ニュース

メール送信者を偽装できる脆弱性「Mailsploit」が発見される、多くのメールクライアントに影響

 実装の不備を突いた方法で、メールの送信者を偽装できる脆弱性「Mailsploit」について、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が注意を喚起している。これまでメール偽装対策において有効とされていた送信元ドメイン認証技術「DMARC(Domain Message Authentication Reporting & Conformance)」や、スパムメールフィルターなどを用いる方法で、ブロックされずに送信者を偽装したメールを送信できる可能性がある。

 影響を受けるメールクライアントは、「Appleメール」のiOS/Mac版、「Windowsメール」のWindows 10版のほか、「Outlook 2016」、「Thunderbird」52.5.0以前、「Seamonkey」2.4.8以前の各Windows/Mac版など。Android/iOS版の「Gmail」アプリや、ウェブメールの「Gmail」、「Outlookメール」などは影響を受けない。

 JPCERT/CCでは、これにより不審なメールを見分けることが難しくなることが考えられるとしており、この脆弱性を回避するために以下の対策を推奨している。

  • 対応済みのメールクライアントを利用する
  • 不審なメールはメールヘッダーを確認する
  • PGP/GPGなどの仕組みを利用する

 脆弱性の発見者であるSabri Haddouche氏が公開したウェブページによれば、1992年に公開された「RFC 1342」を悪用し、また、メールヘッダーにASCII文字以外の文字を入れることで、それ以降の文字処理が行われない問題を悪用したものだという。