Zero Font Attackを内閣サイバーセキュリティセンター(NISC)がOffice365ユーザーに対して注意喚起

内閣サイバーセキュリティセンター(NISC)は、Microsoft Office 365において、フォントサイズを0に設定した無意味な文字列を埋め込み、フィルタリング対象外の文字列に見せかけてすり抜けを試みて、フィッシングメール検知回避を企図した攻撃手法「Zero Font」を確認し、twitterで注意を促しました。

ZeroFont Phishing: Manipulating Font Size to Get Past Office 365 Security(AVANAN、2018.06.13)によると、次の画像のように、一見怪しくない文字列に見せかけており、実は、文字(フォント)を0サイズにし、フィッシングメール(迷惑メール)検知システムから回避できるような仕掛けになっているという。

送信元のメールがパッと見、不審さが見当たらない場合、思わずメール本文中のURLリンクを押しやすい(ひっかかりやすい)というところを狙っているんだろうけれど。

ただ逆に、HTMLメールでの受信を拒否しTEXTメールのみにしている場合には、確実に怪しいメールと区別できそうな気がする。

でもね、この攻撃は、Office365メールに限らないと考えることができ、なぜ、NISCは「office365を利用している方へ」という具体的に名指ししたのがひっかかる。今回のZero Font 攻撃は、Office365に限らず、メールを利用しているヒトが該当し、さらに、フィッシングメール対策をしていないメールサーバを利用していれば、なおさら、受信メールに届いてしまう。

攻撃者(犯罪者)は、メール受信者がOffice365かどうかは知らない状態でメールを送りつけるため、Office365ユーザーではないヒトは、このツイートをスキップする恐れがある。

Office365のメールセキュリティにおいては、日本語スパムには弱いということもあり、安全なメールだけが届くことは無い、不審なメールも多少ながら届く環境(日本)においては、Zero Font 攻撃は、一種のスパムメールとして、また届いた、という面白がる考え以外無いのかもしれない。

 

スパムメールとして疑うには、(1)差し出しメールアドレス、ドメインを疑え(2)不自然なスペースやピリオドやハイフンの使い方(3)頑張って日本語を使ったという、日本独自の言い回し(4)表示されているURLリンクと、実際に飛ぶURLリンクが異なって入れば疑え、等・・・いろいろ疑う方法はある。

添付ファイルについては、VirusTotalでスキャンする方法もありますが、Kaspersky VirusDeskもおすすめ。

 

いずれにせよ、いくら対策が施されたメールシステムであっても、怪しい文面等なら、送信元をまず疑え!が必要と考えられる。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください