headless 曰く、
Microsoft Outlook が IDN ホモグラフ攻撃によるフィッシングドメインを正規ドメインと区別しないという 2 件の報告が相次いで公開されている (報告 1、 報告 2、 Ars Technica の記事、 Windows Central の記事)。
IDN ホモグラフ攻撃は国際化ドメイン名 (IDN) で利用可能な ASCII 外の文字でラテン文字と似た字形の文字をドメイン名に用い、(なりすましの対象となる) 正規ドメインに偽装するものだ。フォントによっては全く同じ字形で表示されるため、人の目で識別することは困難なこともある。ただし、ソフトウェアが騙されることはないと考えられていた。
しかし 2 件の報告によれば、Outlook ではホモグラフ攻撃によるフィッシングドメインからの電子メールを受信した場合かつ、その正規ドメインで同じユーザー名の連絡先がアドレス帳に登録されている場合、フィッシングメールを既知の正規ドメインから送られたものとして表示するのだという。つまり、アドレス帳に登録されている連絡先の写真などがフィッシングメールに表示されることになる。
Microsoftはいずれの報告に対しても「なりすましが発生する可能性があるにしてもデジタル署名なしに送信者を信頼することはできない」「修正を行えば別の問題を引き起こす可能性が高い」などとし、修正は行わないと回答したという。ただし、8 月 24 日の時点で最新版の Outlook バージョン 16.0.14228.20216 では問題が発生しなくなっていたようだが、Microsoft は修正の有無を回答しなかったとのことだ。
| セキュリティ
| マイクロソフト
| バグ
| インターネット
|
関連ストーリー:
KADOKAWAの小説投稿サイト「カクヨム」を模倣したフィッシングサイト
2021年09月07日
米国土安全保障省、ランサムウェア攻撃からセンシティブ情報と個人情報を守るためのファクトシートを公開
2021年08月23日
埼玉県警がサイバー攻撃の手口をピクトグラムで表現
2021年08月12日
昨年 7 月の Twitter アカウント大規模侵害事件、新たな逮捕者が出る
2021年07月25日
宅配業者を装ったSMS詐欺が増加。Apple IDとパスワードを取られると対処が困難
2021年06月30日
メルぺイが一部加盟店で利用制限へ。フィッシングメール急増のため
2021年06月09日
ドコモ、フィッシング詐欺対策として「ドコモメール公式アカウント」提供へ
2021年05月27日
聖火リレー動画配信サイトを装うフィッシング詐欺が増加。地方自治体などが注意喚起
2021年05月13日