新たに発見された悪用コードによって、広く普及している 30 種類以上のメールアプリケーションが、攻撃者による送信元アドレス詐称の影響を受けています。状況によっては、クロスサイトスクリプティング(XSS)攻撃とコードインジェクション攻撃が実行される場合もあります。問題の脆弱性は、「Mailsploit」という総称で呼ばれており、影響を受けるメールクライアントは Microsoft Outlook 2016、Windows 10 のメール、Apple Mail(macOS 版、iOS 版、watchOS 版も含む)、Mozilla Thunderbird、iOS 版と Android 版の Yahoo Mail などに及んでいます。
Mailsploit を発見したのは、セキュリティ研究者の Sabri Haddouche 氏で、氏は発見結果を 12 月 5 日の木曜日に発表しました。Haddouche 氏によると、Mailsploit は 33 種類の製品で発見、特定されたということです。
Mailsploit の悪用に成功すると、攻撃者はメールの送信元アドレスを詐称できるようになります。RFC-1342 は、メールヘッダーで非 ASCII 文字を表示する際の推奨として 25 年前から使われていますが、悪用されるのはその実装における欠陥です。攻撃者は、from(送信元)欄にさまざまなバイトを挿入し、真の送信元を隠すことができます。
こうなると、攻撃者は悪質なメールを標的に送りつけることに成功する確率が大きくなります。受け取ったユーザーは、送信元が信頼できると考えて開封してしまう可能性が高くなるからです。
メールヘッダーの詐称は、以前は簡単に実行できましたが、DMARC(ドメインベースのメッセージ認証、報告および適合)などの新しい安全策が登場して以来、あまり使われなくなりました。Mailsploit を使うと、攻撃者はこの DMARC をすり抜ける詐称メールを作成することができます。
それだけでなく、影響を受ける一部のメールクライアントでは、Mailsploit によるコードインジェクションやクロスサイトスクリプティング(XSS)攻撃を許してしまいます。該当するのは、MacOS と iOS のメールクライアント Spark、MacOS のメールクライアント Polymail と Airmail、モバイルアプリの TypeApp と AquaMail などです。
これまでのところ、Mailsploit に対しては 8 種の製品でパッチが公開されており、12 の製品でトリアージが完了しています。Mozilla と Opera の 2 社は、これがサーバー側の問題であることから、バグ修正の予定はないとしています。Apple Mail、Windows のメール、Outlook 2016 はいずれもトリアージが完了しました。iOS 版と Android 版の Yahoo Mail はバグ修正済みです。
影響を受ける製品と対処状況の詳しいリストは、こちらでご覧になれます。
Symantec Email Security.cloud and Symantec Messaging Gateway(SMG)のメッセージフィルタは、www.mailsploit.com で報告されているどの脆弱性の影響も受けません。一般的なメッセージ処理と送信元認証の場合は、「From」ヘッダーのメールアドレスのローカル部分について解読を試行しません。シマンテック製品は、この脆弱性に起因する XSS とコードインジェクションに関しても耐性があります。
シマンテックは、お客様をこの攻撃から守るために、以下の保護対策を実施しています。
Skeptic
【参考訳】
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
* 日本に特化したセキュリティ情報は、シマンテックビジネスセキュリティステーション https://business-security-station.com/securityinfo/?utm_source=symcom&utm_medium=owned&utm_campaign=rblog もご覧ください。