見せるためのZeroFontフィッシングテクニック

ZeroFontという技法があります。
HTMLなどのformat機能を持つ文書において、フォントのサイズをゼロに指定します。
そうすると、その文字はそこに存在しているのですが、画面表示上通常の文書表示状態では表示されないものとなります。
もちろん、HTMLのsourceを見るなどすれば、その文字はそこに存在しているので、確認することができるのですが、通常の画面表示状態ではサイズがゼロなので見えないというわけです。
この手法は新しいものではありません。

ただし、これまで確認されているこの手法の利用は、攻撃者が見せたくないものを一般の利用者に見えないようにすることを目的に使われるというものでした。
しかし、今回、攻撃者の意図が逆に向かっている利用例が確認されています。

• 攻撃者は加工した本文を持つフィッシングメールを送る
  内容は単なるフィッシングメールです。
  ですが、後述する加工が加えられています。

   

• 「セキュリティ機構でスキャン済みです」の文字列を本文に含める
  メールにはフォントサイズをゼロに指定した文字で、本文に「セキュリティ機構でスキャン済みです」の文字列を含めます。
  しかし、この文字列はサイズがゼロですので、本文表示領域には表示されません。

   

• 「セキュリティ機構でスキャン済みです」の文字列がメールリストに表示される
  多くのメーラーは2つのペインで構成されます。
  1つはメールのリストで、もう1つは選択済みメールの詳細、という構成をとるものが多いのではないでしょうか。
  このとき、メールのリストを表示しているペインには、メールの送信者やサブジェクトや本文の冒頭部分などが表示されます。
  ここでは、本文表示時に使用されるフォントサイズの指定が有効ではないことが多いようです。
  このため、本文に含められていた「セキュリティ機構でスキャン済みです」の文字列がメールリスト画面の方に表示されることになります。

なんてことのない仕組みですが、この細工によって、あたかもそのフィッシングメールはスキャン済みで安全であるかのように装うことを実現しようとしています。
つまり、これまでは攻撃者が見せたくないものを見せなくするために使われていた手法が、今度は逆に、攻撃者が見せたいものを見せたい場所で表示するために使われたということになります。

簡単な手法ですが、コロンブスの卵的な発想の転換で発揮できる効果を変化させた例といえそうです。
フィッシングのテクニックはどんどん追加されていきます。
そして、この例のようにテクニックの使い方を変化させたものも出てきます。
新しい手法についての情報を収集するだけでなく、従来の手法が新たな使われ方をするという例についても継続的に把握し、注意していく必要がありそうですね。

参考記事（外部リンク）：A new spin on the ZeroFont phishing technique
isc.sans.edu/diary/A%20new%20spin%20on%20the%20ZeroFont%20phishing%20technique/30248