「詐欺メール」がフィルタリングしても届き続ける原因は「加工画像」にあった？：攻撃者が悪用する画像加工技術の仕組みとは

画像を使った詐欺メールによるフィッシングが横行している。そうした詐欺メールは検出が難しく、メールフィルタリングをかいくぐってしまう。その仕組みを解説する。

[Sebastien Goutal，TechTarget]

　高度な画像加工技術を使う巧妙なフィッシング詐欺が台頭し、企業を混乱に陥れている。画像を使った詐欺メールの対策として、ハッシュ値（データ固有の値）を用いるフィルタリングがある。これは企業がJPGやPNGといった形式の画像ファイルを含む詐欺メールを受け取った場合、画像ファイルごとのハッシュ値を計算し、そのハッシュ値の画像を含むメールをブロック対象に指定する方法だ。フィルタリングツールは以後、そのハッシュ値と同じハッシュ値を持つ画像を含むメールをブロックできるようになる。

　攻撃者は、こうしたフィルタリングを回避するため、さまざまな方法で画像を加工する。

• 画像の引き延ばし
• 色彩や色調の変化
• 画像の圧縮
• ノイズの追加

　こうした加工を施された画像は、見た目はほとんど変わらないため、人の肉眼では変化を識別できない。だがフィルタリングの定義ファイルにとってこの変化は大きい。

詐欺メールが止められない？　「加工画像」の厄介さ

併せて読みたいお薦め記事

気を付けたい詐欺行為

• コロナ支援金も標的に？　「EC詐欺」のひど過ぎる手口
• ホワイトハウスへのハッキングを成功させた「偽メール」の正体とは？

　なぜ画像の加工が問題になるのか。それは加工前後で画像のハッシュ値が全く違うからだ。加工画像を含む詐欺メールをフィルタリングツールに通しても、その加工画像のハッシュ値は、過去の詐欺メール中の画像のハッシュ値と異なる。そのためフィルタリングツールが詐欺メールだと認識できなくなる。企業は加工画像を含む詐欺メールをブロックしても、同じ見た目の画像を含む詐欺メールを受信し続けることになる。

　厄介なのは、加工画像はメールに添付されているのではなく、「Wikipedia」「GitHub」「Google」といった信頼度の高いWebサイトのドメインでホスティングされている点だ。これには攻撃者にとっての利点が2つある。

　第一に、メール受信者にはメールの画像が見えていても、フィルタリングツールにはURLしか見えない点だ。そのURLが信頼性の高いWebサイトでホスティングされていれば、フィルタリングツールを擦り抜ける可能性がある。

　第二に、フィルタリングツールは画像内の文字を判別できない点だ。人が読んで疑わしいキーワードや文言といった、フィッシングをうかがわせる文字があっても、フィルタリングツールでは検出不可能になる。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。