メール送信者を偽装できる脆弱性「Mailsploit」が発見される、多くのメールクライアントに影響

　実装の不備を突いた方法で、メールの送信者を偽装できる脆弱性「Mailsploit」について、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）が注意を喚起している。これまでメール偽装対策において有効とされていた送信元ドメイン認証技術「DMARC（Domain Message Authentication Reporting & Conformance）」や、スパムメールフィルターなどを用いる方法で、ブロックされずに送信者を偽装したメールを送信できる可能性がある。

　影響を受けるメールクライアントは、「Appleメール」のiOS/Mac版、「Windowsメール」のWindows 10版のほか、「Outlook 2016」、「Thunderbird」52.5.0以前、「Seamonkey」2.4.8以前の各Windows/Mac版など。Android/iOS版の「Gmail」アプリや、ウェブメールの「Gmail」、「Outlookメール」などは影響を受けない。

　JPCERT/CCでは、これにより不審なメールを見分けることが難しくなることが考えられるとしており、この脆弱性を回避するために以下の対策を推奨している。

• 対応済みのメールクライアントを利用する
• 不審なメールはメールヘッダーを確認する
• PGP/GPGなどの仕組みを利用する

　脆弱性の発見者であるSabri Haddouche氏が公開したウェブページによれば、1992年に公開された「RFC 1342」を悪用し、また、メールヘッダーにASCII文字以外の文字を入れることで、それ以降の文字処理が行われない問題を悪用したものだという。