メールの偽装は以前よりも簡単に行われる可能性がある
最新の研究によると、メール転送のプロセスにおける欠陥のため、偽装されたアドレスでメールを送信することは、以前よりも簡単になっているという。この研究は、カリフォルニア大学サンディエゴ校のコンピュータ科学者を中心とする研究チームによって行われたものである。
研究者たちが発見した問題は、アメリカ政府の多くの組織を代表するメールドメイン、例えばstate.govなどのアメリカ合衆国内閣のメールドメイン、およびセキュリティ機関などを含む、数万のドメインから送信されるメールの信頼性に影響を与えている。Mastercardなどの主要な金融サービス企業や、The Washington PostやAssociated Pressなどの主要なニュース機関も脆弱性の対象となっている。
この問題は、メール転送に関連する複数の脆弱性に起因しており、GmailやOutlookなどのメールプロバイダが展開する安全対策を回避することができると研究者たちは発見した。受信者が偽装されたメールを受け取ると、マルウェアを展開する添付ファイルを開いたり、スパイウェアをインストールするためのリンクをクリックしたりする可能性が高くなる。
このような偽装は、メールの転送に関連する脆弱性によって可能になっている。元々のプロトコルは、各組織が独自のメーリングインフラを運用し、他のドメインで使用されない特定のIPアドレスを利用しているという前提で、メールの真正性をチェックすることを暗黙的に仮定していた。しかし、現在では多くの組織が自身のメールインフラをGmailやOutlookにアウトソースしているため、数千のドメインが同じ第三者にメール送信の権限を委譲している。これらの第三者プロバイダは、自分たちのユーザーが自身が運営するドメインを代表してのみメールを送信することを検証しているが、メールの転送によってこの保護は回避される可能性がある。
例えば、アメリカ国務省のメールドメインであるstate.govは、Outlookに自身を代表してメールを送信する権限を与えている。これはつまり、state.govを偽装したメールがOutlookのメールサーバーから送信された場合、それは合法的なものと見なされるということである。その結果、攻撃者は、Department of Stateを偽装したメールを作成し(つまり、偽の身元を持つメール)、それを個人のOutlookアカウントを通じて転送することができる。これを行うと、受信者はOutlookのメールサーバーから送信されているため、偽装されたメールを合法的なものと見なす。
この欠陥のバージョンは、iCloudを含む他の5つのメールプロバイダにも存在する。研究者たちは、インドで人気のあるメールプロバイダであるGmailやZohomailのユーザーにも影響を与える他の小さな問題も発見した。
研究者たちは、この問題をMicrosoft、Apple、Googleに報告したが、彼らの知る限りでは、完全に修正されていないとのことである。
「それは驚くべきことではない。なぜなら、それには大規模な努力が必要であり、40年にわたるレガシーシステムの解体と修復を含むからです」と、論文の第一著者であり、UCサンディエゴ校ジェイコブススクールコンピュータ科学工学部の博士課程生であるアレックス・リュウは述べている。「私たちがここで説明した攻撃への露出を大幅に減らすための一時的な緩和策はあるが、将来のスプーフィング攻撃に効果的に抵抗するためには、メールはより堅牢なセキュリティ基盤の上に立つ必要がある」と彼は続けた。
この研究チームは、2023年7月3日から7日までオランダのデルフトで開催された第8回IEEEヨーロッパプライバシーとセキュリティシンポジウムで研究結果を発表し、ベストペーパーを受賞した。
オープン転送と緩和された検証のセキュリティへの影響について
研究者たちは、転送を利用した4つの異なるタイプの攻撃を開発した。
最初の3つの攻撃では、攻撃者は送信と転送の両方のアカウントを制御している必要がある。攻撃者はまた、スプーフィングされたメールメッセージを送信することができるサーバーと、オープン転送を許可するサードパーティプロバイダのアカウントを持っている必要がある。
攻撃者はまず、転送用の個人アカウントを作成し、そのアカウントのホワイトリストに偽装されたアドレスを追加する。ホワイトリストは、セキュリティ基準を満たさないドメインでもブロックされないドメインのリストである。攻撃者は自身のアカウントを全てのメールを目的のターゲットに転送するように設定する。そして、攻撃者はstate.govのメールを偽装し、そのメールを個人のOutlookアカウントに送信する。最後に、攻撃者は偽装されたメールを目的のターゲットに転送するだけである。
この攻撃には、Alexa 100Kで最も人気のあるメールドメインの12%以上が脆弱である。これには、The Washington PostやLos Angeles Times、Associated Pressなどの多くのニュース機関、GoDaddyなどのドメインレジストラ、MastercardやDocusignなどの金融サービス、大手法律事務所などが含まれる。さらに、.govドメインの32%が脆弱であり、これにはアメリカの内閣機関の大部分、さまざまなセキュリティ機関、CDCなどの公衆衛生ドメインで活動している機関などが含まれる。州や地方レベルでは、ほぼすべての主要な州政府ドメインが脆弱であり、全体の.govドメインの40%以上が都市に使用されている。
この攻撃の2番目のバージョンでは、攻撃者は偽装されたメールメッセージをGmailに転送するため
注意
- この記事はAI(gpt-3.5-turbo)によって自動生成されたものです。
- この記事はHackerNewsに掲載された下記の記事を元に作成されています。
Scammers can exploit email forwarding flaws to impersonate high-profile domains - 自動生成された記事の内容に問題があると思われる場合にはコメント欄にてご連絡ください。