EchoSpoofingとは?メールルーティングの悪用について

ブログ,サイバーセキュリティ

最近、EchoSpoofingとして知られる電子メール・ルーティングの欠陥が悪用され、攻撃者は複数の組織にわたって何百万通ものなりすまし電子メールを送信することができた。

byアホナ・ルドラ

読書時間 4
EchoSpoofingとは?メールルーティングの悪用について
目次-

電子メールの認証がかなり脆弱であることは周知の事実である。特に、ヘッダーを変更したり、件名を変えたり、添付ファイルを削除したりした電子メールが転送された場合はそうです。これらの些細な変更は、電子メールの DKIMシグネチャ.

この問題に対処するために、さまざまなセキュア・メールゲートウェイ(SEG)が導入されている。これらのSEGは、電子メールを再認証することで、改ざんされた電子メールの認証問題に取り組むことができる。この方法は、認証の失敗を軽減するには十分であるが、新たなリスクを引き起こす。

残念なことに、2024年3月にProofpointのメールリレーサービスに脆弱性が発見されました。この脆弱性により、様々な悪意ある行為者が設定設定を悪用することが可能となりました。この 電子メールルーティングの欠陥攻撃者は何百万ものなりすましメッセージを送信することができました。

この記事では、EchoSpoofingと最近の電子メール・ルーティングの悪用についてのすべてを学びます。 

主なポイント

  1. 電子メール認証の脆弱性は、電子メール・リレー・サービスの設定欠陥によって悪化する可能性がある。
  2. EchoSpoofing技術により、攻撃者は信頼できる電子メール・サービスを悪用して、なりすまし電子メールを送信することができる。
  3. 最近、電子メール・リレー・システムの設定に問題があり、悪意のある行為者が適切なフィルターを通さずに正当なドメインになりすますことが可能になった。
  4. セキュリティ対策を施していても、企業は進化する電子メールベースの脅威に対して警戒を怠らない必要がある。
  5. 厳格なDMARCポリシーを導入することで、ドメインのなりすましを防ぎ、メールのセキュリティを強化することができます。

電子メールルーティングのエクスプロイトを理解する

悪意のある行為者は、Microsoft 365のあらゆるテナントからの電子メールを受け入れる設定である、電子メールリレーサービスの脆弱性を悪用する方法を発見した。これらのメールを受信した後、新しい有効なDKIM署名を追加することで再認証されます。

コンフィギュレーション設定の欠陥により、犯人はあらゆるドメイン名を詐称することができる。これにより、「EchoSpoofing」と呼ばれる一連のフィッシング・キャンペーンで、正規の送信元から来たように見せかけたメールを送ることができる。

 

PowerDMARCによるエコー・スプーフィングからの保護!

15日間のトライアルデモを予約する

エコー・スプーフィングとは何か?

この悪用はGaurdio Labsによって "EchoSpoofing "と名付けられた。これは、攻撃者がSMTPサーバーから電子メールを送信する手法である。これらのSMTPサーバーは仮想プライベートサーバー(VPS)でホストされており、送信されたメッセージは以下のような電子メール認証チェックを容易に通過する。 SPFDKIM.これらのEchoSpoofingメールは、信頼できる送信者からの正当なメールを模倣します。

Microsoft 365では、ユーザーが選択した任意のドメインからメールを送信することができる。EchoSpoofing Exploitのハッカーは、この欠陥を利用して、攻撃者が管理するOffice 365のテナントからメッセージを送信していました。例えば、Proofpointの顧客がMicrosoft 365を正当な送信者として認証したことで、うっかりトラブルに巻き込まれてしまった。これらの攻撃者が管理するOffice 365テナントは、認証のタグと有効なDKIMシグネチャを持つリレーサービスを介してEchoSpoofingメールをリレーするフリーパスを得た。 

エコー・スプーフィングの結果

Microsoft 365のユーザーで、Secure Email Gatewayを使用してリレーシステム経由で悪意のあるメールをブロックしている場合、他のMicrosoft 365テナントがあなたのドメインになりすます可能性があるため注意が必要です。これらのSEGのほとんどは、特定のOffice 365テナントを明示的にフィルタリングすることができず、すべてのテナントを許可しているため、Microsoftを正当な送信者として定義している場合、悪意のある行為者は簡単にあなたのドメインになりすましてフィッシングメールを送信することができます。 

このシステムを経由して送信されたなりすましメールは、不審なメールとしてフラグが立てられることはなく、DMARCのチェックをパスする。 DMARCチェック受信者の受信箱に直接届きます。

搾取の規模

攻撃はかなり広範囲に及んだ。

対象企業

新しい「エコなりすまし」の手口は、さまざまな有名ブランドを標的にした。ナイキ、IBM、ウォルト・ディズニー、ベスト・バイなどである。 

対応策と緩和策

この問題に気づいた後、この脆弱性に対するさまざまな対策が速やかに発表された。これには、顧客が許可されたMicrosoft 365のテナントを指定できるようにしたことなどが含まれる。また、どの電子メール・ルーティング・システムにもある程度の脆弱性はあるが、今回の攻撃で顧客データが流出したり、漏洩したりすることはなかったと、顧客は安心した。 

PowerDMARCによる包括的な電子メールセキュリティの選択

PowerDMARCの高度なAIを搭載したメール認証プラットフォームは、ほとんどのメールベースのエクスプロイトや脅威に関して、セキュリティと可視性の両方を提供します。当社の脅威インテリジェンステクノロジーは、脅威のパターンや傾向に関するデータ駆動型の予測を行うことに長けており、専門家チームがメール認証態勢の強化を指導します。 

PowerDMARCの詳細なAPIにより、顧客は当社のプラットフォームを既存のセキュリティシステムとシームレスに統合することができ、セキュリティを強化することができます! 

さらに、ドメイン所有者が「拒否」などの強制的なDMARCポリシーに移行し、なりすまし攻撃と効果的に戦うことができるよう支援します。 

最後の言葉

EchoSpoofingの悪用は、電子メール・ルーティング・システムの重大な脆弱性を浮き彫りにし、信頼できるセキュリティ・ソリューションにも盲点があることを証明している。 

攻撃者が電子メールシステムの設定ミスを利用して認証チェックを回避し、広範なフィッシング・キャンペーンを展開することは今に始まったことではない。是正措置が取られたとはいえ、この事件は、専門家チームによるプロアクティブなメールセキュリティの重要性を浮き彫りにしている。 

ドメイン名の保護戦略を検討し、電子メール認証を正しく実施するには - Eメール認証システム お問い合わせ経験豊富なプロフェッショナルにご相談ください。

最新記事 by Ahona Rudra(全て見る)
Eコマース・ブランドのためのサイバーセキュリティ・トップ5サイバーセキュリティレッドチーム-VSブルーチーム赤チーム VS 青チーム