セキュリティ研究者たちは、20万以上の信頼されたドメインが電子メールホスティングの脆弱性を悪用されるリスクにさらされていることを発見した。
これらの脆弱性は、少なくとも50の電子メールホスティングプロバイダーの設定ミスや設計上の決定により、攻撃者がSPF(Sender Policy Framework)、DKIM(DomainKeys Identified Mail)、DMARC(Domain-based Message Authentication, Reporting, and Conformance)のセキュリティプロトコルを回避し、信頼できる組織のドメインから悪意のあるメールを送信することを可能にする。
これらの発見は、PayPalのセキュリティ研究者たちによってなされ、SMTPスマグリング攻撃技術を利用している。研究者たちは、これらの脆弱性を組み合わせることで新しい攻撃パターンを作り出し、8月の初週に開催されるBlack Hat USAカンファレンスで詳細を公開する予定である。
攻撃技術は、SPFの悪用、DKIMの不適切なドメイン検証、そしてSMTPSmuggling(スマグリング)攻撃の拡張に関連している。これらの攻撃は直接的にSPF、DKIM、DMARCの制御を回避するのではなく、影響を受けるベンダーの設定ミスや設計上の決定を利用している。
研究者たちは、SMTPスマグリング攻撃を検出し緩和する方法も提案している。これには、メールサーバーがメールを送信する際に追加するMessage-ID識別子の違いを利用する方法が含まれる。また、組織にはDMARC、DKIM、SPFのセキュリティ対策を強化し、メールフィルタリングソリューションを使用することが推奨されている。
【編集者追記】用語解説
- SMTP (Simple Mail Transfer Protocol)
SMTPは電子メールの送信に使用される標準的なプロトコルです。郵便局が手紙を配達するように、SMTPはインターネット上でメールを送信する役割を果たします。 - SPF (Sender Policy Framework)
SPFは、メールの送信元を確認する仕組みです。これは、お店が正規の配達員かどうかを確認するのに似ています。 - DKIM (DomainKeys Identified Mail)
DKIMは、メールに電子署名を付けて送信元を証明する方法です。手紙に押印する印鑑のようなものだと考えてください。 - DMARC (Domain-based Message Authentication, Reporting, and Conformance)
DMARCは、SPFとDKIMを組み合わせて、より強力なメール認証を行う仕組みです。これは、二重のセキュリティチェックのようなものです。 - SMTP Smuggling
SMTP Smugglingは、メールサーバーの脆弱性を利用して、不正なメールを送信する手法です。これは、荷物の中に禁制品を隠して運ぶ密輸(スマグリング)になぞらえて名付けられています。
【編集者追記】経緯について補足
脆弱性発見の経緯と時期
- この電子メールセキュリティの脆弱性は、2023年6月に最初に特定されました。
- PayPalのセキュリティ研究者チームによって発見され、その後詳細な調査が行われました。
- 2024年5月29日に、この脆弱性に関連するCVE(Common Vulnerabilities and Exposures)番号CVE-2024-27305が更新されています。
影響を受ける主要企業
この脆弱性は、以下の主要な電子メールサービスプロバイダーに影響を与えています:
- Microsoft
- GMX(ドイツの大手電子メールプロバイダー)
- Cisco
影響の規模
- 当初の記事で「20万以上のドメイン」と記載されていた数字は誤りでした。
- 正確には、2000万以上の信頼されたドメインがこの脆弱性のリスクにさらされています。
対応状況
- MicrosoftとGMXは既に対策を講じています。
- Ciscoは現時点で対応を行っていませんが、ユーザーに設定変更を推奨しています。
これらの詳細により、問題の規模と影響をより具体的に理解していただけると思います。電子メールセキュリティは日々進化していますが、このような新たな脆弱性の発見は、常に警戒が必要であることを示しています。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
【ニュース解説】
最近のセキュリティ研究により、20万以上の信頼されたドメインが、電子メールホスティングの脆弱性を悪用されるリスクにさらされていることが明らかになりました。この問題は、少なくとも50の電子メールホスティングプロバイダーの設定ミスや設計上の決定に起因しています。攻撃者は、SPF(Sender Policy Framework)、DKIM(DomainKeys Identified Mail)、DMARC(Domain-based Message Authentication, Reporting, and Conformance)といったセキュリティプロトコルを回避し、信頼できる組織のドメインから悪意のあるメールを送信することが可能になります。
この問題の核心は、SMTPスマグリングという技術を利用することにあります。SMTPスマグリングとは、メール送信プロトコルの脆弱性を悪用して、セキュリティ対策を回避する手法です。PayPalのセキュリティ研究者たちは、この問題を深く掘り下げ、新しい攻撃パターンを発見しました。これらの攻撃パターンは、SPFの悪用、DKIMの不適切なドメイン検証、そしてSMTPスマグリング攻撃の拡張に関連しています。
これらの攻撃は、直接的にセキュリティプロトコルを回避するのではなく、電子メールホスティングプロバイダーの設定ミスや設計上の決定を利用しています。その結果、有効なSPFとDKIMレコードを持つメールがDMARCチェックを通過し、受信者に届けられることになります。
研究者たちは、SMTPスマグリング攻撃を検出し緩和する方法も提案しています。これには、メールサーバーがメールを送信する際に追加するMessage-ID識別子の違いを利用する方法が含まれます。この技術を利用することで、攻撃の検出が可能になります。
さらに、組織にはDMARC、DKIM、SPFのセキュリティ対策を強化し、メールフィルタリングソリューションを使用することが推奨されています。これらの対策は、メールの真正性を検証し、フィッシングやメールスプーフィング攻撃のリスクを減少させるために重要です。
この問題の発見と研究は、電子メールセキュリティの重要性を再確認させるものです。電子メールは、個人情報や機密情報のやり取りに広く使用されているため、セキュリティ対策の強化は不可欠です。また、この研究は、電子メールホスティングプロバイダーに対して、設定ミスや設計上の決定を見直し、セキュリティを向上させるよう促すものでもあります。長期的には、より安全な電子メール通信環境の実現に向けた取り組みが期待されます。
from 20 Million Trusted Domains Vulnerable to Email Hosting Exploits.
