2015年8月7日金曜日

メール送信元偽装の対策と現状。

近頃、メールからのウィルス感染や個人情報の流出がとても増えていますね。
今後、流出した個人情報や流出元組織を装ったなりすましメールが増えてくると思います。
そこで、現在殆どの日本組織または企業が出来ていない、メール送信元偽装対策について
書こうと思います。

※本投稿は、ドメイン管理者の方ができる対策であり、受信者ができる対策ではありません。

事の発端
ある日、SPFのHard failを設定していても、受信者がメールを受け取ったことがあるメールアドレスに、送信元を偽装したメールは、GmailのInbox(受信トレイ)に入ることがわかり、バグとしてGoogleに報告しました。例えばExample@test.comからメールを受け取ったことがある人に、Example@test.comと送信元を偽装したメールを送ると、そのメールは受信者のInboxに入るということです。

その報告の回答が以下です。
とりあえずバグではなくて仕様らしく、もしちゃんとした設定をしたいのならGoogle Apps for Workに連絡して自分の設定を確認してとのことです。あやふやな回答なので、Google Apps for Workに連絡してみました。

つまりSPF Hard failが指定されていて、Failになった場合でも、そのメールの取り扱いはGmailの設定に委ねられている為、僕が報告したケースだとInboxに入るらしいです。ではどうすればいいのか。

DMARCについて
DMARCはSPFやDKIMという、既にあるメール認証を利用して、メール認証がFailした際、受信側がどのような対応を取るべきかを、ドメイン管理者側が指定できる技術です。SPF、DKIM、DMARCについてよくまとめられている記事は以下です。

http://www.cuenote.jp/library/marketing/dmarc.html

DMARCの主なメリットは以下です。

  1. ドメイン管理者が認証失敗したメールについて、何もしない(None)、隔離する(Quarantine)、拒否する(Reject)を指定できる。
  2. メールアドレスを設定すると、認証結果のレポートが送られてくるため、自身のドメインに偽装したメールがどのくらい送られているのか把握できる。

実際に、僕が報告したやり方で、DMARCがQuarantineかRejectに設定されている企業のメールアドレスになりすまそうとしても、出来ませんでした。そして世界的に有名な殆どのIT企業がDMARCを設定していることも知りました。しかし、最初にも書きましたが日本の組織や企業でDMARCを設定している所は殆どありません。しかもIPAさんすら設定していなかったので、5月に脆弱性として報告しました。返事は以下です。


要は、NISCの統一基準のなりすまし防止策にSPFが記述されているが、DMARCは記述されてないので、脆弱性ではありませんということでした。ちなみに僕が報告したのは、「SPFが設定されていても、IPAのメールアドレスに送信元を偽装したメールがInboxに届くので、DMARCを設定して下さい」というものです。以下が実際にIPAさんに送ったPoC。

7月17日にIPAになりすましたメールの注意喚起がありましたが、あれがフリーメールを使ってて良かったと思いました。(苦笑)


さて少し戻りますが、僕の報告したケースでは、正しいメールを1度受信していないと、送信元偽装メールはInboxに入ってきません。では例えばIPAさんとメールのやりとりをしたことがない人は安全なのかというと、そうでもありません。IPAさんを含め、沢山のサイトには問い合わせフォームがあり、そこに任意のメールアドレスを入れれば、自動で問い合わせ受諾メールが任意のメールアドレスに送られます。つまり誰でも危ないのです。年金機構さんが問い合わせフォームをクローズしたのはとてもいい判断だと思います。

また、HotmailやOffice 365は安全かについてですが、Hotmailは今回のケースでInboxに受信することはありませんでした。Office 365はアカウントを持っていないので検証していません。しかし、今回検証に使ったのは有名な送信元偽装サービスであり、そもそもMicrosoftがそのIPをスパムフィルターでブロックしている可能性もあります。なので、安全という確証はありません。

結論
以下の組織または企業には、DMARCを設定することを強く推奨します。

  1. 政府関係の組織または企業
  2. 銀行さん(本当にやってなくて困る)
  3. 個人情報が流出した組織または企業(ユーザーや顧客を守ってください)
  4. 全世界で統一ドメインを使っている組織または企業(実際に社内メールのなりすましがあります)
実際に設定したい方はこちらを参考にして下さい。なお、DMARCはスパムを最小限に抑える技術であって、完璧に防げる技術ではないことを覚えておきましょう。

ではでは。