Firefox web browser - Faster, more secure & customizable

MozillaのAza Raskin氏がA New Type of Phishing Attack « Aza on Designにおいて、新しいタイプのフィッシング詐欺サイトを説明している。この新しいタイプのフィッシングサイトを同氏らは「Tabnabbing (タブひっかけ)」と呼んでいる。A New Type of Phishing Attackはデモサイトにもなっているため、同ページを開いたらすぐに別のタブへ移り、いつものようにネットサーフィンをしているとどういった詐欺かわかるはずだ。注意深いユーザであれば奇妙な違和感を覚えるが、気にならないユーザはなにが起こったのかすら気がつかないだろう。

A New Type of Phishing Attackを閲覧 Firefox 3.6/FreeBSD9

別のタブへ移動してネットサーフィン

フィッシング詐欺サイトを閲覧した場合、ユーザはURLをチェックすることでそのサイトがまともなサイトか詐欺サイトかを区別できる。もちろんさまざまな詐欺テクニックが存在するわけだが、対策のひとつはURLの確認だ。しかし、URLにいつも訪れているURLが掲載されている場合、うっかり騙される可能性がある。

「タブひっかけ」の仕組みはこうだ。まず普通のサイトを表示する。ユーザがほかのタブへ移ってしばらくたつまで待機したら、ページの内容を別のサイトへ書き換える。タイトルとFaviconもだ。たとえばGmailのログインページへ書き換える。この処理は簡単なJavaScriptで実施できるという。ユーザが元のタブへ戻ろうとしても先程開いていたページのFaviconは見当たらない。そこにはGmailのFaviconが掲載されている。しかし、この段階で違いに気がつくユーザは稀だろう。

Gmailの詐欺ページを開くとログイン画面になっており、自動的にログアウトしたものと勘違いしてユーザ名とパスワードを入力。詐欺サイトはアカウント情報を取得するとともに、本来のGmailのページへ転送。実際にはログアウトしていないためGmailのページがそのまま表示され、ユーザはあたかもGmailにログインしたように錯覚する、というわけだ。

A New Type of Phishing Attackへ戻ってくるとGmailのログインページになっている。どこかをクリックすると元に戻る

A New Type of Phishing Attackのページを開いて読み出す前に別のタブを開いて操作をしたため、結果的にこのページで紹介されている操作とまったく同じことをして、あやうくログインしそうになった。URLが違うことに気がついてなにが起こったのかしばらく考えた。ページの内容を読むまで、これがデモだと気がつかなかった。複数のタブを開いて使うことが一般的な現在では、この方法はかなり効果的といえそうだ。

A New Type of Phishing Attackの説明によれば、CSSとJavaScriptを使った訪問サイト検出を併用されると、ユーザがいつも訪れているサイトを模倣してより効果的なだましが可能になるという。MozillaはFirefoxの新しい機能としてWebサービスへのログイン/ログアウトを管理する機能Firefox Account Managerの開発を進めているが、「タブひっかけ」に対応できる安全なログインを実現するためにもそうした取り組みが重要になるとしている。