« MNCTF2015 WriteUp 回答案 | メイン | VirusTotalへアップロードされる機微情報 »

2015年11月26日 (木)

フリーメールを使った差出人メールアドレスの詐称

標的型攻撃において、攻撃者はフリーメールサービスをよく使うことが知られています。Backdoor.Emdiviのケースでも、*****@excite.co.jp や *****@yahoo.co.jp などのフリーメールアドレスが差出人となっている攻撃メールを多数確認しています。

一方、差出人メールアドレスで取引先ドメインを詐称した標的型攻撃メールや詐欺メールもよく見られます。多くの方がご存じのように、メールヘッダの偽装は極めて簡単なため、詐称メールを送る技術的な敷居は低く、そのためツール類も出回っておりますが、弊社では、ここ最近、一部の攻撃者/犯罪者が“フリーメールサービス”を使って、取引先メールアドレスを詐称していることを、標的型攻撃や詐欺の事案で確認しました。ここで言う「詐欺」とは、取引先になりすまして、送金先口座の変更を依頼する旨のメールを送り金銭を横取りする犯罪などです。以降、読者の皆様の組織における防衛強化のための知見として、詐称の具体的な手口を共有させて頂きます。

外出先から会社の送信メールシステムを利用できないが、出張先のホテルや自宅から、会社で利用しているメールアドレスを差出人にしてメール送信したい、というニーズがあるためか、複数のメーラーやWebメールで、送信専用メールアドレス(Send-only address)を追加することが可能になっており、攻撃者や犯罪者はこれを悪用することがあります。

弊社では、ここ最近、一つの傾向として、Yahoo.comのWebメールサービスからの詐称メールを複数確認しています。(なぜ攻撃者/犯罪者がYahoo.comを使うのかは後述します。)弊社が調査を行ったところ、すでに取引先のメールアドレスが攻撃者/犯罪者によって侵害されている前提において、Yahoo.comから詐称メールが送られていることが確認できました。以下に、攻撃者/犯罪者の観点で、具体的な詐称手順を記載します。

手順1 - Yahoo.comでアカウントを取得する。

手順2 - Yahoo.comのWebメール設定で、“send-only address”を設定し、Verifyボタンをクリックする。

Yahoocom_settings_blog_final

   図1 Yahoo.comにおける“send-only address”の設定

攻撃者/犯罪者が「やり取り型」を想定している場合は、返信先メールアドレス(Reply-To)を攻撃者/犯罪者が所有するメールアドレスに変更することもあります。

手順3 - 詐称したいメールアドレス宛に確認メールが送られるので、メール内のリンクをクリックする。

※ 攻撃者/犯罪者は、すでに当該メールアドレスのアカウントを侵害し、自由にメールを閲覧できる前提である。

Yahoo_verification_blog_final

   図2 Yahoo.comからの確認メール

手順4 - Yahoo.comの新規メール作成画面で、詐称したいメールアドレスを選択する。

Yahoocom_from_blog_final_2

   図3 送信者メールアドレスの選択

ここまでが攻撃者/犯罪者側の手順です。

被害組織の受信者側のOutlookで見ると、図4のように、差出人のメールアドレスが詐称されており、元の*****@yahoo.comのメールアドレスは表示されません。

Yahoocom_blog_final

   図4 Yahoo.comに設定した送信専用メールアドレスからのメールをOutlookで受信

Yahoo.com以外にも、Yahoo.co.jp や Hotmail.com にも同様の機能がありますが、Fromヘッダー以外に、Senderヘッダーで元のメールアドレスが入っているため、受信者のOutlook側では、図5のように「~が次の人の代理で送信しました」といった表示がされるため、詐称しずらくなっています。

Hotmail_blog_final

   図5 Hotmailに設定した送信専用メールアドレスからのメールをOutlookで受信

以前は、Gmail.comでも同様に、送信専用メールアドレスを設定することができたようですが、現在はその設定ができなくなったようです。(*****@gmail.com以外のメールアドレスを差出人としてメールを送る場合は、Gmail以外のSMTPサーバと認証情報の設定が必須になっています。)

以上のように、Yahoo.comのフリーメールサービスでは、送信専用メールアドレスを使用した際、他のフリーメールサービスと違って、Senderヘッダーが付かないことから、攻撃者/犯罪者に悪用される傾向にあるようです。

また、Yahoo.comで送信専用メールアドレスからメール送信した場合、“ヘッダーFrom”だけでなく“エンベロープFrom”にも送信専用メールアドレスのドメインが入ることから、受信システム側でフリーメールからだと判断できないケースがあります。企業の中には、システム側で、“エンベロープFrom”や“ヘッダーFrom”からフリーメールと判断して、件名に“FreeMail !”などのタグを付けて受信者(社員)の注意を引く仕掛けを実装しているケースがあります。しかし、Yahoo.comにおける送信専用メールアドレスの場合、上記の理由からフリーメールと判断されずに受信者へ配信されてしまうことがあります。

対策を考えなければなりませんが、唯一かつ万能な対策はありません。しかしリスクを低減することは可能であり、以下に対策の観点をいくつか挙げさせて頂きます。

まずは、自社ドメインが詐称されないようにするための対策観点です。

対策観点その1: メールシステムの堅牢化

どのフリーメールサービスも、送信専用メールアドレスを有効化するためには、必ず確認メールが送られ、そのメール内のリンク先へのアクセスが必要です。確認メールの中のリンク先が犯罪者/攻撃者に読み取られないようにするため、脆弱性の是正、二要素認証など、メールシステムの堅牢化を行う必要があります。

対策観点その2: 送信ドメイン認証の対応(送信者側として)

送信者側の対応として、SPFレコードの公開やDKIMを実装し、自社ドメインのなりすましリスクを低減させます。

次に、取引先ドメインに詐称された攻撃/詐欺メールを受信した際に気付くための対策観点を挙げます。自社のシステムがどんなに堅牢でも、数ある取引先の中には、攻撃者/犯罪者によってメールアカウントが侵害されている組織があり、それが起因して、自社に攻撃メールや詐欺メールが送られてくるわけです。

対策観点その3: フリーメールからのメール受信を検出

たとえばYahoo.comのフリーメールからのメールを検出するためには、ヘッダーFrom/エンベロープFromだけでなく、下記のようなYahoo.comに特有のカスタムヘッダーを監視し、合致した場合にフィルタリングやタグ付けするのも一つの方法です。

Yahoo.comからのメール特有と思われるヘッダー

X-Yahoo-Newman-Property

X-Yahoo-Newman-Id

X-YMail-OSG

対策観点その4: 送信ドメイン認証の対応(受信者側として)

メール受信システム側に、SPFやDKIMといった送信ドメイン認証を実装します。Yahoo.comの送信専用メールアドレスの場合、ヘッダーFromだけでなく、エンベロープFromまでも詐称されるため、Sender IPとの矛盾が発生し、受信側でSPF認証が失敗(Fail or SoftFail)します。

« MNCTF2015 WriteUp 回答案 | メイン | VirusTotalへアップロードされる機微情報 »

Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化し研究することを目的として2013年4月に開設。

■ミッション

・サイバー攻撃の研究

・海外の最先端セキュリティ技術の発信

・予測的な策略を講じるセキュリティ対策に基づいた包括的なソリューションの提案
 

政本 憲蔵
セキュリティ研究
センター センター長
 
2000 年、(株)マクニカに入社。各種ネットワーク製品、暗号関連製品、WAF、IDS/IPS等の導入設計担当を経て、 セキュリティインシデントの調査・分析に携わる。2008 年より、標的型攻撃に対する対策製品の技術支援に従事し、 2013 年4月より、同社に新設されたセキュリティ研究センターにて、攻撃者の動向を追いながら、世界の最先端セキュ リティ対策技術のトレンドを調査している。

凌 翔太
セキュリティ研究
センター
 
2004年よりクライアントセキュリティ対策製品(HDD暗号化、検疫、DLP等)のテクニカルサポート、プロフェッショナルサービスに従事する。2009年より、IPS/IDSおよびWAFなどのネットワークセキュリティに関する製品を担当する傍ら、マルウェアや脆弱性の研究を実施する。2013年度より同センターにて、最新の攻撃の研究に携わる。

BlackHat