクトを悪用したフィッシング攻撃

脆弱性のあるWebサイトを利用したフィッシング詐欺とは? オープンリダイレクトを悪用したフィッシング攻撃

先日の「【注意喚起】インターネットバンキングの不正送金被害が急増しています」「急増する金融機関をかたるフィッシングの被害にあわないために」でもご紹介したとおり、フィッシング攻撃が盛んに行われています。中でも、今回は、「脆弱性のあるWebサイトを利用したフィッシング詐欺」の手法についてご紹介します。オープンリダイレクトと呼ばれる脆弱性を悪用する手法です。

オープンリダイレクトについては、過去に「オープンリダイレクトについて知っておくべきこと」でご紹介していますので、そちらもご参照下さい。

オープンリダイレクトとは、Webサイトで利用されるリダイレクトと呼ばれる機能を悪用して、攻撃者の用意したサイトに誘導するというものです。そもそものリダイレクトについて簡単に解説します。リダイレクトとは、以下の図の様にWebブラウザで利用者が特定のURLへのアクセスやログインなどの操作を行った際に、Webサイト側で任意のURLに転送=リダイレクトさせる機能です。

オープンリダイレクトとは

リダイレクト機能を実装する際に、

リダイレクトURL

の様にリダイレクト先URLをクエリ文字列に設定することで

リダイレクトURL

にリダイレクトさせるという手法があります。この様な実装方法を用いた際に遷移先の検証を適切に行っていないなどの脆弱性が存在すると、リダイレクト先URLに攻撃者の用意したWebサイトのURLを設定することで、以下の様な攻撃が可能となります。

オープンリダイレクト攻撃

この様に、一見すると正規サイトと思われるURLに接続したにも関わらず、実際には攻撃者の用意した悪性のWebサイトに誘導されてしまうというものです。

この様なオープンリダイレクトの脆弱性を利用してフィッシングサイトへの誘導を試みるフィッシング攻撃の存在をセキュアブレインの調査でも確認しています。

オープンリダイレクトの脆弱性を攻撃者が利用するメリットは、何でしょうか?それには、以下の様な効果が考えられます。

URLのドメインが実在する企業などの良性サイトであるためメールフィルタなどの悪性サイト検知をすり抜ける可能性が高い
URLが実在する企業などの良性のサイトのものであるため、ランダムな文字列のドメインなどに比べて利用者が怪しむ可能性が減る

中には、リダイレクト先URLに指定されたURLも別の実在する企業の脆弱なWebサイトや再転送用に用意したと思われるホスティングサーバなどが用いられており、更にリダイレクトしてフィッシングサイトに到達するといった誘導方法も確認しています。

この様にWebサイト2つを経由して最終的に攻撃者のサイトにリダイレクトされる場合、メール本文に記載されるURLは、リダイレクト元のURLもリダイレクト先のURLも良性サイトのものであるため上記の攻撃者のメリットはより効果を増すと考えられます。

このようなオープンリダイレクトを悪用したフィッシング攻撃にはどの様に対応すべきでしょうか?

利用者視点では、通常のフィッシング対策と同様に、特に以下の2点に注意して下さい。

(1)メール、SMSのリンクは開かない
(2)利用するWebサービスは、予め登録したブックマークや正規のスマホアプリから利用する

また、フィッシング対策協議会では利用者向けのフィッシング対策ガイドラインが公開されていますので、確認することをお勧めします。 https://www.antiphishing.jp/report/consumer_antiphishing_guideline_2022.pdf

Webサービスの提供者視点では、オープンリダイレクトの脆弱性を作り込まない、放置しないといった対策が必要です。冒頭でもご紹介した「オープンリダイレクトについて知っておくべきこと」をご参照下さい。

セキュアブレインでは、セキュリティの専門家が分析を行うITインフラ/Webアプリ/ソースコードのセキュリティ診断サービスを提供しています。今回、解説したオープンリダイレクトリダイレクトに限らず脆弱性や脅威の洗い出し、セキュリティ対策を支援します。

セキュリティ診断サービス
https://www.securebrain.co.jp/products/web_it/index.html

セキュアブレインが提供する製品・サービスのお問い合わせは以下よりお願いします。
https://www.securebrain.co.jp/form/service/inquiry_input.html