Google の SMTP Relay サービスを悪用するフィッシング:DMARC プロトコルでの防御が必須

Phishers exploit Google’s SMTP Relay service to deliver spoofed emails

2022/05/03 HelpNetSecurity — フィッシング詐欺師たちが、Google の SMTP Relay サービスの欠陥を悪用し、人気ブランドになりすます悪質なメールを送信している。Avanan のリサーチャーである Jeremy Fuchs によると、2022年4月から、この SMTP Relay サービスを悪用する脅威アクターが大量に発生し、他の Gmail テナントになりすますという攻撃に至っているとのことだ。

DMARC の未施行を悪用する SMTP Relay エクスプロイト

Google の SMTP Relay サービスは、多数のユーザーに宣伝メッセージを送信する組織などで利用されるが、そのメール・サーバーがブロックリストに登録されるというリスクが回避される。

Fuchs は、「数多くの組織が、このサービスを提供している。Gmail も同様であり、Gmail 以外の送信メッセージを Google 経由でルーティングする機能がある。しかし、これらの Relay サービスには欠点が存在する。Gmail では、その機能を Gmail テナントが利用し、他の Gmail テナントになりすますことが可能となる。つまり、このサービスを悪用するハッカーたちは、簡単に正規のブランドになりすまし、フィッシングやマルウェアのキャンペーンを行える。たとえばセキュリティ・サービスが、受信箱に入ってきた avanan.com を見て、それが Gmail IP から本物の IP アドレスだと判断すれば、より正真性が高まってしまう」と述べている。

Jeremy Fuchs:The Gmail SMTP Relay Service Exploit

つまり、Gmail の SMTP Relay サーバーは一般的には信頼されているため、電子メールのセキュリティ・ソリューションは回避され、受信者の [From:] フィールドには正規の電子メール・アドレスが表示される。そして、受信者は [From:] フィールドの正当なメール・アドレスを見ることになる。ただし、メッセージのヘッダーをチェックすれば、何らかの間違いに気づくだろう。

Fuchs は、このブランド偽装のテクニックについて、偽装された企業やブランドが、DMARC 拒否ポリシーを有効にしていない場合にのみ有効であると指摘している。DMARC は、DNS ベースの認証規格である。DMARC を導入することで、悪意のメールがターゲットに届かないようにし、なりすまし攻撃を排除できる。

フィッシング詐欺師であっても、一般的なインターネット・ユーザーであっても、MXToolbox などのツールを使えば、特定ドメインにおける DMARC 拒否ポリシーの ON/OFF を確認できる。Fuchs は、たとえば Trello と Venmo は OFF であり、Netflix は ON であると指摘する。

問題の修正と危険の回避

Fuchs によると、2022年4月23日に Google に対して、フィッシング詐欺師たちが同社の SMTP Relay サービスを、悪用している状況を通知したとのことだ。彼は、「Google は、ユーザーのセキュリティと、下流のセキュリティ・システムを支援するために、2つの送信者間の不一致を示すインジケータを表示すべきだ」と語っている。

また、世の中の SMTP Relay においても、この種の攻撃に対して脆弱である可能性があると指摘している。この既知のセキュリティ問題に対する包括的な回答は、Google がアドバイスするように、あらゆる企業が DMARC プロトコルを使用することである。しかし、それが標準になるまで、受信者は迷惑メールのヘッダーを確認し、悪意の有無が確認できないメッセージについては、添付ファイルのオープンや、リンクのクリックなどを行ってはならない。

UPDATE (May 3, 2022, 11:05 a.m. ET):

Google の広報担当者は、「私たちは、この種の攻撃を阻止するための保護機能をビルトインしている。この研究は、エコシステム全体のユーザーに対して、Domain-based Message Authentication, Reporting & Conformance (DMARC) プロトコルの使用が推奨される理由を物語っている。そうすることで、よく知られた問題である、この攻撃方法から身を守ることが可能になる」と、Help Net Security に語っている。

まず、「2022年4月から、この SMTP Relay サービスを悪用する脅威アクターが大量に発生し、他の Gmail テナントになりすますという攻撃に至っている」とのことなので、その点に要注意ですね。そして、DMARC 拒否ポリシーですが、Power Dmarc のサイトには、「DMARC認証に失敗した送信元からメールが送られてきた場合、そのメールは受信者のサーバーで拒否され、受信者に届けられない」と記されています。ただし、SPF や DKIM といったプロトコルが適切に用いられない場合には、予期せぬ受信拒否が生じてしまう可能性があるようです。

%d bloggers like this: