半蔵門御散歩雑談/ODR Pickups

株式会社ODR Room Network

このブログは、株式会社ODR Room Networkのお客様へのWeekly reportに掲載されている内容をアーカイブしたものです。但し、一部の記事を除きます。ODRについての状況、国際会議の参加報告、ビジネスよもやま話、たまにロードレーサーの話題など、半蔵門やたまプラーザ付近を歩きながら雑談するように。

もうメールのリンク先はクリックできなそうだな

もうメールのリンク先はクリックできなそうだな【たまプラビジネス余談放談】20211008

 

このブログでも、お客様向けニュースレター掲載のブログでも、フィッシング防止策としてメールのリンクはクリックしないで直接そのサイトに行くか、メールからの場合はマウスオーバーで表示されるリンク先のURLを確認してからヒットするようにお願いアナウンスしてきた。

いくらセキュリティ対策していても、フィッシングに引っかかってアクセス情報を入力してしまっては元も子もない。しかし最近ではさらに手が混んできた事例が報告されている。

xtech.nikkei.com

それは「リダイレクトの脆弱性」と言われている。

今までよくあった手口は、例えば、正しいURLが日経新聞だとすると、https://www.nikkei.co.jp/であるが、これをメール上での表示はそのままで後ろに隠された実際のリンク先をhttps://phshing.com/login.htmlなど悪意のあるサイトに設定しておいて、日経に飛んだつもりがフィッシングサイトに飛ばされアクセス情報などを入力させられ盗まれるというケースが一般的だった。

この場合、リンクをクリックする前にマウスをそのリンクに乗せると裏に隠されたhttps://phshing.com/login.html このリンクが表示されるので、それを確認してからリンクをクリックするかどうか確認するように注意を促していた。

 

しかしこの「リダイレクトの脆弱性」は、

 

http://www.nikkei.co.jp/?redirect=http://evil.example.jp/login.html

(日経のURL).                                 (悪意あるフィッシングサイトのURL)

 このように、外部の任意のURLをリダイレクト先に指定できてしまうのがオープンリダイレクトの脆弱性だ。リンクを確かめて「nikkei.co.jpなら大丈夫」と思ったユーザーがクリックすると、攻撃者が用意した「evil.example.jp」のログインページにリダイレクトされる。

これだと単にURLを確認しただけではわからないことになる。

注意深くredirectされていないか、redirectの先のURLが怪しくないかをチェックすればいいのだが、なかなか難しそうでもある。

 

やむをえないがひとまずは、メールのリンクからのwebサイト訪問は控えることになる。

f:id:emandai34:20170516163950p:plain