カスタムWebフォントで偽装されたフィッシングページが出現：無害に見えるページの正体

カスタムWebフォントを利用することにより、表示と内容（文字コード）が一致しないフィッシングページが発見された。悪意のあるコードを無害のように偽装する手口とは。

[Warwick Ashford，Computer Weekly]

　資格情報の収集を目的としたフィッシング詐欺が発覚した。米国大手銀行のオンラインバンキングを標的としたもので、カスタムフォントを利用して検出を免れていた。これを発見したのが、Proofpointのサイバーセキュリティ研究者だ。この研究者は、悪意のあるコードをこの手口で隠蔽（いんぺい）しているのが見つかったのは初めてだと考えている。

　巧妙に作られたフィッシングWebページは、カスタムWebフォント（woffファイル）を使用して、換字式暗号を実装していた。この暗号は、フィッシングページのソースコードを安全なものに見せかける。

　ブラウザでフィッシングページがレンダリングされると、普通のオンラインバンキング資格情報ページが表示される。そのページは偽装されており、エンコードされた表示テキストを含んでいる。

　研究者によると、フィッシングキットの換字機能は多くの場合JavaScriptで実装され、その機能はページのソースには現れないという。

　この研究者は、換字ソースがページのCSS（カスケードスタイルシート）に含まれていることを特定した。フィッシングページが使っているWebフォントのwoffとwoff2を取り出して変換し、表示させた。そしてフィッシングページがこれらのカスタムWebフォントを使って悪意のあるコードを隠蔽した暗号文を、プレーンテキストとしてブラウザにレンダリングさせることを突き止めた。

関連記事

• フィッシング／なりすまし攻撃を防ぐDMARCのススメ
• 「Windowsの操作に最も便利なPowerShell」製ランサムウェアの脅威
• 今すぐ再確認すべき電子メールセキュリティ総まとめ
• 10万個の業務端末を調べて判明──狙われるのはiPhone？　Android？

　ブランドを偽装することで、実際のロゴやその他の表示リソースへのリンクが検出される可能性も高くなる。だがこの手口は、銀行ブランドをSVG（Scalable Vector Graphics）でレンダリングするのでロゴとそのソースがソースコードに現れず、検出を免れていると研究者は指摘する。

　研究者は、このフィッシングキットが2018年5月から利用されていると話す。だが、この手口はもっと前から使われているとも付け加えた。このフィッシングキットに関連付けられた電子メールアドレスも幾つか特定されている。PHPのソースコードにも、盗まれた資格情報の受信者としてハードコード化された状態で見つかっている。

　疑うことを知らない被害者やセキュリティサプライヤー、さらにはブランド悪用を積極的に調査している経験豊富な組織から行為を隠蔽するため、攻撃者は新しい手口を導入し続けていると研究者は警告する。

　「攻撃者は、多くの手口の中からカスタムWebフォントを使用して換字式暗号を実装するフィッシングテンプレートを開発した。これは米国大手銀行の資格情報ページの代わりに巧妙に作られたフィッシングページをレンダリングする」と研究者は自身のブログに投稿している。

　換字式暗号自体はシンプルだ。だがWebフォントを利用した実装は独特のもので、痕跡を隠し、利用者を欺くための新たな手口を攻撃者に与えている。