2017年12月のセキュリティクラスタはメールに始まり、メールで終わりました。「Mailsploit」というメールクライアントの脆弱(ぜいじゃく)性が見つかり、検証サイトが公開されて実際の攻撃があったからです。既に海外では流行している「ビジネスメール詐欺(BEC)」では、とうとう国内でも大きな被害に遭った企業が現れました。セキュリティ人材では斎藤ウィリアム浩幸氏が経歴詐称のために注目を集めました。
送信者の表示名を偽装したメールを送信できる「Mailsploit」脆弱(ぜいじゃく)性が話題になりました。改行コードやヌルバイトなど、いろいろな手法を駆使することで、各種メールクライアントに対して偽装可能です。
もともと、メールプロトコルではFromヘッダを偽装することで簡単に送信先の偽装ができます。Mailsploitではこれに加えて、偽装メール対策のDMARC(Domain-based Message Authentication, Reporting & Conformance)を回避できたり、スパムフィルタを回避できたりするなど、メールクライアントに合わせた高度なテクニックが使用されていました。
実際にメールを送信して脆弱性を体験できるWebサイトが公開されたこともあり、タイムライン(TL)では、そのサイトから自身宛てにメールを送り、偽装だと分からないメールが届いたことを確認したツイートを多数見掛けました。実際に脆弱性を使った攻撃メールが届いているという報告もありました。
こうした中、そもそも日本企業のドメインではDMARCを導入しているところは少なく、Mailsploitを使うまでもなく、偽装メールを送信されてしまうのではないかという意見もありました。
Copyright © ITmedia, Inc. All Rights Reserved.