MacやiOSのメールアプリを含む複数のメールクライアントで送信者を偽装することが出来る「Mailsploit」脆弱性が発見される。

Mailsploitの影響を受けるアプリ Mail
記事内に広告が含まれています。
スポンサーリンク

 MacやiOSのメールアプリを含む、複数のメールクライアントで送信者を偽装することが出来る「Mailsploit」脆弱性が発見されているそうです。詳細は以下から。

macOSのメールアプリアイコン

 The Registerなどによると、MacやiOSのApple製メールアプリを含む複数のメールクライアントで既存の送信ドメイン認証技術DMARC(DKIM/SPF)やスパムメールフィルターを欺き、送信者を偽装することが出来る「Mailsploit」という脆弱性が発見されたそうです。

TL;DR: Mailsploit is a collection of bugs in email clients that allow effective sender spoofing and code injection attacks. The spoofing is not detected by Mail Transfer Agents (MTA) aka email servers, therefore circumventing spoofing protection mechanisms such as DMARC (DKIM/SPF) or spam filters.

Bugs were found in over 30 applications, including prominent ones like Apple Mail (macOS, iOS and watchOS), Mozilla Thunderbird, various Microsoft email clients, Yahoo! Mail, ProtonMail and others.

Mailsploit – Mailsploit

 発見者のSabri Haddoucheさんが公開したWebページによると、この問題は25年前(1992年)に公開されたRFC 1342を利用したトリックで、非ASCII文字をメールのヘッダーに入れることでメールクライアントにそれ以降の文字列の処理を無効にすることが出来るそうで、

The trick resides in using RFC-1342 (from 1992!), a recommendation that provides a way to encode non-ASCII chars inside email headers in a such way that it won’t confuse the MTAs processing the email.
Unfortunately, most email clients and web interfaces don’t properly sanitize the string after decoding which leads to this email spoofing attack.
Here is what it looks like:

  • =?utf-8?b?[BASE-64]?=
  • =?utf-8?Q?[QUOTED-PRINTABLE]?=

Mailsploit – Mailsploit

実際にこの脆弱性を利用し、ホワイトハウスのドメインを利用し大統領になりすましたメールがiOSのメールアプリで受信される様子が映っており、Mac用メールクライアント「AirMail」や「Spark」ではXSSやコードインジェクションも確認されてたそうです。

Mailsploitの影響を受けるクライアント

 Mailsploitの影響を受けるのはAppleのメールアプリだけでなく、Mozilla Thunderbird、Microsoft Outlook、Yahoo! Mail for iOS、Spark for iOS、 AirMailなど30を超え、

Mailsploitの影響を受けるアプリ

Haddoucheさんは3ヶ月前にこの問題をベンダー側に報告しているため今後のアップデートで修正されると思われますが、同時にこの影響を受けるアプリやWebサービスの一覧を公開し注意を呼びかけ、アップデートされるまでは他のメッセージサービスを利用するかPGP/GPGを利用してメールを暗号化することを勧めています。

追記

 JPCERT-CCからも注意勧告が出たそうです。(ご指摘ありがとうございます。)

複数のメールクライアントに「Mailsploit」と呼ばれる脆弱性が見つかったと話題になっています。この脆弱性は発見者から以下の Web ページにて注意が呼び掛けられています。同ページで指摘されている挙動は、一部の製品においてJPCERT/CCでも確認しています。

送信者を偽装できる脆弱性「Mailsploit」について – JPCERT-CC

コメント

  1. 匿名 より:

    Cheenaさんの方が解説詳しいっすよ。
    tps://blog.cheena.net/2017/12/07/メールの送信元を完璧になりすます「mailsploit」は何が/

  2. 匿名 より:

    PGP/GPGを利用してもなりすましを見分けられるだけであって、例えばクライアントがXSS等の影響を受けるなら危険なことに変わりはないから、修正されるまでは他のメッセージサービスを利用するのが正解かなぁ。

タイトルとURLをコピーしました