インターネットを利用してテレビ会議等に利用されるCisco社提供のWebex。テレビ会議としてはメジャーなツールであり、日本でも多くの企業で利用されている。このWebex会議への招待であると装い、受信者にトロイの木馬をプッシュする攻撃をalex lanstein氏がTwitterで報告し話題となっている。

　alex氏の投稿によれば、Webex会議への招待メールに似せたメールが届き、「Join Meeting」を押して会議に参加しようとすると、RAT(Remote Access Tool)を仕込んだWebex.exeをインストールさせようとする。

　この攻撃にはオープンリダイレクトの脆弱性が利用されている。「Join Meeting」のURLを見ただけでは、Webex提供元であるCisco社の正規ドメインである「secure-web.cisco.com」が利用されているため、ドメイン名だけではフィッシングサイトで有るとは判断出来ない。そして、誤ってリンクをクリックしてしまうと、一旦はWebex提供元であるCisco社の正規ドメインであるhttp://secure-web.cisco.com/に移動し、その後、悪意のあるサイトへリダイレクトされ、RATを含んだWebex.exeをダウンロードさせようとする。

　もし、このRATをインストールしてしまうと、攻撃者からリモートでパソコンを操作することが可能になり、リモートデスクトップサービスを起動されたり、ウェブカメラを起動されるリスクがある。

■オープンリダイレクトとは?

WebアプリケーションにはURLリダイレクトという機能が有り、これを利用するとWebサイトが移転した場合等に、移転先のページへユーザーを移動させることが出来る。オープンリダイレクトとは、このURLリダイレクト機能を悪用して、ユーザーを悪意のあるサイトに誘導するURLリダイレクトの脆弱性のこと。

例えば、example.comというサイトが、safe-site.comへと移転した場合に、URLを以下のように記載すると、リンクをクリックしたユーザをsafe-site.comへさせることが可能になる。

https://example.com?URL=https://safe-site.com

ところが、もし、以下のような記載があったらどうなるだろう?

https://example.com?URL=<malware-atack-page>

example.comに訪問したユーザは、サイバー攻撃者が準備した、悪意のあるページへとリダイレクトされてしまう。

更に、example.comの部分が、有名企業のドメインだったりすると、ユーザーはドメイン名を見て安全なサイトだと判断し、リンクをクリックしてしまう。通常、偽のドメイン名を利用するより、正規のドメインを利用した場合には、フィッシング攻撃等のクリツク率は上昇する。今回の攻撃は、Webexを提供するCisco社のドメインの信頼性を利用しているのがポイントとなる。

■フィッシング攻撃に対する古い知識は、攻撃者の思うツボ

　フィッシング攻撃は日々巧妙化しており、フィッシングメールやフィッシングサイトの見た目は本物そっくりなものや、ドメイン名さえ正規のものを利用していることもある。以前はユーザーの目視レベルでもフィッシング攻撃かどうかを見分けることが可能であったが、現在では殆ど判別することが難しい状況になっている。フィッシング攻撃に対する数年前の古い知識のままでは、むしろ攻撃者の罠にかかってしまう。心当たりのない招待メールを受け取った場合には、うかつにリンクをクリックせず、まずは送信元に電話等の他の連絡手段で確認するといったことを心がけることを推奨する。