HTTP Response Header を悪用するフィッシング・キャンペーン:危険性が高まる理由は何処に?

Beyond HTML: The Hidden Danger of Phishing in HTTP Response Headers

2024/09/12 SecurityOnline — Palo Alto Networks – Unit 42 の研究者たちは、あまり知られていない手法である、HTTP リフレッシュ・レスポンス・ヘッダーを通じて配信される、フィッシング・ページによる大規模なフィッシング・キャンペーンを発見しました。従来からの、悪意のHTML コンテンツに依存するフィッシング戦術とは異なり、この手法は、サーバから送信されたレスポンス・ヘッダーを使用して、HTML コンテンツが処理される前に、ユーザーを不正なサイトへとリダイレクトするものだ。2024年5月〜7月に、研究者たちが検出した悪意の URL は、1日あたり 2,000 件に達しており、この手法が広く使用されていることを示している。

この HTTP リフレッシュを悪用するフィッシング攻撃は、ブラウザーからのリクエストに対する、サーバからの応答の一部である HTTP レスポンス・ヘッダーに悪意のリンクを埋め込むところから始まる。ユーザーがフィッシング・リンクをクリックすると、ブラウザーによる自動的な再読み込み、もしくは、フィッシング・ページへのリダイレクトが行われる。その際に、ユーザーの操作は必要とされない。続いて、この手法を用いる攻撃者は、正規の Web メール・ログイン・ポータルなどの信頼できるサイトを装うフィッシング・ページを表示し、ユーザーを騙して認証情報を入力させる。

Example of an HTTP response header shown in DevTools

これらの攻撃では、フィッシング・メールを介して受信者をターゲットにするのが常套手段である。それらの悪意のメールには、事前入力された受信者のメール・アドレスなどの情報が、フィッシング・ページのフォーム・フィールドに取り込まれているため、詐欺サイトが正当なものだと思い込みやすい。この高度なレベルのパーソナライゼーションにより、認証情報を窃取する可能性が大幅に高まる。

Unit 42 レポートでは、これらのフィッシング・キャンペーンの主要ターケットは、金融/政府などの組織だとされる。つまり、悪意のメールを受信する人々は、グローバルな金融機関/政府ドメイン/インターネット・ポータルなどの環境で、作業しているケースが多いことが強調されている。さらに、悪意の URL をホストするために、正当なドメインや侵害されたドメインが使用されると、さらに複雑さが増すことになり、脅威の特定が極めて難しくなる。

2024年6月20日〜6月21日に観測された、注目すべきキャンペーンの 1 つは、韓国の大企業と米国の政府機関をターゲットにしたものである。このキャンペーンのフィッシング・メールは、一般的ななりすましの送信者 (例: 2127394249@docusign[.]com) から送信され、”Complete with DocuSign: ACH/EFT FORM” などの件名が、一貫して使用されていたという。このキャンペーンは、金融/政府/教育などの業界をターゲットにしており、攻撃の 34% 以上がビジネス・セクターの人々をターゲットにしていた。

研究者たちが注目しているフィッシング・キャンペーンでは、URL 内で “sf_rand_string_lowercase6” というパスが使用されていたという。それは、リンクの背後にある悪意をさらに隠す戦術である。

A phishing page impersonating the Outlook webmail login portal
Image: Unit 42

これらのフィッシング・キャンペーンが危険である理由は、攻撃者がディープ・リンクと動的コンテンツ生成を使用している点にある。この攻撃者は、URL にパラメータを埋め込むことで、被害者のメール・アドレスをログイン・フォームに事前入力し、フィッシング・ページに本物らしさを与えている。このパーソナライズされたアプローチにより、悪意のページにユーザーが騙されて。認証情報を入力する可能性が高くなり、最終的には、個人情報の盗難や機密システムへの不正アクセスといったリスクが生じることになる。

これらのフィッシング攻撃を検出する上で大きな課題となっているのは、正当なドメインまたは侵害されたドメインを指す URL が多用されている点にあり、悪意の URL として識別することが難しいことである。さらに攻撃者は、短縮 URL やマーケティング・プラットフォーム悪用などの手法を使用して、フィッシング・リンクの実際のディスティネーションを巧妙に隠している。

このようなフィッシング・リンクをクリックすると、一連の URL へ向けたリダイレクトが実行され、多くの場合いおいて、”hk6.8ik8rq[.]ru” などのドメインでホストされている、悪意のページへと移動させられる。これらの、複数のステップで構成される URL チェーンにより、従来のセキュリティ・ソリューションでは、最終ディスティネーションに到達する前に、攻撃をブロックすることが困難になっている。

HTTP リフレッシュ・ヘッダーを悪用するフィッシング攻撃の増加は、フィッシング戦術の新たな巧妙さを示しており、懸念すべき傾向である。HTML コンテンツが処理される前に、サーバ側のリダイレクトを利用することで、悪意の意図は効果的に隠され、疑いを持たない被害者が騙されることになる。Unit 42 のレポートは、さまざまな業界の組織が、サイバー攻撃の増大する波に直面していることを示している。そして、進化する脅威に対して、先手を打つことの重要性を強調している。

これまでの HTML コンテンツを介したリダイレクションに代わって、HTTP レスポンス・ヘッダーを悪用する方式が、脅威アクターたちにより用いられているようです。それにより、パーソナライズされた悪意のアプローチが可能となり、検出も難しくなるため、これまで以上に巧妙なフィッシング攻撃が仕掛けられることになりそうです。よろしければ、Phishing で検索も、ご利用ください。