DMARCとMailsploitについて

2017年12月、Mailsploit と呼ばれるメールクライアントの脆弱性が発見されたと話題になりました。当初、この脆弱性の影響を受けるメールクライアントが多く確認されていたため、日本国内でもインターネットメディアを中心にニュースとなりました。

Mailsploit
https://www.mailsploit.com/index
メール送信者を偽装できる脆弱性「Mailsploit」が発見される、多くのメールクライアントに影響(INTERNET Watch)
https://internet.watch.impress.co.jp/docs/news/1095692.html
送信元を偽装できる脆弱性Mailsploit、30以上のメールソフトに影響(ITPro)
http://itpro.nikkeibp.co.jp/atcl/news/17/120802829/
送信者を偽装できる脆弱性「Mailsploit」について(JPCERT/CC)
https://www.jpcert.or.jp/newsflash/2017120701.html

Mailsploitはなりすまし手法の一つでもありますので、簡単に解説をしたいと思います。

Mailsploitが詐称すること

ニュースサイトでも解説されていますが、この脆弱性はFromヘッダーの主にローカルパートと呼ばれる@マークより前方の部分に細工をする手口です。これによってRFC1342*1に規定された方法で制御文字(0x00 や 0x0a など)を埋め込み、メールクライアントの表示プログラムを騙すというものです。多くのメールクライアントでは、送信者名としてFromヘッダーの表示名だけを表示する仕様があり、今回のMailsploitによる詐称手口はいわゆるディスプレイネームなりすましの一種と考えられています。

メールクライアントでユーザを騙す手法は非常に簡単かつ効果的であり、古くから悪用されてきたものです。Mailsploitのような細工をしなくても、ディスプレイネームの中にディスプレイネームとメールアドレスを含めるだけで一部のメールクライアントの表示を不適切な表示にすることができたりします。まずはMailsploitについて、報告されているメールクライアントで対策が取られるのを期待しています。

DMARCとMailsploit

今回のMailsploitのニュースの多くは送信ドメイン認証、特にDMARCへの影響に言及しているケースがありました。DMARCがFromヘッダーを利用して認証することに間違いはありませんが、実際にはその中でもメールアドレスのドメイン(@マークよりも後方の部分)に注目しています。そのため、メールクライアントの表示に関する脆弱性は基本的にDMARCには影響がありません。

DMARCの詳しい情報については「DMARC 詳細仕様-1」をご参照ください。

DMARCは銀の弾丸ではない

また、なりすましメールを見破るために送信ドメイン認証DMARCは非常に役立つ技術ですが、それだけでは全てのなりすまし手法に対抗できるわけではありません。Mailsploitのようにメールクライアントやディスプレイネームをなりすます手法、似せたドメインを利用した手法もあります。様々な対策を実施することが重要になっているのです。

様々ななりすましについては「いろんなセキュリティ脅威となりすまし」をご参照ください。