ドット付き 10 進数 URL(ドットで区切った連続する 4 つの 10 進数で 4 バイトの IP アドレスを表記する方法)は、スパマーが頻繁に悪用する URL 不明瞭化手法の 1 つです。不幸なことに、コンピュータにとって IP アドレスは 32 ビットの 2 進数にすぎず、ドット付き 10 進数は IP アドレスを表現する複数の記数法の 1 つにすぎません。このような柔軟な解釈の仕組みに付け入って、スパマーは URL を不明瞭化する新たな手口を生み出しました。ドット付き 10 進数 URL の手法を別の記数法に応用したのです。
シマンテックが観測したスパマーによる IP アドレス記数法の不明瞭化手法の一部を以下に示します(以下のすべてのサンプルは、単に Symantec.com の IP アドレスを異なる数値表現にしたものです)。
16 進数形式に変換した IP アドレス(16 進数の記数法は base-16 とも表記されます)
ドット付き 16 進数形式に変換した IP アドレス
ドット付き 8 進数形式に変換した IP アドレス(8 進数の記数法は base-8 とも表記されます)
16 進数と 8 進数の組み合わせ
これまで、スパマーは、16 進数の不明瞭化だけを攻撃に悪用していました。
一方、この数日間で「16 進数と 8 進数」を組み合わせた不明瞭化による攻撃が急増しています。
一般的な電子メールユーザーにとって幸か不幸かわかりませんが、大部分の Web ブラウザや電子メールアプリケーションでは、このような数値エンコードを変換します。さらに、ドット付き 10 進数 URL は、ウイルス攻撃に頻繁に関わっています。したがって、エンドユーザーは、いつもの通り、なじみのない Web サイトへのリンクをクリックしないよう心掛ける必要があります。
スパム攻撃による被害を最小限に食い止めるための対策として、次のようなものがあります。
- 電子メールアドレスを登録する Web サイトは慎重に選択する。
- 個人情報や口座情報をオンラインで入力する場合は、Web サイトが SSL で暗号化されていることを確認する(https または南京錠アイコンを確認するか、アドレスバーが緑色であることを確認する)。
- 電子メールや IM メッセージ中の疑わしいリンクは、偽装された Web サイトにリンクされている可能性があるのでクリックしないようにする。メッセージ中に記載されたリンクをたどるのではなく、ブラウザに Web アドレスを直接入力することをお勧めします。
- オペレーティングシステムは最新の更新を適用して常に最新の状態に保ち、総合的なセキュリティスイートを導入しておく。シマンテックの保護製品やサービスについて詳しくは、http://www.symantec.co.jp を参照してください。
- 不明な電子メールの添付ファイルは開かない。添付ファイルからコンピュータに感染する恐れがあります。
- スパムには返信しない。一般的に送信者の電子メールアドレスは偽装されており、返信するとスパム攻撃が増加する恐れがあります。
- 個人情報や口座情報、パスワードを求めてくるメッセージのフォームには入力しない。信頼の置ける企業が、電子メールで個人情報の入力を求めてくることはありません。疑わしい場合には、確認済みの電話番号に電話を掛けるか、(メッセージ中のリンクをクリックしたり、コピーアンドペーストしたりしないで)既知のインターネットアドレスを新規のブラウザウィンドウに入力するなど、信頼できる手段で改めて対象となる企業に問い合わせるようにしてください。
- スパムメッセージを通して商品やサービスを購入しない。
- スパムメッセージを開かない。
- 電子メールで受信したウイルス警告を転送しない。デマであることも少なくありません。
コンテンツの寄稿者である Dylan Morss 氏に感謝します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。