Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

16 進数による URL 不明瞭化が再登場

Created: 07 May 2013 08:57:21 GMT • Updated: 07 May 2013 08:58:27 GMT • Translations available: English
Sammy Chu's picture
0 0 Votes
Login to vote

この数日間、16 進数で不明瞭化した URL を使ったスパムメッセージの増加が確認されています。16 進の文字コードとは、単に ASCII 文字セットを 16 進数で表記した形式のことで、コンピュータにとっては 16 進数もインターネット上にたくさんあるアドレス表記形式のひとつに過ぎません。

以下に示すのは、http://www.symantec.com を何通りかの 16 進形式で表した例です。

16 進数のみの例:

http://www.

symantec.co&#x006d

16 進数と ASCII 文字の例:

(URL のうち "http" と "com" が ASCII 文字、残りが 16 進数)

http://www.sym

antec.com 

(URL のうち "http://www" が 16 進数、残りが ASCII 文字)

http://www.symantec.com

シマンテックで確認した限り、16 進数による URL 不明瞭化にはいくつかの手法が使われています。
 

Hexadecimal resurgence 1.png

図 1. 16 進数による URL 不明瞭化を使ったスパムメール
 

Hexadecimal resurgence 2.png

図 2. 16 進数による URL 不明瞭化を使ったスパムメール(図 1)のソースコード
 

16 進数で URL を不明瞭化する手口は、目新しいものではありません。この手口は、スパム対策フィルタをすり抜ける目的で使われています。スパム対策エンジンはメッセージ本文に含まれる 1 文字ずつに反応してしまうからです。16 進数スパムの量が最近急増したことを受けて、シマンテックはこの攻撃の監視を続け、適切に対応いたします。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。