URL スプーフィング

URL スプーフィング

Security 総論第ニ回はURL スプーフィングについて考えます。スプーフィングの【(英)spoofing：なりすますこと】という意味を見てもらえれば、「URL スプーフィング」とはいったいどのようなものか想像がつくと思います。様々な手段を使いURLを偽造し、目的とは別のサイトにターゲットを誘導するという…言わば詐欺のような手段のことです。本来は「web スプーフィング」と言う分野に含まれるのですが、「web スプーフィング」はURLを偽造するだけではなく、もっと様々なアプローチによってターゲットを目的とは別のサイトに誘導します。

少し話がそれますが、「web スプーフィング」についても少しだけ触れておきましょう。まず、DNSサーバの機能を誤動作させて本来とは別のIPアドレスを返させる「DNS スプーフィング」。ターゲットのお気に入りを書き換えて別のサイトに誘導する方法。本物のサイトと似たようなURLを登録しておき、ターゲット（この場合不特定になりますが）がURLを手入力する際の誤入力を待つ方法。そして本題であります「URL スプーフィング」によってターゲットを別のサイトに誘導する方法。おそらく私が知らないだけで、まだまだ「web スプーフィング」の方法はあると思います。インターネットの世界も現実世界と全く同様に気を抜くと騙されます。無知でも騙されます。こんな方法もある、ということくらいは知っておき、WEBサイトを見るときには常に「このサイトは本物か」と疑うことが必要です（特にパスワードの類いを入力するとき）。

では本題であります「URL スプーフィング」について考えていきましょう。特にURL スプーフィングを取り上げた理由は、注意さえしていれば看破しやすいものが多いからと、更に特筆すべきは技術などなくても簡単に実現されてしまうからです。順番に例を見てみましょう。
※下記の例をクリックした際、別窓にて当サイトのTOPページが開きます。

<a href="http://www.7key.jp" target="_blank" class="R">
Google
</a>

最も簡単で誰にでも実現されてしまうのがこの（例１）です。ステータスバーを見れば一目瞭然なのですが、何も気にしない人はあっさり騙されてしまうでしょう。

<a href="http://www.7key.jp" target="_blank" class="R">
http://www.google.co.jp/
</a>

応用…と言うほどのものでもないのですが…これもうっかりひっかかってしまいそうになるリンクですね。これもステータスバーを見れば別サイトに飛ばされてしまうことはすぐに分かります。ここまではちょっとした注意で防ぐことができるものばかりですが、次はどうでしょう。

<a href="http://www.google.co.jp/">
<form action=https://www.7key.jp/ method="get" target="_blank"><input 
style="border-right: 0pt; border-top: 0pt; font-size: 10pt; border-left: 
0pt; cursor: hand; color: blue; border-bottom: 0pt; background-color: transparent; 
text-decoration: underline" type=submit value=http://www.google.co.jp/></a>

これは IE5.x/OE5.x/IE6/OE6 で見つかったバグなんですが、これは手が込んでいますね。HTMLタグとスタイルシートのみの簡単な記述で、ステータスバーまでスプーフィングできています。Operaやネットスケープで閲覧していれば騙されそうにもないですが、IEユーザが多いことを考えるとこれは多くの方が騙されてしまうのではないでしょうか。まぁ、クリックしたときに少しいつもと様子が違いますので…その辺りに気を使うしかないのでしょうね。

<script language="JavaScript">
<!--
var strS = "http://www.google.co.jp/";
var tID;
function cngStat(){
    tID = setTimeout("cngStat()",20);
    window.status = strS;
}
function bckStat(){
    window.status = "";
    clearInterval(tID)
}
//-->
</script>

<a href="http://www.7key.jp" target="_blank" class="R" onMouseOver="cngStat();" onMouseOut="bckStat();">
Google
</a>

例４もIE ユーザをターゲットにしたスクリプトです。JavaScriptを使用してステータスバーの表示を強制的に変えてしまおうというものです。JavaScriptをオンにしていましたらこれも騙されたことに気づくこともないでしょうね。

思いつくままに４点ほど例を挙げてみました。既述ですが、問題なのは実現させるテクニックではありません。テクニックとも呼べない代物で誰にでも簡単に実現できてしまうということなのです。例としてGoogleのURLもどきをクリックすると、私のページを開かせるものを挙げました。今回は似ても似つかぬページですので、違うページに飛ばされたことは明らかですよね。でもこれがもし、うりふたつのサイトだったらどうでしょう。GoogleらしきURLをクリックし、Googleと見た目は同じのページに飛ばされたら･･･疑う頭が無ければそのサイトを本物と思い込むのではないでしょうか。Googleに重要な個人情報を入力することは無いと思いますが、これが頻繁にパスワードの入力を求められるサイトだったらどうでしょう。きっとろくな結果にならないでしょうね。ジャンプ先のページのアドレスを、ブラウザのアドレスバーで確認するくらいの対策は常にとっておきたいものです。ジャンプ先で何らかのパスワードを入力するのならばなおさら注意にこしたことはありません。インターネットを楽しむためにも「警戒心」は常に傍においておきましょう。