検索
連載

ビジネスメール詐欺が現実に、取引先を偽装セキュリティクラスタ まとめのまとめ 2017年12月版(1/3 ページ)

2017年12月のセキュリティクラスタはメールに始まり、メールで終わりました。「Mailsploit」というメールクライアントの脆弱(ぜいじゃく)性が見つかり、検証サイトが公開されて実際の攻撃があったからです。既に海外では流行している「ビジネスメール詐欺(BEC)」では、とうとう国内でも大きな被害に遭った企業が現れました。セキュリティ人材では斎藤ウィリアム浩幸氏が経歴詐称のために注目を集めました。

Share
Tweet
LINE
Hatena

送信者の表示名を偽装したメールを送信できる脆弱性「Mailsploit」

 送信者の表示名を偽装したメールを送信できる「Mailsploit」脆弱(ぜいじゃく)性が話題になりました。改行コードやヌルバイトなど、いろいろな手法を駆使することで、各種メールクライアントに対して偽装可能です。

 もともと、メールプロトコルではFromヘッダを偽装することで簡単に送信先の偽装ができます。Mailsploitではこれに加えて、偽装メール対策のDMARC(Domain-based Message Authentication, Reporting & Conformance)を回避できたり、スパムフィルタを回避できたりするなど、メールクライアントに合わせた高度なテクニックが使用されていました。

 実際にメールを送信して脆弱性を体験できるWebサイトが公開されたこともあり、タイムライン(TL)では、そのサイトから自身宛てにメールを送り、偽装だと分からないメールが届いたことを確認したツイートを多数見掛けました。実際に脆弱性を使った攻撃メールが届いているという報告もありました。

 こうした中、そもそも日本企業のドメインではDMARCを導入しているところは少なく、Mailsploitを使うまでもなく、偽装メールを送信されてしまうのではないかという意見もありました。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  2. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  3. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  4. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  7. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  8. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  9. 堅調なID管理や認証、脅威インテリジェンスなどを抑え、2024年上半期で最も成長したセキュリティ分野は?
  10. CISOが失敗を許容する組織を構築するために注目すべきは生成AIと何か? ガートナーが提言
ページトップに戻る