なりすましは、ハッカーにとって最も一般的で信頼できる手口の1つです。そのため、被害者は自然と警戒を解き、悪意の微妙なサインやそうでないサインを見過ごしてしまいます。しかし、ハッカーがどのように合法的な存在(人であれ企業であれ)になりすますかは、実にさまざまだ。その中には、オープンリダイレクトを悪用する手口もある。Vadeでは、合法的なブランドやサービスを悪用したフィッシング詐欺で、この手法がよく使われているのを目にし続けています。
このブログポストでは、オープン・リダイレクト攻撃とは何か、どのように機能するのか、なぜハッカーはこの攻撃を使うのか、そしてどのように防御することができるのかについて説明します。
リダイレクトはインターネットに必要なもので、ブラウザに自動的に別のウェブサイトを閲覧したり、別のURLにアクセスするように指示するために使用されます。リダイレクトは非常に一般的で、安全でないHTTPバージョンからより安全なHTTPSへのリダイレクトなどに使用されます。セキュアに行われる場合、これらのリダイレクトはWebアプリケーションの内部から行われ、サイトの所有者によって制御または保護されます。
オープン・リダイレクトとは、リダイレクトされるURLがアプリケーションの外部から設定できたり、ユーザーが管理する情報に影響される可能性がある場合です。表面的には、これは本質的に悪いことではありませんが(3xxリダイレクトは技術的にはオープン・リダイレクトの範疇)、簡単に悪用される可能性があります。攻撃者が適切な検証やサニタイズなしに外部URLにリダイレクトするときに問題が生じます。その名が示すように、ハッカーがこの脆弱性を悪用し、ユーザーを異なる、潜在的に有害なWebサイトにリダイレクトさせることで、オープンリダイレクト攻撃が発生します。
オープン・リダイレクトの典型的なプロセスには、以下のステップが含まれます:
下の例は、中国の検索エンジンBaiduの正規Webページです。このWebページのURLは、リンクのリダイレクトを含むフィッシングメールから発信されています。リンクをクリックしたユーザーは、このページに一瞬移動した後、目的のフィッシング・ページにリダイレクトされます。オープンリダイレクトを使用することで、ハッカーは悪意のあるリンクを正規のリンクの背後に隠すことができます。彼らはまた、脅威をフィルタリングするためにドメインの評判と年齢を考慮するセキュリティ対策を回避することができます。
Baiduのようなブランドを悪用することで、ハッカーは安全で広く利用されている合法的なサービスの信頼シグナルを悪用することができる。また、ターゲットとなるユーザーの受信トレイにフィッシングメールが届く可能性を高めることもできる。
Vadeが検出したBaiduのオープンリダイレクト攻撃
オープンリダイレクトは、多くのセキュリティ対策、特に悪意のあるリンクを識別するWebルートのボットを回避しようとするスパム送信者によって利用されています。スパマーにとって、大規模なフィッシング大量メール送信キャンペーンでは、敵の裏をかくことが非常に重要です。以下は、受信トレイに届く前にリンクを精査し、正当なリンクと悪意のあるリンクを区別するボットの非網羅的なリストです:
ボットを出し抜き、受信トレイへの配信を成功させると同時に、ブラウザベースのWebルートスキャンを回避するために、スパマーは難読化テクニックを使って詐欺ページをスクリプト化し、「ファッドリンク」(完全に検出不可能なリンク)を設定します。攻撃者にサブドメイン侵入テストを実行し、オープンリダイレクトを発見するWebハッキングスキルがない場合、いくつかの有効なオープンリダイレクトボットが利用可能です。これらのボットは、詐欺スクリプトのリンクを完全に検出できないようにし、ボットによってトリガーされる偽のユーザーインタラクションを回避し、実際のユーザーが意図したターゲットリンクにアクセスできるようにします。
オープンリダイレクトの脆弱性、特にサブドメインを含む脆弱性を検出するには、通常、手動テストと自動化ツールの組み合わせが必要です。このような脆弱性を発見するためには、次のような手順が考えられます:
複数の対策を組み合わせることで、オープンリダイレクト攻撃から保護することができます。Vade for M365のような高度なメールセキュリティソリューションは、オープンリダイレクトリンクを含む悪意のあるメールをフィルタリングし、ユーザーに届かないように除去します。フィッシングの兆候を識別し、改善のために疑わしいメールを報告するために、フィッシングの認識トレーニングは、ユーザーを教育することにつながります。また、多要素認証(MFA)の採用や強力なパスワード・ポリシーの実施など、その他の対策により、侵害に成功する前または後に悪用されるリスクを抑制します。