電子メールの脆弱性
もっとも典型的な電子メールを悪用した例としては、特定のユーザーに向けてのなりすましメールや、フィッシングメールでしょう。
最近の標的型攻撃でも多用されています。
通常、これらの悪用メールはユーザーが信用したくなる既知のメールアドレスを利用して送られてきます。
攻撃者は、メールにマルウェアを添付したり、ユーザーの個人情報を盗むための偽のWebサイトに誘導するURLを添付したりしています。
なりすましメールは、メールのヘッダーにある、送信元(From)、返信パス(Return-Pass)、返信先(Reply-To) といったフィールドを書き換えることによってユーザを信用させようとします。
SMTPが開発された際、メールサーバーは誰でも、どこへでもメールを送信できる簡易なものとして設計されており、こういった悪用を想定していませんでした。
後にSMTP認証が開発され、メールサーバーにアクセスできるユーザーの認証が行なえるようになりました。
偽のメールかどうかを判断するため、メールに記述されているメールサーバーの情報が送信元のIPアドレスと一致しているかを判定するという方法も採用されました。
しかし、正規のメールサーバーやクライアント端末が攻撃者に乗っ取られ、乗っ取られた所からなりすましメールを送信されれば、これらの方法では防ぐことが出来ません。
それを防ぐためには、メールサーバーやクライアント端末を乗っ取られないためのセキュリティ対策が重要になります。
電子メールの送受信元を確認する
ユーザー側がメールを送受信するために利用するのが、メールクライアントソフトです。
專用ソフトウェアとして利用されるものと、Webブラウザを利用してWebサバー側でメールの送受信を行なうものがあります。
メールを送信する場合は、送信に利用するメールサーバーのドメイン名が相手先に送られます。
メールを受信した場合、メールのヘッダーを見ることで、そのメールがどこのメールサーバーからいつ送られてきたものかを確認できるようになっています。
ヘッダー例
三つの部分に分けて読むことができます。
① Delivered-To:Matumoto@gmail.com
Received:by10.36.81.3with SMTP id e3cs239nzb:Tue24Dec 2017 15:11:47-0800(PST)
Return-path:
Received: from mail.emailprovider.co.jp(mail.emailprovider.co.jp[11.11.111.111])by
mx.gmail.com with SMTP id hl9si826631rnb,
2017.12.24. 15.11.46:Tue24Dec 2017 15:11:47‐0800(PST)
② Message-ID:20171224231145.62086.mail@mailemailprovider.co.jp
Received: from[11.11.111.111]by mail.emailprovider.co.jp via HTTP;Tue.
24Dec 2017 15: 11:45PST
③ Date:Tue.24Dec 2017 15:11:45-0800(PST)
From:Mr Takahashi
Subject:Hello
To:Mr Matumoto
①の部分は送信者Takahashiさんがメール送信時に記入した送信者、件名、宛先とこのメールを出した日付。
②はメールサーバmail.emailprovider.co.1pで受信したこと。
③はmx.gmail.co.ipのメールサーバーでこのメールが受信されたことが、受信日時やメールサーバのIPアドレスとともにわかります。
メールヘッダを確認することで、フィッシングメールかどうかある程度判断することができます。
③の部分には送信元のメールサーバーのIPアドレスが示されていますが、これはある程度地域に依存した割り振りがなされています。
そのため、送信元のメールサーバーがある地域と、メール本文から想定される地域(例えば日本国内)とがまったく別の国であった場合、これは怪しいメールであると考えられます。
時刻情報から推定することが可能です。
時刻情報はメールを発信した時刻の標準時間帯が示されています。
この例では、PST(PacificStandardTime) となっているのでアメリカ太平洋標準時を使っています。
もし送信メールサーバーが日本国内に存在するのなら、JST(JapanStandardTime) と書かれているはずです。
郵便物の消印が不自然であることから、手紙やはがきが怪しいと気付くことができるのと同じです。
これらは、攻撃者がなりすましメールを送ってきたことに気付くための方法ですが、メールシステムそのものを乗っ取られて送信されたり、メール本文とこれを送るメールサーバーの地域特性を判断するのが難しい場合には必ずしも有効な方法ではありません。
メールヘッダーを確認することで、怪しいメールかどうかをある程度確認することは出来ますが限界があります。
このような判別は、可能な限り自動化する必要があるといえます。