Novel SMTP Smuggling Technique Slips Past DMARC, Email Protections
2023/12/18 DarkReading — インターネットの創世記から電子メールの送信に使用されてきた、数十年前のプロトコルを悪用する新たな標的型フィッシング攻撃により、組織や個人が危険にさらされている。この手法を用いる攻撃者は、DMARC (Domain-based Message Authentication, Reporting and Conformance) などの電子メール保護を回避できるという。
SMTP スマグリング と呼ばれるテクニックを用いる攻撃者は、脆弱なサーバ上の SMTP (Simple Mail Transfer Protocolを悪用し、典型的な電子メール・セキュリティ・チェックを通過する偽の送信者アドレスを介して、多数の悪質な電子メールを送信しているようだ。SEC Consult の Senior Security Consultant であるセキュリティ研究者の Timo Longin が、12月18日に公開されたブログ記事で、それについて明らかにている。
この、Microsoft/GMX/Cisco のメッセージング・サーバのゼロデイ脆弱性を悪用テクニックは、インバウンド/アウトバウンド・メッセージの両方で使用可能であり、数百万の受信 SMTP サーバへ向けて、数百万のなりすましメールを送信するものだ。この欠陥に対して、Microsoft と GMX はパッチを当てたが、Cisco Secure Email (オンプレミス/クラウド版) におけるミスコンフィグレーションの可能性は、依然として対処されていない状況だという。
Timo Longin は、「SMTP スマグリングは、攻撃者に対して、偽の送信者アドレス (例:ceo@microsoft.com) によるメール送信を許し、他人を装うことを可能にする、新しい電子メールなりすまし手法だ。このような攻撃を阻止するために、電子メール・インフラには緩和策が施されているのが通常だが、新しい手法を用いることで、ななりすましメールが配信されてしまう」と、Dark Reading に説明している。
SMTP スマグリング攻撃の仕組み
SMTP スマグリングは、SMTP プロトコルの異なる解釈を悪用するスマグリング攻撃の一種であり、HTTP スマグリングなどの、他のプロトコルを悪用するスマグリング攻撃に類似している。
SMTP スマグリングは、攻撃者はインバウンド/アウトバウンド SMTP サーバが解釈する、データ終端のコードシーケンス (<CR><LF>.<CR><LF>) を悪用するものである。それにより、SMTP メッセージ・データの終端を誤解させ、攻撃者によるメッセージ・データの取り出しを許し、任意の SMTP コマンドの指定や、別の電子メールの送信なども可能にさせる。
Longin は「SMTP スマグリングは、特別に細工した電子メールを、多数の (影響を受ける) 電子メール・サーバ経由で送信することで機能する攻撃スタイルである。適切なツールさえあれば、攻撃者にとって簡単な作業となる」と説明している。
さらに、このテクニックは、メッセージング・システムに組み込まれた、必要不可欠なハンドオフ・プロトコルを通過したように見せかける。それにより、電子メール保護プロトコルである DMARC/SPF/DKIM などの典型的なチェックを、悪意の電子メールは通過してしまう。
Longinは「あるサーバでは、1通として取り扱われるメールが、別のサーバでは2通のメールになっている。SMTP スマグリング攻撃により、電子メールの送信者名と電子メールアドレスが詐称され、セキュリティ機能が回避された証だと捉えられる」と説明している。
さらに彼は、「おれらの悪意の電子メールは、実際の電子メールサーバからスマグリング送信されるものであり、DMARC で義務付けられている SPF アライメント・チェックなどを通過する。大半の電子メール・サーバは、SPF と DKIM のアライメントを要求しておらず、どちらか一方しか要求していないためだ」と付け加えている。
このような攻撃手法を用いる脅威アクターは、標的型ソーシャルエンジニアリングを介して高度なフィッシング・メールを送信することで、また、スピアフィッシング攻撃を仕掛けることで、企業ユーザーを危険にさらしていく。
フィッシング攻撃を入り口として、組織のネットワークに侵入し、マルウエアやランサムウェアのロードといった、さらなる悪意の活動が行われていくため、重大な脅威になり得ると、Longin は指摘している。
影響を受けるシステムと対策
研究者たちの発見は、Microsoft/GMX/Cisco における複数の電子メール・サービスに存在し、合計で数百万の SMTP サーバに影響を及ぼす、SMTP スマグリングの脆弱性である。
Microsoft Exchange Online は、SPF レコードを Exchange Online に向ける。すべてのドメインからのスマグリングを可能にしていたことが判明した。
Longin は、「そこに含まれるのは、microsoft.com/msn.com/github.com/outlook.com/office365.com/openai.com などの、Microsoft が所有する極めて高価値のターゲットである。また、Microsoft の顧客 ドメイン (tesla.com/mastercard.com/nike.comなど) も対象となる」と述べている。
しかし、受信側の SMTP サーバにおける BDAT プロトコルのサポートが前提条件となるため、 Exchange Online からのスマグリングは、多少なりとも緩和されると、彼は述べている。
GMX と Ionos の電子メール・サービスでは、約 135 万種類のドメインからの SMTP スマグリングが許可される状態になっていた。それらのドメインが、GMX レコードを Ionos に向けていることから分かるように、GMX も一部であることが判明している。
しかし、SMTP スマグリングは、すべての受信インバウンド SMTP サーバで機能するわけではない。このケースでは、インバウンド SMTP サーバがデータ終了シーケンス (<CR><LF>.<CR><LF>) を受け入れる必要がある。そして、研究者がテストを行ったところ、影響を受けたのは Fastmail や Runbox などの、大手電子メール・プロバイダーのごく一部だけだったという。
その一方で、Cisco の欠陥は、40,000以上の脆弱なインスタンスに影響を与え、Amazon/PayPal/eBay などのターゲットになりすました電子メールの送信を、攻撃者に許すものである。
研究者たちは、影響を受ける全てのベンダーにバグを開示し、Microsoft と GMX は迅速に対応した。しかし Cisco は、研究者たちが欠陥だと指摘した部分を、機能であると解釈している。そして Longin は、「Cisco が顧客に対して、脆弱なデフォルト・コンフィグレーションを変更して、保護を要請することはないだろう」と述べている。
そのため、SEC Consult は、Cisco の Secure Email Gateway/Secure Email Cloud Gateway を使用している組織に対して、管理者が変更すべき内容を理解できるよう、Cisco のガイドラインを引用しながら、”CR” と “LF” の処理のデフォルト設定を、”Clean” から “Allow” に変更することを推奨している。
一般的なフィッシング・メールに加えて、この攻撃ベクターによる侵害を避けるために、組織は警戒を怠らず、全従業員に対して定期的な意識向上トレーニングを実施する必要があると、研究者たちは助言している。
大手のソフトウェア・ベンダーでさえ、セキュリティに疑問のあるデフォルト設定を使用していることがある。現在の攻撃対象領域を発見し、最近の脆弱性を検出するためにも、組織のインフラに対する定期的なセキュリティ・テストが強く推奨される。
このようにして、SMTP スマグリングが発生するという、とても分かりやすくタメになる記事だと、翻訳チームの中でも高い評価を得ている作品です。なんとなく、作品と呼んでしまいたくなります。SEC Consult の Timo Longin さんに感謝です。このところ、頭の中で DMARC がキーワード化していますが、それをも吹っ飛ばす、SMTP スマグリングは怖い存在ですね。
IoT OT Security News 
You must be logged in to post a comment.