隠された防御罠：フィッシング運営者がハニーポットを使ってセキュリティ研究者を阻止する方法

最近、洗練されたフィッシングキャンペーンを分析した際に、HTMLに予期しないものが現れました。それは、自動化システムがページと対話しようとしたときにトリガーされるように設計された不可視のフォームフィールドです。これはバグではなく、人間の訪問者とセキュリティスキャナーを区別するための意図的な仕組みでした。

ハニーポットメカニズムの理解

この技術自体は新しいものではありません。正当なウェブ開発者は、2000年代初頭から軽量なスパム防止ツールとしてハニーポットフィールドを導入しています。概念は簡単で、隠されたフォーム入力は人間が通常通りに操作すると空のままですが、自動化されたスクリプトは検出した入力フィールドに反射的に値を入力します。

フィッシングの運営者はこの正確な手法を借りていますが、その目的は逆になっています：