もうメールのリンク先はクリックできなそうだな【たまプラビジネス余談放談】20211008
このブログでも、お客様向けニュースレター掲載のブログでも、フィッシング防止策としてメールのリンクはクリックしないで直接そのサイトに行くか、メールからの場合はマウスオーバーで表示されるリンク先のURLを確認してからヒットするようにお願いアナウンスしてきた。
いくらセキュリティ対策していても、フィッシングに引っかかってアクセス情報を入力してしまっては元も子もない。しかし最近ではさらに手が混んできた事例が報告されている。
それは「リダイレクトの脆弱性」と言われている。
今までよくあった手口は、例えば、正しいURLが日経新聞だとすると、https://www.nikkei.co.jp/であるが、これをメール上での表示はそのままで後ろに隠された実際のリンク先をhttps://phshing.com/login.htmlなど悪意のあるサイトに設定しておいて、日経に飛んだつもりがフィッシングサイトに飛ばされアクセス情報などを入力させられ盗まれるというケースが一般的だった。
この場合、リンクをクリックする前にマウスをそのリンクに乗せると裏に隠されたhttps://phshing.com/login.html このリンクが表示されるので、それを確認してからリンクをクリックするかどうか確認するように注意を促していた。
しかしこの「リダイレクトの脆弱性」は、
http://www.nikkei.co.jp/?redirect=http://evil.example.jp/login.html
(日経のURL). (悪意あるフィッシングサイトのURL)
このように、外部の任意のURLをリダイレクト先に指定できてしまうのがオープンリダイレクトの脆弱性だ。リンクを確かめて「nikkei.co.jpなら大丈夫」と思ったユーザーがクリックすると、攻撃者が用意した「evil.example.jp」のログインページにリダイレクトされる。
これだと単にURLを確認しただけではわからないことになる。
注意深くredirectされていないか、redirectの先のURLが怪しくないかをチェックすればいいのだが、なかなか難しそうでもある。
やむをえないがひとまずは、メールのリンクからのwebサイト訪問は控えることになる。
