メール着信率を上げるために巧妙化する手口
続いて吉岡氏は、実際に報告のあったフィッシングの事例を紹介した。最近のフィッシングはメールの文面もフィッシングサイトも本物をコピーして作られているため、これらを見破ろうとはしないことが現在の主流となっている。
一方で犯罪者側は、いかにメールを着信させるかに苦心していることが読み取れるという。セキュリティ機構を回避できれば利用者へ直接着信でき、その何割かは誤操作や誤認により情報を詐取する可能性があるためだ。
URLに飾り文字などが含まれたフィッシング
吉岡氏は最初に「URLに飾り文字などが含まれたフィッシング」を紹介した。これは2023年10月頃から確認されている手法で、現在も続いている。アルファベットの飾り文字は、ブラウザに引き渡されたときにASCII文字へ変換されることを悪用している。
フィッシング対策協議会「最近のフィッシング報告の動向」より引用
[クリックすると拡大します]
紹介された例では、「@」より前の部分はベーシック認証表記として認識され、アクセス先はそれ以降の「zrxkadimsrje.qijitu.cn」となるが、この「qijitu」の部分が飾り文字になっている。もう一つの例でも、最初の部分が「mastercard.com」という実在するドメイン名を使うことで誤認させようとしている。ただし、「/」もUnicodeを使用しているため実際には区切りになってはいない。
実際にアクセスされる「@」以降は一見するとランダムな文字列に見えるが、ブラウザはこの文字を変換し「https://wernhgb.com?otvYQTdXAy」というフィッシングサイトにアクセスすることになる。吉岡氏は「フィルター等によってUnicodeが含まれるURLを不正という判定ができると良いと考えています」とした。
メール本文やURLに、ゴミ文字やUnicode文字を混ぜる
HTMLメールの文面は正規のものに見えるが、テキスト表示で確認するとテキスト中にゴミ文字やコードを混ぜていることが分かる。これにより、メールフィルターを回避しようという狙いである。こうした文字やコードは、件名やヘッダーFrom、メールのヘッダーにも混ぜ込まれていることがある。
フィッシング対策協議会「最近のフィッシング報告の動向」より引用
[クリックすると拡大します]
メールアドレスなりすまし送信の現状
差出人メールアドレスのなりすましも引き続き行われている。2024年6月頃から、フィッシングメール上で騙られるブランドと関係のないドメインを騙るメールが急増した。たとえば、差出人はメルカリであっても、そのドメインは「nintendo.com」になっているようなケースである。
フィッシング対策協議会「最近のフィッシング報告の動向」より引用
[クリックすると拡大します]
こうした状況や特徴から、犯罪者は様々な要素を切り替えながらメール着信率の高い方法を一生懸命探っているのだろうと想像できるとした。
