サイバーセキュリティの状況は常に変化しており、従来から存在する脅威は進化し、新種の脅威が次々と出現しています。SMTPスマグリングのような脅威は、サイバーセキュリティの脅威やサイバー攻撃からの防御方法に関して、常に最新の情報を入手しておくことの重要性を改めて認識させるものです。しかし、SMTPスマグリングとは具体的にどのようなもので、どのように機能するのでしょうか?
SMTPとは何か?
Simple Mail Transfer Protocol(SMTP)は、異なるコンピューターやサーバー間でのメールの送信を可能にするTCP/IPネットワークプロトコルです。このプロトコルは広く使用されており、Gmail、Outlook、Yahoo、AppleなどのメールクライアントがSMTPを使用しています。
それでは、メールにおけるSMTPとは、正確には何を指すのでしょうか?Microsoft Outlookなどのクライアントでメールが作成されると、SMTPサーバーに送信されます。SMTPサーバーは受信者のドメインを確認し、メールを送信する適切なメールサーバーを見つけます。プロセスがスムーズに実行された場合、受信者のドメインのSMTPサーバーがメールを処理し、メッセージを配信するか、または配信前にSMTPを使用して別のネットワーク経由で転送します。
SMTPについて注意すべき重要な点は、歴史的に見ると認証能力が限定的であり続けてきたということです。そのため、なりすましメールが深刻な懸念事項となりました。攻撃者は、送信者の名前を選択できる別のメールクライアント、スクリプト、またはユーティリティなどの適切なツールを単に選択するだけでよかったのです。 その後、信頼できる送信者になりすましたメールで標的型攻撃を行い、ユーザーにフィッシングリンクをクリックさせたり、マルウェアに感染したファイルをダウンロードさせたりするなど、特定の動作を実行するように仕向けます。
この固有の脆弱性(CVE-2023-51766)を修正するために、次のようないくつかの安全対策が講じられました:
- Sender Policy Framework(SPF):DNSレコードを使用して、指定されたドメインからメールを送信することが許可されているIPアドレスを受信メールサーバーに通知します。
- Domain Key Identified Mail(DKIM):この方法は、送信者のサーバーに保存された秘密鍵を送信メールのデジタル署名に使用し、受信者のサーバーが送信サーバーの公開鍵で送信者を検証できるようにします。
- Domain-based Message Authentication, Reporting, and Conformance(DMARC):このプロトコルは、「From」ヘッダーでメールの送信ドメインをSPFやDKIMで検証します。不一致がある場合、DMARCチェックは失敗します。しかし、このプロトコルは一般的には使用されていません。
SMTPサーバーとは?
コンピューターネットワークにおけるSMTPサーバーとは、SMTPプロトコルを使用してメールを送受信するメールサーバーです。一般的に、これらのサーバーはポート25または587のTCPを使用します。この数字は、サーバーがメッセージに対して使用する特定のプロセスを示しています。メールクライアントは、メールを送信するためにメールプロバイダーのSMTPサーバーに直接接続します。SMTPサーバーで実行されるソフトウェアには、次のような種類があります:
- Mail Submission Agent(MSA):メールクライアントからのメッセージを受信します
- Mail Transfer Agent (MTA):必要に応じて次のサーバーにメールを転送します。この時点で、サーバーは受信者のドメインのMail Exchange(MX)DNSレコードのDNSクエリを開始する場合があります
- Mail delivery agent(MDA):受信者の受信トレイに保存するメールを受信します
SMTPスマグリングとは?
SMTPスマグリングとは、メールアドレスを偽装して、メッセージが正当な送信者から送信されたように見せかけるサイバー攻撃を意味します。これらのサイバー攻撃の最終的な目的は、ある種のフィッシングを実行し、標的に悪意のあるリンクをクリックさせたり、感染した添付ファイルを開かせたり、さらには機密情報や金銭を送信させたりするような行動を取らせることにあります。
これらの攻撃は、メールサーバーが送信メールと受信メールでデータ終了のコードシーケンスを処理する方法の違いを悪用しています。その目的は、「密輸された」SMTPコマンドを使用して、受信者のサーバーを騙してメッセージの終わりを異なる解釈にして、メールが2つの別々のメッセージに見えるようにすることです。
SMTPスマグリングの仕組み
攻撃を実行するために、サイバー犯罪者は不明瞭なSMTPコマンドを「密輸」し、メールサーバー通信の完全性を侵害します。これは、HTTPリクエストスマグリング攻撃の仕組みから着想を得ています。より具体的に説明すると、SMTPサーバーは従来、メッセージデータの終わりを「<CR><LF>.<CR><LF>」または「r\n.r\n.」というコードで示すようになっています。これらはそれぞれ「キャリッジリターン」と「ラインフィード」を表し、標準的なテキストの区切り記号です。
このコードシーケンスを変更することで、攻撃者はサーバーがメッセージデータの終わりを認識する場所を変更することができます。送信サーバーにある時点でメッセージの終了を伝える一方で、受信サーバーにはそのメッセージの終了はまだ先であると認識させることができれば、余分なデータを余分なデータを秘密裏に紛れ込ませる余地が生まれます。
通常、このようななりすましメールは標的型フィッシング攻撃の一部として使用されます。企業はSMTPスマグリングに対して特に脆弱です。ドメインを偽装し、ソーシャルエンジニアリングを使用してフィッシングメールやスピアフィッシング攻撃を仕掛けることが簡単にできるためです。
SMTPスマグリングメールを回避する方法
最も普及度が高く有名なメールサーバーであるPostfix、Exim、Sendmailの各メーカーは、SMTPスマグリングに対処するための修正プログラムや回避策をリリースしていますが、脅威を最小限に抑えるために、他にもいくつかの対策を試行することができます:
- 組織のインフラ内で定期的にセキュリティチェックを実施し、攻撃経路や脆弱性の可能性を監視します。
- 使用するメールルーティングソフトウェアをチェックします。ソフトウェアに脆弱性があることが判明している場合は、最新バージョンにアップデートし、許可されていないパイプライン接続を拒否する設定を使用します。
- Ciscoのメール製品を利用している場合、「CRとLFの取り扱い(CR and LF Handling)」の既定の設定を「正常(Clean)」ではなく「許可(Allow)」に手動で更新し、サーバーが「<CR><LF>.<CR><LF>」をデータ終了シーケンスコードとしてのみ解釈してメールを配信するように設定することを推奨します。
- コードで「<CR>」なしの「<LF>」を許可しないようにします。
- 「<LF>」のみの改行を送信するリモートSMTPクライアントからの接続を切断します。
- 従業員に対する定期的なセキュリティ意識向上トレーニングを実施するようにします。たとえば、送信者のメールアドレスを必ず確認した上で、それ以降の行動を取るような習慣を定着させるなどの教育をします。
SMTPメールスプーフィングとはどのようなものか?
SMTPスマグリングの脅威に備えるためには、なりすましメールの特徴を知っておくと役に立ちます。なりすましメールには、いくつかの形態があります:
- 正当なドメインの偽装:これは単純に、会社のドメインをメールの「From」ヘッダーに挿入して、なりすます手法です。SPF、DKIM、DMARCは、この偽装の検知を試行する認証方式です。企業はメール認証を適切に設定し、攻撃者によるドメイン偽装を最小限に抑える必要があります。
- 表示名偽装:このケースでは、「From」ヘッダーのメールアドレスの前に表示される送信者名が偽装され、多くの場合、企業の従業員の本名が使用されます。ほとんどのメールクライアントでは、送信者のメールアドレスは自動的に非表示になり、表示名のみが表示されます。そのため、ユーザーはメールが不審に思われる場合は、アドレスをチェックする必要があります。この手法には、ゴーストスプーフィングやADスプーフィングなど、いくつかの種類があります。Kaspersky Secure Mail Gateway(KSMG)は、送信者の真正性を検証し、メッセージが確立されたメール認証標準に準拠していることを確認することにより、ADスプーフィング攻撃から強力に保護します。
- 類似ドメインによるなりすまし:これはより複雑な方法で、攻撃者は標的の組織とよく似たドメインを登録し、メール、DKIM/SPF署名、DMARC認証を設定する必要があります。この種のなりすましにもいくつかの種類があり、たとえば、プライマリドメインに類似した文字列(正規企業のドメインのスペルミスなど)や、Unicodeスプーフィング(ドメイン名のASCII文字をUnicodeの類似文字に置換する)などによりユーザーを騙します。KSMGは送信者の身元を確認し、なりすましメールのリスクを低減することで、類似ドメインによるなりすまし攻撃を防御する組織を支援します。
Kaspersky Endpoint Securityは、AV Comparatives(https://www.av-comparatives.org/tests/summary-report-2023/ )から個人向け製品部門で「年間最優秀製品賞」を受賞しました。
関連記事とリンク:
関連製品とサービス