SANS Internet Storm Centerはこのほど、「A new spin on the ZeroFont phishing technique - SANS Internet Storm Center」において、ZeroFontフィッシングの新しい手法を発見したと伝えた。2018年にAvananによって文書化されたZeroFontフィッシングと似て非なる斬新な方法で攻撃が行われたという。

  • A new spin on the ZeroFont phishing technique - SANS Internet Storm Center

    A new spin on the ZeroFont phishing technique - SANS Internet Storm Center

ZeroFontフィッシングとは、HTMLメールにフォントサイズ0および非表示のスタイルを設定した文章を埋め込む手法のこと。このフォントサイズ0の文章は人の目からは見えないが、セキュリティソリューションからは解析の対象となることを悪用して検出を回避するために使用される。

具体的には目に見えない悪意のない文章を埋め込むことで、悪意のあるメールを悪意のないメールとしてセキュリティソリューションに誤認識させる。実際にMicrosoft Office 365 Advanced Threat Protectionに対してはこの手法で検出を回避できたという。

今回発見されたZeroFontフィッシングは、セキュリティソリューションの検出を回避する目的ではなく、セキュリティソリューションの検出をパスしたとユーザーに誤認識させることが目的だったという。具体的には下図のとおり、メール本文には表示されないが、メール一覧のプレビュでセキュリティソリューションの検査をパスしたと詐称するために使用されている。

  • セキュリティソリューションの検査をパスしたと詐称するメール - SANS Internet Storm Center

    セキュリティソリューションの検査をパスしたと詐称するメール 引用:SANS Internet Storm Center

SANS Internet Storm Centerはこの攻撃手法の影響はわずかとしつつ、今後、効果的なフィッシングキャンペーンのツールとして利用される可能性があると指摘している。上記の例ではOutlookを取り上げているが、ほかのメールアプリケーションでも同様の現象が起きるリスクがあり注意が必要。