テクノロジーが急速に進化・発展するにつれて、仮想的な脅威や攻撃も進化している。電子メールベースの脅威の新しい形態が、より強力で大規模なものとして形作られつつある。最近発見された電子メールベースの脅威の重要な例の1つは、Researchgateによる詳細な研究で強調されています-最も広く使用されている電子メール認証プロトコルの1つであるSender Policy Framework(SPF)の既存の脆弱性を悪用するBreakSPFとして知られています。この新しいタイプの脅威について特に懸念されるのは、大規模な被害を引き起こし、何百万ものドメインを同時に危険にさらす可能性があるということです。
BreakSPF攻撃とは何か - ハッカーの新たな手口
BreakSPFは、SPFチェックを回避して電子メールのなりすましを試みる新しい攻撃フレームワークです。SPFの設定が寛容なドメインは、この種の攻撃に対して特に脆弱である。BreakSPFは、クラウド・メール・サービス・プロバイダー、プロキシ、コンテンツ・デリバリー・ネットワーク(CDN)など、多くの組織が共有メール・インフラを使用しているという事実を利用しています。 共有IPプール.これらの共有メール・インフラのSPFレコードに含まれる広範に定義されたIP範囲は、ハッカーや攻撃者が行動を起こすための肥沃な土壌を作り出します。
BreakSPF攻撃と他の電子メールベースの脅威との比較
従来のほとんどのなりすましメールやフィッシング攻撃は、ソーシャルエンジニアリングやマルウェアによってメールセキュリティを迂回しようとします。一方、BreakSPFはSPFの仕組みそのものをターゲットにしており、なりすましメールから保護するために設計されたシステムそのものを悪用する。言い方を変えると、基本的で伝統的な電子メールのなりすましやフィッシング攻撃は、SPFやDKIMのチェックによってブロックすることができますが、BreakSPF攻撃では、脅威行為者はこれらの検証チェックをバイパスすることができ、なりすまし電子メールを疑う余地のない受信者のメールボックスに簡単に到達させることができます。
BreakSPFの仕組み:SPFチェックを回避する
によると Researchgateによるカンファレンス・ペーパードメインの51.7%が65,536(216)以上のIPアドレスを含むSPFレコードを持っている。このような大きな範囲は危険であるだけでなく、ほとんどの電子メール・ドメインはそれほど多くのIPアドレスを必要としないため、完全に不必要である。ネストされすぎた、圧倒的に大きなSPFレコードは、SPFルックアップの制限を超える可能性がある状況につながるかもしれません。これは、ハッカーが既存のセキュリティ・プロトコルをすり抜けることを可能にするかもしれない。なぜなら、SPFレコードが複雑すぎてSPFルックアップの上限を超えてしまうと、保護レイヤーが当初意図していた役割を果たさなくなってしまうからです。
攻撃の仕組みはこうだ。攻撃者は、脆弱なSPFコンフィギュレーションを持つ人気のあるドメイン(example.comなど)を特定する。つまり、そのSPFレコードは広範囲のIPアドレスを許可する。攻撃者は、この許可範囲内のIPアドレスへのアクセスを提供するパブリック・サービスを利用する。そして、これらのIPアドレスから被害者になりすましたメールを送信する。SPF検証は送信者のIPアドレスをチェックし、(ドメインのSPFレコード内にあるため)正当なものであるとみなすため、なりすましメールはSPFおよびDMARCのチェックを通過する。その結果、被害者は標準的な電子メール認証手段を回避した本物そっくりの電子メールを受け取ることになる。
この攻撃における重要な要素は以下の通りだ:
- 対象ドメインに、過剰に許可されたIP範囲を持つSPFレコードがある。
- 攻撃者は、そのSPFレコードに含まれるIPアドレスを選択するのに十分なパブリック・インフラをコントロールしている。
- 攻撃者は、DNSスプーフィングやDNSエントリーの変更などの高度な機能を必要とせずに、なりすましメールを送信することができる。
BreakSPF攻撃の種類
電子メールの送信は、一般的に2つの主要なチャネルを通じて行われる:HTTPサーバーとSMTPサーバーである。これに基づき、BreakSPF攻撃自体は、Researchgateによって3つの異なるグループに分類されている:
1.固定IPアドレス攻撃
固定IPアドレス攻撃では、攻撃者は特定のIPアドレスを長期にわたって管理します。攻撃者はメール転送エージェント(MTA)として振る舞い、悪意のあるなりすましメールを被害者のメールサービスに直接送信します。このような攻撃は、クラウドサーバーやプロキシサービスのような共有インフラを利用することが多い。グレイリストを含む従来のスパム防御メカニズムは、一般的に固定IPアドレス攻撃には効果がありません。
2.動的IPアドレス攻撃
この方法を使用する場合、攻撃者は各接続の特定の発信IPアドレスを制御することはできない。しかし、攻撃者は現在の発信IPに基づいて、どのドメインが最も脆弱であるかを動的に評価し、それによって様々な機能または方法によって一時的に制御権を得る。これらのIPアドレスは常に変化するため、従来のIPブラックリスト方式は、動的IPアドレス攻撃に対しては再び効果がなくなります。従来の方法である固定IPアドレス攻撃がクラウドサーバーやプロキシサービスを利用していたのに対し、動的IPアドレス攻撃はパブリックインフラ(サーバーレス機能、CI/CDプラットフォームなど)を活用する。
3.クロスプロトコル攻撃
クロスプロトコル攻撃を使用する場合、攻撃者はIPアドレスを直接制御する必要さえない。代わりに、ハッカーはSMTPデータを を埋め込む。 HTTPデータパケットに埋め込む。そして、HTTPプロキシおよびCDN出口ノードを使用して、これらのパケットを目的の被害者の電子メールサービスに転送します。クロスプロトコル攻撃で被害者を狙う場合、ハッカーは多くの場合、共有インフラ(オープンHTTPプロキシ、CDNサービスなど)を使用します。この種の攻撃は、非常に不透明な方法で行われるため、検知や追跡が極めて困難です。
BreakSPF攻撃の影響
世界中のドメインが容易にフィッシング攻撃の被害に遭い、BreakSPF攻撃の結果、非常に機密性の高い機密データがハッカーに暴露される可能性がある。.また、企業は、その企業やその企業からの通信を信頼していた人々の間で評判を失う可能性があります。
知名度の高い数多くの企業が、評判の悪化により市場シェアだけでなく金銭的にも大きな損失を被る可能性がある。このことは、BreakSPF攻撃はデータ・セキュリティやプライバシーだけでなく、ブランド・イメージ、売上、市場での地位といったビジネスの他の側面にも直接的、間接的な影響を及ぼす可能性があることを意味している。
組織へのミクロレベルの影響にとどまらず、このような大規模なフィッシング攻撃や広範ななりすましメールによって、メール交換全般に対する信頼が失われ、個人的・職業的な場面での日常的なコミュニケーションの自由が制約され、個人が他のプラットフォームへの移行を余儀なくされることにも注意が必要だ。これは、既存の確立されたフレームワークや、マーケティング戦略の不可欠な一部として電子メールやニュースレターを使用しているマーケティングキャンペーンにとっても有害となる可能性がある。
したがって、BreakSPF攻撃の影響は、特定の地域やカテゴリーにとどまらない。様々なニーズや目的で電子メール・コミュニケーションを利用する個人や企業に影響を及ぼすのである。
BreakSPF攻撃を防ぐには
あなたのドメインに対するこのような攻撃を防ぎ、あなたのビジネスと従業員を守るために、いくつかの重要なステップがあります:
1.SPFレコードを複雑にしない
SPFのベストプラクティスによると、1つのドメインに対してSPFレコードは1つだけであるべきです。残念なことに、ドメイン所有者が正確なSPF管理に十分な注意を払わないため、1つのドメインに複数のSPFレコードを持つ複雑なドメインが今日非常に一般的になっている。
このような不正行為はSPF認証の失敗を招き、その結果、正当なEメールであってもスパムと判定されることが多い。その結果、正当なEメールであってもスパムと判定されることが多くなり、Eメール配信全体に悪影響を及ぼし、ビジネスコミュニケーションやレピュテーションを危険にさらすことになります。
2.DNSルックアップの上限である10回を超えないようにする。
"SPF Permerror: Too many DNS lookups" は、DNSルックアップの上限である10を超えた場合に表示されるメッセージです。Permerrorは恒久的なエラーによるSPF失敗として扱われ、メールが意図した受信者の受信トレイに届かなかったり、不審なメールとしてフラグが立てられたりすることがよくあります。これは、メール配信率に深刻な問題を引き起こす可能性があります。
DNSルックアップの上限である10を超えないようにするには、いくつかの方法があります。例えば、不要な "include "ステートメントやネストしたIPを削除するには SPFフラット化サービスサービスを利用することです。
できれば、SPFレコードを最適化するには SPFマクロ.PowerDMARC では、お客様が毎回無制限のルックアップでエラーのない SPF を達成できるよう、弊社の ホスト型SPFソリューションでエラーのないSPFを実現しています。
詳しくは、以下のブログ記事をご覧ください。 SPFエラーを修正する.
3.プロトコルの設定ミスの修正
BreakSPFはSPFとDMARCの検証をバイパスすることができる。攻撃者が検証チェックをバイパスするのを防ぐため、SPFとDMARCの採用におけるギャップや設定ミスを特定し、修正することが重要です。このようなギャップや設定ミスには、DMARCとSPFの誤った採用、タイムリーな更新や最適化の欠如などが含まれる。
4.DMARCレポートの監視
ドメインのDMARCレポートを有効にし、それらに注意を払うことは、既存のメール認証プロトコルの問題や設定ミスを検出するのにも役立ちます。これらのレポートは、不審なIPアドレスの検出につながる可能性のある豊富な情報を提供します。
5.DMARCポリシーの実施
DMARCはSPFやDKIMと組み合わせるだけでなく、過度に寛容なポリシーを避けるためにDMARC Rejectのような厳格なポリシーとともに導入すべきである。DMARCのnoneポリシーは、サイバー攻撃からの保護を提供しない。メール認証の初期段階(すなわち監視段階)のみに使用すべきである。
しかし、初期の監視段階を超えてこのポリシーに従い続けると、ドメインがサイバー攻撃にさらされやすくなり、深刻なセキュリティ問題を引き起こす可能性があります。というのも、DMARCが失敗した場合でも、noneポリシーの下ではメールは受信者の受信トレイに配信され、多くの場合、悪意のあるコンテンツとともに配信されるからです。
6.港湾管理の強化
クラウドサービスのポート管理を強化・充実させることは、クラウドIPの悪用による攻撃者を阻止することにもつながる。クラウドサービスはサイバー攻撃の一般的な発生源である。なぜなら、クラウドは重要な機密データの保管場所として利用されることが多く、ハッカーにとって魅力的な標的となっているからだ。さらに、ハッカーがクラウドのアカウントにアクセスすることに成功すると、すぐにすべてのデータを見ることができ、一度に盗むことができるため、クラウド攻撃はデータ漏洩にもつながる可能性がある。
そのため、すべてのデータを一元化されたクラウドプラットフォームで管理することにはメリットがありますが、オンライン上のセキュリティにとっては非常に危険な場合もあります。したがって、データの暗号化、侵入検知、厳密なアクセス制御などの事前対策は、クラウドサービスやビジネス全体のセキュリティを強化するために最も重要です。
まとめ
電子メール認証プロトコルの正しい採用に関してヘルプやアドバイスが必要ですか?PowerDMARCがお手伝いします!
PowerDMARC恒例のマネージドSPFサービス。 PowerSPFPowerDMARC のマネージド SPF サービスである PowerSPF は、世界中の企業に SPF 管理と最適化ソリューションを提供し、BreakSPF をはじめとする SPF 関連のエラーや問題を未然に防ぎます。ドメインのセキュリティ強化 今すぐ PowerDMARC にご連絡ください。そして、デジタルコミュニケーションの安心をお楽しみください!
- DNSタイムラインとセキュリティ・スコア履歴の紹介- 2024年12月10日
- PowerDMARC Entriによるワンクリック自動DNSパブリッシング- 2024年12月10日
- Apple Business Connectを使ったAppleブランドメールの設定方法- 2024年12月3日