Amex と Snapchat にオープンリダイレクトの脆弱性:対応を間違えると悪用の範囲が拡大

American Express, Snapchat Open-Redirect Vulnerabilities Exploited in Phishing Scheme

2022/08/03 DarkReading — American Express と Snapchat のドメインに存在するオープン・リダイレクトの脆弱性を悪用する脅威アクターたちが、Google Workspace や Microsoft 365 のユーザーをターゲットにした、フィッシング・メールを送信していることが明らかになった。 INKY が発表した調査結果によると、どちらのケースにおいてもフィッシング詐欺師たちは、個人を特定できる情報 (PII) を、URL に含んでいたことが判明している。 また、PII を Base 64 に変換し、ランダムな文字列に変換することで、それを隠蔽していた。

Snapchat グループのフィッシング・メールでは、DocuSign/FedEx/Microsoft を装うルアーが使用されており、Microsoft のクレデンシャル・ハーベスティング・サイトへと誘導されていた。

INKY のエンジニアたちは、2ヶ月半の間に、オープン・リダイレクトの脆弱性を含む 6,800通以上の Snapchat フィッシング・メールを検出した。1年前ほど前に、Open Bug Bounty が Snaptchat に報告していたが、この脆弱性には依然としてパッチが適用されていないとのことだ。

この問題は、American Express のオープン・リダイレクトの脆弱性では更に深刻であり、7月の僅か2日間の間に、2000通以上のフィッシング・メールが発覚している。しかし、このレポートによると、その後に American Express は、この脆弱性にパッチを適用し、悪意のリンクをクリックしたユーザーは、同社 Web サイトのエラー・ページにリダイレクトされるようになったという。

リダイレクトの脆弱性とは、信頼できない入力を受け付けたドメインが、対象となるユーザーを別の URL にリダイレクトしてしまうという問題である。このようなサイトの URL を変更することで、たとえばオリジナル URL の末尾に、別のディスティネーションへのリンクを追加することで、攻撃者は簡単に、ユーザーを目的のサイトへとリダイレクトできる。

今日の INKY レポートでは、「オープン・リダイレクトの脆弱性は、攻撃者がサイトに危害を加えたり、データを盗んだりするものではないため、Web サイトでは注目されていない可能性がある。Web サイト運営者の立場からすると、潜在的に発生する被害はサイトの評判を貶めるだけだが、その被害者は、認証情報やデータを盗まれ、場合によっては金銭を失う可能性もある」と指摘されている。

リンク先を調査し、ユーザーに免責事項を提示する

このレポートでは、リンクを調べる際に、信頼できるドメインから別サイトにリダイレクトされる可能性示す、url=/redirect=/external-link/proxy といった文字列であるなどを含む、URL に注意するよう勧告している。また、URL の中に http が繰り返して含まれている場合も、リダイレクトを示唆するサインとなる。

このレポートには、「ドメイン所有者は、サイト・アーキテクチャでリダイレクトの実装を避けることで、このような悪用を防ぐことができる。また、外部サイトにリダイレクトする前に、ユーザーのクリックを要求する、外部リダイレクトの免責事項をユーザーに提示することも可能だ。商業的な理由でリダイレクトが必要な場合には、承認された安全なリンクの許可リストを実装することで、悪意のあるリンクの入力を防ぐことができる」と記されている。

INKY が報告した詐欺は、IT セキュリティ界を賑わすフィッシング詐欺の最新作である。また、今週の初めには ThreatLabz の研究者たちが、Microsoft Outlook メールサービス・ユーザーを狙った大規模なフィッシング・キャンペーンについて警告を発した。

8月3日の「Microsoft のメール認証情報を狙うフィッシング・キット:MFA 回避機能を持つ?」にも、Snaptchat にオープンリダイレクトの脆弱性のことが記されていました。そこでは、「残念なことに、一部のプラットフォームでは、オープン・リダイレクトを脆弱性とみなさないため、脅威アクターたちに悪用を許す状態になっている」と指摘されています。そう考えると、Open Bug Bounty からの報告を受けながら、それに対応してこなかった Snaptchat は、かなり迷惑な存在となってしまいますね。

%d bloggers like this: