SPAM Database
http://spam-db.jp/
SPAM Database
http://spam-db.jp/
トラップリンクで最も危険なのは、誘導先サイトに悪意のあるスクリプトが設定されており、迷惑メールの受信者が気付かぬ間に「クロスサイトスクリプティング(XSS)」の仲介者になる事です。
リンクに設定されているトラップが、「受信者とサイトの閲覧者を特定する」程度(?)の場合は、受信者だけがその被害を被りますが、クロスサイトスクリプティング(XSS)は、受信者のPCを介して受信者の知らない間に、全く別のサーバーに対して攻撃を行います。つまり、本来は被害者であるはずの受信者が加害者となってしまいます。
下の図は、受信者のPCを中継して、攻撃対象のサーバーから返ってくるエラーメッセージに含まれた情報をハッキングする一例です。
攻撃対象のサーバーは、中継者からの悪意あるリクエストを正常なリクエストとして処理を実行してしまい、重要情報を含めてエラーメッセージを返してしまいます。犯人はこの情報が狙いであり、攻撃対象サーバーのCGI(プログラム)や受信者(中継者)の使用するOSにセキュリティ・ホールが存在すると実行する事が可能になります。
XSSの例
悪意の無い中継者(受信者)の特定はターゲットにされたサーバーのアクセスログから簡単に割り出せますが、実行犯は不正に取得したIPを使ったサーバーを使用する為に追跡する事が難しく、結果として犯人の特定が困難になります。
XSSは、サーバーの攻撃だけでなく、危険なプログラムのダウンロードを実行させたり、受信者のパソコンに保存されているCookie情報の盗聴や改ざんを行う物もあります。この場合は受信者自身が重大な被害を被る危険があります。
XSSを未然に防止する為にも、提供されるOSのアップデートをチェックする習慣をつけたり、ブラウザのセキュリティ設定を「中」以上に設定しておく事をお薦めします。
また、盗んだCookie情報を悪用されると、貴方になりすましてショッピングサイトや会員制サービスを利用する事が可能になります。Cookieには有効期限が設定されており、一定期間が過ぎると自動的に無効になりますが、Webブラウザには、有効期限前にCookieを削除するメニューが用意されています。定期的にCookieを削除するのもセキュリティを維持する事につながります。
