XSS脆弱性を悪用したフィッシング詐欺(英Netcraftの情報より引用)<br>表示されているのは本物のページだが,XSS脆弱性を悪用されて,偽のメッセージやリダイレクトのためのメタ・タグなどが埋め込まれている。
XSS脆弱性を悪用したフィッシング詐欺(英Netcraftの情報より引用)<br>表示されているのは本物のページだが,XSS脆弱性を悪用されて,偽のメッセージやリダイレクトのためのメタ・タグなどが埋め込まれている。
[画像のクリックで拡大表示]

 フィッシング対策ツールなどを提供している英Netcraftは現地時間6月16日,米PayPalをかたる新たなフィッシング詐欺が確認されたとして注意を呼びかけた。細工が施されたリンクをクリックすると,PayPalの本物のWebサイトが表示されてから,偽サイトへリダイレクトされる。このため,通常のフィッシングよりもだまされる可能性が高いとする。

 今回のフィッシングは,PayPalのサイトに見つかったクロスサイト・スクリプティング(XSS)の脆弱性を悪用する。Webページ(Webアプリケーション)にXSS脆弱性が存在する場合,攻撃者は細工を施したリンク(URL)をユーザーにクリックさせることで,任意のスクリプトやHTMLをユーザーのブラウザに送り込める。つまり,コンテンツの一部を改変したWebページを表示させることが可能となる。

 今回のフィッシングでは,細工が施されたリンクをクリックすると,PayPalのSSL(Secure Sockets Layer)を使ったページが表示される。このページ自体は本物。URLは「https://www.paypal.com/」から始まっており,ブラウザの錠マーク(pad icon)をクリックすれば,正当なSSL証明書が表示される。ただし,XSS脆弱性が悪用されて,コンテンツの一部が改変されている。

 具体的には,「Your account is currently disabled because we think it has been accessed by a third party. You will now be redirected to Resolution Center.」という偽メッセージが本物のページ中に挿入されて表示される。

 そして,しばらくすると偽メッセージどおりに「Resolution Center」と称した別のサイトへリダイレクトされる。このサイトは攻撃者が仕掛けた偽サイト。そのサイトではPayPalのユーザー名とパスワードの入力を促す。入力すると,次のページではクレジット・カード番号などの個人情報を入力させようとする。リダイレクト後に入力した情報は,すべて攻撃者へ送信される。

 当然,偽サイトはPayPalとは無関係なサイトなので,URLなどをチェックすれば偽サイトであることは分かる。しかしながらNetcraftでは,「ユーザーの多くは,本物のSSLサイトから偽サイトへリダイレクトされるとは思わないので警戒しないだろう」として,今回の新手法を警告している。なお現在では,PayPalは今回の脆弱性を修正済みであるという。

◎参考資料
PayPal Security Flaw allows Identity Theft(英Netcraft)