2007年11月13日

URL偽装の手口

■はじめに

 フィッシングでは、見た目そっくりの偽サイトを作成して機密情報を盗み出すと前回書きました。そして、ブラウザ上のURL表示をちゃんと確認することの必要性も書きました。ところがURLは巧妙に偽装されることがあるので、アドレスをチェックしているつもりでも騙される恐れはあります。ここでは、URL偽装の手口を書いていきます。

■偽装その1 見た目と無関係なリンク先

 さて、URL偽装の手口を書く前に確認することがあります。

 ウェブページに貼られているリンクをクリックすると、リンクに設定されているページへ移動します。たとえば以下のリンク1をクリックするとGoogleが表示されます。

1: http://www.google.co.jp/

 リンク2もGoogleへのリンクです。

2: Google

 「Google」という単語に下線が引かれていて、これをクリックするとGoogleへ移動します。このように下線を引く単語がリンク先ページのタイトルを表しているリンクは訪問者にとって分かりやすいものです。

 しかし、あくまで「そうする方が分かりやすい」というだけの話です。下線を引く単語とは完全に無関係なリンク先にしても、リンクの機能としては全く問題がありません。リンク3をクリックするとどこへ移動するでしょうか。

3: http://www.google.co.jp/

 ちゃんと確認しておかないと、これだけでも騙されます。リンクにマウスカーソルを合わせるとステータスバーにURLが表示されるので、それを確認すれば騙されずに済みます。逆に、ステータスバーを非表示していると、偽装を見破るための重要な手がかりを逃すことになります。

■偽装その2 JavaScriptでステータスバーの表示を偽装する

 ところでJavaScriptを使用すると、ステータスバーの表示を変更することができます。この機能は個人のウェブサイトではステータスバーに挨拶を表示するのに使わていたりします。

 この機能を使って偽のURLを表示したらどうでしょうか。リンク3にカーソルを合わせたときにだけステータスバーに「http://www.google.co.jp/」と表示させ、それ以外のときは「完了」とでも表示させれば自然に見えます。

 リンク3のように見た目がGoogleへのリンクで、ステータスバーの表示もGoogleだったら、Googleへのリンクだと勘違いするのも仕方がありません。対策としては、JavaScriptではステータスバーの表示を変更できないように設定すればOKです。

 Firefox 2.0.0.9では以下の手順で設定できます。最初からそのような設定になっていますが、一応書いておきます。

[ツール]メニュー → [オプション] → [コンテンツ] → [JavaScriptを有効にする]の右にある[詳細設定] → [ステータスバーのテキストを変更する]のチェックを外す

 その他のバージョンのFirefox、もしくはその他のウェブブラウザーでの設定方法は未確認です。

■偽装その3 HTMLメールを使用する

 URLの偽装は電子メールでも行われます。URLの偽装に限っていえば、電子メールの場合でもウェブブラウザーと同じ対策をすれば大丈夫です。しかし電子メールの場合に限って油断してしまうような盲点があります。

 よく知られているように、電子メールにはテキスト形式とHTML形式があります。メール送信者は、テキスト形式のメールにリンクを設定することはできませんが、テキスト形式メールの本文にURLやメールアドレスが書かれていると、自動でリンクする機能を持ち合わせているメールソフトは多いです。URLの偽装にはこれが悪用されます。

 どういうことかというと、テキスト形式にそっくりなHTML形式のメールを送信し、そのHTMLメールには前述した「偽装その1」のリンク3の手口を使うのです。すると、受信者はテキスト形式にそっくりな見た目に騙され、偽装されたリンク先を開いてしまうのです。

■最後に……

 URLを偽装してフィッシングサイトに誘導すると最初の方で書きましたが、URLの偽装はそれだけのために使われるものではありません。「悪意のあるウェブサイトに誘導するために使われる」という表現のほうが正確だと思います。

 たとえばそれはグロテスクな画像を載せているサイトかも知れません。あるいは、アクセスするとブラウザーが高速に動き出すような迷惑なサイトかも知れませんし、もしかするとアクセスするだけでウイルスに感染するようなサイトかも知れません。

 このようなウェブサイトへの誘導の場合、リンクをクリックしてもツールバーに表示されるURLを見ればいいや、という考えが通用しません。

 もっとも、リンクをクリックするたびに深刻に考える必要はもちろんありません。怪しいウェブサイトを見分けるための感覚を身につければ、怪しいときだけはしっかりと確認するという程度で十分です。

人気ブログランキング
web拍手 by FC2
タグ:URL 偽装
posted by 北条利彦 at 23:14 | Comment(0) | TrackBack(0) | ウェブ | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.seesaa.jp/tb/66355635

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。