DKIMは電子メール認証の重要な側面であり、ドメインから送信されるメッセージに電子署名の形で暗号を利用します。これにより、認証された送信元から送信されたメールが、意図した受信者に届く前に改ざんされることがなくなり、なりすましの脅威を軽減することができます。
DKIMリプレイ攻撃では、攻撃者が正当なDKIM署名付き電子メール・メッセージを傍受し、メッセージの内容や署名に変更を加えることなく、意図した受信者または別のターゲットに複数回再送信する。この攻撃の目的は、DKIM署名によって確立された信頼を利用することである。 DKIM署名この攻撃の目的は、DKIM署名によって確立された信頼を利用して、受信者に同じ正当なメッセージを複数回受信していると信じさせることです。
DKIMリプレイ攻撃とは?
DKIMリプレイ攻撃とは、脅威者がDKIMを使って署名され信頼された電子メールを傍受し、その同じ電子メールを再送信または「リプレイ」して、改ざんされていたり有害であったりする可能性があるにもかかわらず、新しい信頼できるメッセージであると受信者をだますサイバー攻撃である。
DKIMリプレイ攻撃の構造を分解し、緩和策について議論する前に、DKIMがどのように機能するかについて説明しよう:
DKIMはどのようにメールを認証するのですか?
DKIM(DomainKeys Identified Mail)とは、電子メール認証手法の一つで、電子メールメッセージの真正性を検証し、なりすましやフィッシングを検知するのに役立ちます。DKIMは、送信サーバーで電子メールメッセージにデジタル署名を追加し、この署名を受信者の電子メールサーバーで検証することで、メッセージが送信中に改ざんされていないことを確認できます。
DKIMは以下のプロセスを活用して運用される:
1.メッセージ署名:DKIMを使用するドメインからメールが送信されると、送信メールサーバーはそのメッセージに一意の暗号署名を生成する。この署名は、電子メールの内容(ヘッダーと本文)と、「From」アドレスや「Date」フィールドなどの特定のヘッダーフィールドに基づいている。署名プロセスでは通常、秘密鍵が使用される。
2.公開鍵:送信ドメインは、DNS(ドメインネームシステム)レコードに公開DKIMキーを公開する。この公開鍵は、受信者のメールサーバーが署名を検証するために使用する。
3.メッセージ送信:DKIM署名を含む電子メール・メッセージは、インターネットを経由して受信者の電子メール・サーバーに送信される。
4.検証:受信者の電子メールサーバーは、電子メールを受信すると、電子メールのヘッダーからDKIM署名を取得し、送信者のドメインのDNSレコードで送信者の公開DKIMキーを検索します。
署名が電子メールの内容と一致していれば、受信者は、電子メールが転送中に改ざんされておらず、本当に請求された送信者のドメインから来たものであることを合理的に確信することができる。
5.合格または不合格:検証プロセスの結果に基づいて、受信者のサーバーはメールをDKIM-verifiedまたはDKIM-failedとしてマークすることができます。
DKIMは、送信者のドメインの真正性を確認する仕組みを提供することで、フィッシングやなりすましなどの様々なメールベースの攻撃を防ぐのに役立ちます。
DKIMリプレイ攻撃はどのように機能するのか?
DKIMリプレイ攻撃では、悪意のある個人がDKIMシグネチャの寛大さを利用して電子メールの受信者を欺き、有害なコンテンツや詐欺を広める可能性があります。
DKIMリプレイ攻撃がどのように機能するか、順を追って説明しよう:
DKIM署名の柔軟性
DKIMでは、署名ドメイン(電子メールに署名するドメイン)を、電子メールの「From」ヘッダーに記載されているドメインと異なるものにすることができます。つまり、ある電子メールが "From "ヘッダーで特定のドメインからのものであると主張していても、DKIM署名は別のドメインに関連付けることができる。
DKIM検証
メール受信者のサーバーがDKIM署名付きのメールを受信すると、ドメインのメールサーバーで署名されて以来、メールが改ざんされていないことを確認するために署名をチェックします。DKIM署名が有効であれば、メールが署名ドメインのメールサーバーを経由し、転送中に改ざんされていないことが確認されます。
評判の高いドメインを利用する
さて、ここからが攻撃の本番だ。攻撃者がメールボックスの乗っ取りやハッキングに成功したり、評判の高い(メールサーバーから見て信頼できる送信元という意味)ドメインのメールボックスを作成したりすると、ドメインの評判を利用して有利になる。
初回メールの送信
攻撃者は、評判の高いドメインから、自分がコントロールする別のメールボックスに1通のメールを送信する。この最初のメールは、疑いを避けるために無害なもの、あるいは正当なものである可能性もある。
再放送
攻撃者は、記録された電子メールを利用して、同じメッセージを別の受信者(多くの場合、正規の送信者が本来意図していない受信者)に再送信することができます。この電子メールには、評判の高いドメインのDKIM署名がそのまま残っているため、電子メールサーバーはこの電子メールを信頼しやすく、正当なメッセージであると考え、認証フィルターを回避することができる。
DKIMリプレイ攻撃を防ぐための手順
電子メール送信者のためのDKIMリプレイ攻撃防止戦略:
1.ヘッダーのオーバーサイン
Date(日付)、Subject(件名)、From(差出人)、To(宛先)、CC(送信者)などの主要なヘッダが、署名後に追加または変更できないようにするには、オーバー署名を検討する。このセーフガードにより、悪意ある行為者がこれらの重要なメッセージ・コンポーネントを改ざんすることを防ぐことができる。
2.短い有効期限の設定 (x=)
可能な限り短い有効期限(x=)を設定する。これにより、リプレイ攻撃の機会を減らすことができる。新しく作成されたドメインは攻撃に対してより脆弱であるため、古いドメインよりもさらに短い有効期限を設定する必要があります。
3.タイムスタンプ(t=)とノンスの使用
リプレイ攻撃をさらに防ぐには、メールのヘッダーや本文にタイムスタンプやnonces(乱数)を含めます。こうすることで、攻撃者は同じメールを後で再送信することが難しくなります。
4.DKIMキーの定期的なローテーション
DKIMキーのローテーションを定期的に更新し、それに応じてDNSレコードを更新する。これにより、漏洩してリプレイ攻撃に使用される可能性のある長期間のキーの露出を最小限に抑えることができます。
電子メール受信者のためのDKIMリプレイ攻撃防止戦略:
1.レート制限の導入
受信者は、攻撃者が再生された電子メールでシステムに殺到するのを防ぐために、受信電子メールメッセージのレート制限を実装することができます。そうすることで、特定の時間枠内で特定の送信者から受け入れられるメールの数に制限を設定することができます。
2.メール受信者を教育する
メール受信者にDKIMの重要性を教育し、受信メールのDKIMシグネチャを確認するよう促しましょう。これにより、潜在的なリプレイ攻撃による受信者への影響を軽減することができます。
3.ネットワークセキュリティ対策
リプレイ攻撃に関与する可能性のある既知の悪意のあるIPアドレスやソースからのトラフィックを検出し、ブロックするためのネットワーク・セキュリティ対策を実施する。
PowerDMARCがDKIMリプレイ攻撃を軽減する方法
ドメイン所有者がDKIMキー管理を簡単かつ容易に行えるよう、当社は包括的な ホスト型DKIMソリューションを導入しました。お客様のメールフローとDKIM署名の実践を監視することで、不一致を迅速に検出し、常に攻撃者の一歩先を行くことができます。
ダッシュボード上のレコード最適化は、手動更新のために何度もDNSにアクセスすることなく自動的に行われます。PowerDMARCを使用することで、署名の変更、複数のセレクタの処理、DKIMキーのローテーションを手動で行う手間なく自動化することができます。今すぐサインアップして 無料トライアル!
- 10ベストEメール保護のヒントと戦略- 2024年5月15日
- ブロックチェーンは電子メールのセキュリティ向上に役立つか?- 2024年5月9日
- データセンター・プロキシプロキシ界の主力マシンを公開- 2024年5月7日