12月7日、JPCERT/CCが注意喚起

12月7日、セキュリティインシデント情報の収集や告知を行うJPCERTコーディネーションセンターが複数のメールクライアントソフトに共通的な脆弱性である「Mailsploit」に関する注意喚起を公表しました。

注）脆弱性：攻撃者に悪用される可能性のあるソフトウェアの欠陥のこと

この「Mailsploit」という脆弱性は、多くの人が使うメールソフトに存在し、

Yahoo! MailやOutlook 2016、Gmail、Apple Mailなど、いわゆる有名なメールクライアントに見つかっています。

では、この「Mailsploit」はどういう脆弱性なのでしょうか。

「Mailsploit」ってどういう脆弱性？

この「Mailsploit」という脆弱性が何かというと、

一言で説明すると、送信元を詐称できてしまう脆弱性です。

つまり、本来はアマゾンさんからのメールではないのに、

アマゾンさんから送信されたメールとして表示されてしまうのです。

そのような、なりすまし攻撃を実現してしまう脆弱性が「Mailsploit」です。

昨今、BEC ( Business Email Compromise）と呼ばれる、

「俺、hogehoge社CEOだよ〜。10億円を〇〇口座に振り込んでね〜」的なメールを送り、

受け取った経営幹部や財務担当を騙して、金銭を搾取したり情報を抜き出すオレオレ詐欺メール攻撃が流行っています。

通常だと、hogehoge社とは異なる送信元から詐欺メールが飛んできますが、

「Mailsploit」を悪用すると、本当にhogehoge社をなりすましてメールを送ることができ、BECを手助けできてしまう、そんな困った脆弱性です。

「Mailsploit」の仕組み

具体的にこの脆弱性はどういう仕組みなのか説明したいと思います。

（詳細な仕組みに興味がない場合は飛ばしちゃってください）

普段我々がどのようにメールを見れるようになっているかというと、

メールサーバと呼ばれる受信したメールデータを保管したり、送りたいデータを受け取り、送信してくれるサーバがあり、

そのサーバからメールヘッダーとボディで構成されるメールデータを受け取ることで新しい受信メールを手持ちのメールアプリで見れるようになります。

メールアプリは、そのメールヘッダーの中の情報を見て、誰から送られてきたのかを識別し、「hogehogeさんのメールです」と表示します。

様々なメールアプリの共通的な仕様として、ASCII文字以外の文字列があるとそれ以降の情報を処理しないという仕様がありました。

From: potus@whitehouse.gov\0(potus@whitehouse.gov)@mailsploit.com

引用：https://www.mailsploit.com/index

上記の例のように「\0」という文字列があることで、

本来の送信元である、・・・@mailsploit.comの部分を表示せず、

「potus@whitehouse.gov」からのメールであると表示してしまいます。

このような、本来の送信元を示す文字列を処理させず、なりすましたいアドレスのみ表示させるというのが「Mailsploit」の具体的な仕組みです。

「Mailsploit」の対策方法とは？

なりすましを実現する脆弱性「Mailsploit」への対策方法として、JPCERTは以下の３つを提示しています。

・ 対応済みのメールクライアントを利用する

・ 不審なメールはメールヘッダーを確認する

・ PGP/GPG などの仕組みを利用する

メールヘッダの確認や、PGPを実装するというような方法はやろうと思うと大変ですので、使用しているメールクライアントを更新し、「Mailsploit」脆弱性に対応したバージョンを利用することが最も簡単な方法かと思います。

従来のなりすまし対策であるSPFやDMARCは効果を発揮しない脆弱性ですので、

すぐさまお使いのメールクライアントを更新することをオススメします。

まとめ

「Mailsploit」とは、

・Outlookなど有名なメールクライアントの脆弱性

・送信元を詐称するなりすまし攻撃に悪用されてしまう

・この脆弱性を悪用した攻撃から被害を受けないためには、

　メールクライアントを更新し、脆弱性対応済みのバージョンを使用すべき

ということです。

いかがでしたでしょうか。

ざっくりですが、昨今話題の「Mailsploit」について理解していただけると嬉しいです。