aaaiiuie

学習(備忘録)のため運用

情報処理安全確保支援士 3.4 電子メールの脆弱性と対策

電子メールを実装しているSMTP(Simple Mail Transer Protocol)やPOP3(Post Office Protocol Vershion3)はDNSやHTTPと並んで古くから普及しているサービスである。古くから使われている分、プロトコルの使用や実装において数多くのセキュリティ上の問題点が指摘されている。ここではSMTPやPOP3の使用と実装における脆弱性について解説する。

3.4.1 SMTPの脆弱性

メールの利用において、近年最も大きな問題となっているはインターネット上を常に飛び交っている膨大な迷惑メール(スパムメール)である。全世界で発信されているメールのうち、実に80%がスパムメールと言われている。これほどまでにスパムメールが横行する原因となっているのが、旧バージョンのメールサーバソフトの仕様における脆弱性(次に挙げる1、2)である。
なお、迷惑メールはスパムメールのほか、UBE(Unsolicited Bulk Email)、UCE(Unsolicited Commercial Email)とも呼ばれ、宣伝や嫌がらせなどの目的で不特定多数に大量に送信されるメール全般を指す。迷惑メールの多くが送信元のメールアドレスを詐称するUBEであり、第三者中継を許可している複数のサーバを経由して配信されるケースが多い。
SMTPの脆弱性については次のようなものがある。

①メールの投稿や中継などがすべて同じ仕組みで行われている

旧バージョンのメールサーバソフトウェアでは、MSAの機能は特に使用されておらずMUAからのメール送信要求(メールの投稿)の処理も、メールサーバ間でのメール中継(転送)処理も区別なく、すべてMTAが25番ポートで同様に処理していた。また、旧バージョンのメールサーバソフトウェアの標準設定では、ドメイン名などの制限がなく、誰からのメール投稿であっても受け付けるようになっていた。

②メールの渡航にあたってユーザーを承認する仕組みがない

広く普及しているメールサーバソフトウェアの旧バージョンでは、メールの投稿にあたってユーザーを認証する仕組みがなかった。そのため、発信元のメールアドレスの訴訟が堂々と行われるほか、本来受け付ける必要のない組織外の第三者から別の第三者へのメール投稿を受け付け、中継してしまう。これを第三者中継(Third-Party Mail Relay)という。なお、第三者中継をオープンリレー、それを行うSMTPサーバをオープンリレーサーバー(SMTP)と呼ぶ。現在、一般的に普及しているメールサーバソフトウェアでは、御術するSMTP-AUTHが実装されているため、メールの投稿にあたってユーザー認証を行うことが可能である。
インターネットと内部ネットワークの境界でメールの中継を行う一般的なMTA(SMTPサーバ)は、本来、次の条件に合致するメールのみを中継すれば良いはずである。

  • 自分のサイト内のユーザーが任意のアドレス宛に発信するメール(発信元メールアドレスに自分のドメイン名が含まれているもの)
  • 任意のアドレスから自分のサイト内のhユーザー宛に送られてくるメール(宛先メールアドレスに自分のサイトのドメイン名が含まれているもの)
正常なメール中継の例
第三者中継の例

ところが、第三者中継では、自分のサイトとは関係のないダイン車(発信者)が、自分のサイトとは関係のない別の第三者にメールを中継させようとしているため、発信元メールアドレス、宛先メールあどれすともに自分のサイトとは関係のないドメイン名になっている。

中継の対象となるメール発信元メールアドレスと宛先メールアドレスによって、この条件に合致するか否かは用意に確認可能であるため、それによって不要なメールの中継を拒否すれば良いだけである。しかし、実際には上記の条件に合致しないメールであっても無条件に中継してしまうメールサーバ(オープンリレーサーバ)がインターネット上にまだ数多く存在しているため、スパマー(スパムメールの発信者)の踏み台となり、スパムメールの中継に悪用されている。
このようなオープンリレーサーバは、スパムメールの発信源として、RBL.jp(Realtime Blackhole List Japan)などのブラックリストに登録される可能性がある。メールサーバがこのようなブラックリストに登録されると、当該メールサーバから送信されるメールがブラックリストを利用しているメールサーバで受信拒否されてしまうことになる。
また、NDR(Non-Delivery Report:配送不能通知)メールを悪用してスパムメールを送りつける手法もある。NDRメールは、送信先のメールアドレスが存在せず、正常に送信できんかった場合に、それを通知するために、送信できなかったメールを添付して送信元アドレスに送られる。この機能を悪用し、スパマーは送信元アドレスをスパムメールの送信先となるようにアドレスを詐称した上で、意図的に配送不能となるメールを踏み台となるメールサーバ宛に送りつける。すると、詐称された送信もとアドレス宛にNDRメール(NDRスパム)が送りつけられることになる。NDRメールの受信者は自分が送ったどのメールが配送不能になったのかを確認するために、届いたNDRメールを開く可能性が高い。スパマーはそれを狙ってNDRメールに不正なリンクやマルウェアを仕掛けたりする。
この手法への対策として、NDRスパムの発信源とならないためにNDRメールを送信しないように設定したり、NDRスパムを遮断するためにNDRメールをすべてフィルタリングしたりする方法などがあるが、こうした対策を行うとNDRメール本来の目的は達成できなくなってしまう。

③メール暗号化機能が標準装備されていないため、平文でネットワークを流れる

SMTPにはメールを暗号化する機能がないため、暗いなとアプリケーションがわで暗号化を行わない限り平文でネットワーク中を流れる。したがってパケット盗聴によってメールの内容が漏洩したり、メールの内容を改竄されたりする可能性がある。

④MTAの実装・設定によってユーザーのメールアカウント情報が漏洩する可能性がある

一般的なMTAにはVRFY、EXPNというコマンドが存在する。これらのコマンドを使用することで、そのサーバにおけるメールアカウントの有無や(メールアカウント名がエイリアスの場合の)メールの実際の配送先情報を確認することができる。

⑤MTAの種類、バージョンによってBOF攻撃を受ける脆弱性がある

MTAの中には非常に古くから使われているものがあり、特に旧バージョンのMTAにはBOF攻撃を受ける脆弱性など数多くの脆弱性が報告されている。