チェック・ポイント・ソフトウェア・テクノロジーは6月9日、ハッカーが用いる難読化手法のひとつ「ピクチャ・イン・ピクチャ攻撃」についての解説と対策を、Avananのブログで米国時間6月1日に公開した。

  • アメリカの大手百貨店チェーンKohl’sからのメールを装う偽のメッセージ

    アメリカの大手百貨店チェーンKohl’sからのメールを装う偽のメッセージ

「ピクチャ・イン・ピクチャ攻撃」では、ハッカーは大手百貨店や航空会社を装ったメールを用い、メール内画像のリンク先にフィッシングサイトを設定する。ユーザーが画像をクリックし、リンク先のフィッシングサイトで認証情報を入力すると情報が窃取されてしまうため、特に注意が必要だという。

ハッカーが用いる手法のひとつに、電子メールの真の意図を隠すことで、セキュリティスキャナーにクリーンなメールであると認識させる「難読化」がある。フィッシングメールが迷惑ボックスへ分類されることを防ぎ、エンドユーザーがそのメールを開く可能性を高めるという。

  • デルタ航空のギフトカードのオファーを装う偽メール

    デルタ航空のギフトカードのオファーを装う偽メール

「ピクチャ・イン・ピクチャ」はそんな難読化の一種で、ハッカーが画像内に悪意あるリンクを隠し、ユーザーをフィッシングサイトに誘導する攻撃手法。

例として、アメリカの大手百貨店チェーンから無料のロイヤルティプログラムへの参加者に選ばれたという偽メール、および航空会社からのギフトカードが進呈されるという偽メール。説得力のある見た目をしているが、どちらの例も百貨店ないし航空会社へのリンクではなく、偽メール内の画像をクリックするとユーザーは認証情報窃取を目的とするページにリダイレクトされる。

正規のブランドから送られてくるメールでは、このように画像内にURLが仕込まれたものが多いが、このフィッシングメール手法ではそれを真似し、見栄えの良いプロモーション画像に無関係なページをリンクすることでユーザー情報の盗取を試みている。

ハッカーが偽画像にリンクを仕込むのは、メールのURLフィルターをかいくぐる目的もあり、画像内をスキャンしていなければメールはセキュリティ上クリーンに見える。これはごく一般的な手法であり、ハッカーは多くの場合、ファイルや画像、QRコードなどに悪意あるリンクを設定する。

チェック・ポイントはこうした攻撃から保護するための対策として、(1)すべてのURLを確認してその背後にあるページをエミュレートできるセキュリティを実装する、(2)このようなフィッシング手法を攻撃検知に指標とするURLプロテクションを活用する、(3)オフィススイート全体でフィッシングコンテンツをブロックできるAIベースのアンチフィッシングソフトウェアを活用する──の3つを挙げた。