スレッドメモ

◆ [memo] Yahoo!を装った日本語フィッシングメール

[7884] Yudai Yamamoto (11/15)

昨日（11/14（日））の午後に、Yahoo!Mailのアドレス宛に「Yahoo! JAPAN - 有料コンテ ンツご利用停止に関するお知らせ」というメールが入っていたの ですが、どうも、フィッシングのようです。

結局、このメールにひっかかると、
１）Yahoo!のＩＤ、パスワード、暗証番号（セキュリティキー）
２）クレジットカードの番号、有効期限、カード名義、裏面の番号
が、だまし取られます。

実は、会員番号が変更になったクレジットカードでYahoo!関係の支払いを行って いたため、「変更忘れた！」と思ってあわててしまい、見事にひっかかってしま いました。
有効なカード番号を入れてもエラーになったので気がつき、カード会社に連絡 しました。
カード会社によると、他にも同様の連絡があったようです。

[7890] TAKAGI, Hiromitsu (11/15)

なぜこのようなことができたのか、また、なぜ私のYahooIDをURLに埋め込むこと ができたかですが、JavaScriptを使っているためです。私のYahooIDも、Webメー ルの画面からJavaScriptのプログラムによって切り出し処理をしているいるよう です。

そもそも、WebメールでJavaScriptが動いてしまうこと自体がよろしくありませ ん。つまり、端的に言えば、クロスサイトスクリプティング脆弱性があるという ことです。

HTMLの記述が可能なサービス（HTML対応Webメールを含む）においては、さまざ まなケースへの対応が必要です。いろいろなタグ、いろいろなシートの記法に、 スクリプトが動く機能がありますから、それらのどれもが動かないようにフィル タリング対策する必要があります。どうやら、以前から知られていたある方法が 対策漏れになっているようです。

Yahoo! Japanは、この脆弱性を修正するべきでしょう。

また、HTML対応Webメールのサービスを提供している他の事業者も、同様の被害 （また別の被害も）を避けるために、同じ脆弱性がないか調査して、修正するべ きでしょう。

[7891] 岩田尚一 (11/15)

と言うことは「ハッカーや攻撃者から身を守ることができる3 つのステップ」
http://www.microsoft.com/japan/security/incident/settings.mspx
の３ステップともちゃんとやっていれば、少なくとも今回のものには 騙されないと言うことになるのでしょうか？

[7892] TAKAGI, Hiromitsu (11/15)

そのようです。

幸い、スクリプトをオフにしても Yahoo! mail は使えるようですので、ステッ プ1 にしたがって、インターネットゾーンを「高」にしていれば大丈夫のようで す。

ただし、ステップ2にしたがって、yahoo.co.jp を信頼済みサイトに登録してし まうと、元の木阿弥ですので、そうしてはなりません。

また、ステップ3のメールをテキスト表示にというのをやっていても、Webメール がHTML対応だったらどうしようもありません。

[7893] TAKAGI, Hiromitsu (11/15)

また、このケースでは、通常のフィッシングと異なり、詐欺メールが Yahoo! mail 内にあるのですから、メールの表示方法に対する対策で、元から絶つこと ができるはずです。

9月下旬というかなり前から同じ手口が出ていた（同じかどうかは未確認ですが） のであれば、ユーザにただ注意を呼びかけるだけではなしに、自らのシステムの クロス際とスクリプティング脆弱性を修正すべきところ、それを怠ってきたとい うことでしょう。