ほとんどすべての人からの電子メールを5分以内に偽装し、保護する方法

メール認証とは何ですか？

過去40年のほとんどの間、ユーザーはメールを開くたびに信頼を得る必要がありました。 手紙は本当に送信者にリストされている人から来ていると思いますか？ ほとんどの人は簡単に「はい」と答えます。実際、ほとんどすべての送信者からの電子メールを偽装することがどれほど簡単かを知ると非常に驚くでしょう。



インターネットを作成する際、送信者の身元を確認する方法は元々開発されていませんでした。 コアメールプロトコルの開発中、コンピューティング能力、実装、および使いやすさのコストは、詐欺のリスクとバランスが取れていました。 将来のすべての電子メールの84％が悪意のあるものであり、フィッシングまたはスパムであると想定することは困難でした。



その結果、From：およびReply-to：フィールドを含むメッセージヘッダーは非常に簡単に偽造されます。 場合によっては、「From：」フィールドに「john@company.com」と入力するだけで簡単です。 これに疑いのないコンテンツ、説得力のあるグラフィックス、フォーマットを組み合わせることで、メールボックスのメッセージが実際に銀行、連邦税務局、米国の大統領または大統領から来たと思われる人々を欺くことができます。







電子メールの普遍性を考えると、現在の情報セキュリティ危機の基礎を知っています。 電子メールの脆弱性により、悪意のあるリンクをクリックする、悪意のあるファイルをダウンロードして開く、W-2フォーム（米国の2-NDFLに類似）を送信する、または犯罪者のアカウントに資金を転送することを目的としたフィッシング攻撃が数多く発生しています。



最近では、シリコンバレーの会社であるCoupaは、625人の従業員すべての給与データを詐欺師に送った後、注目を集めています。 昨年、ヨーロッパ最大の企業の1つであるLeoni AGは、従業員が偽のメールにより不正に詐欺師の口座に送金したため、4500万ドルを失いました。 FBIによると、「Business Email Compromise」（BEC）などのフィッシング攻撃は、米国企業に年間30億ドルのコストがかかります。



W-2形式のフィッシングファクトのリストは、databreaches.netにまとめられています。 今年のリストでの作業は、2016年以降の症例数が増加していることを示しており、現時点では204のレポートで構成されています 。 リストから、数千人の従業員からのデータの盗難の事例が知られており、このタイプの詐欺が非常に一般的であることが理解できます。

攻撃者が5分未満でほとんど誰からでも保護されていないメールを偽造する方法

実際、「送信元」フィールドの偽のアドレスは、ほとんどの攻撃の基礎と初期段階です。 同様の偽のドメイン（たとえば、c0mpany.com）を登録して使用することが可能なのに、条件付きの「company.com」からの電子メールを偽造することを心配するのはなぜですか。 または、Gmailアカウント（randomaddress1347356@gmail.com）を作成し、会社のCEOの名前のようなわかりやすい名前を付けますか？ 実際、実在の人物のアドレスからの手紙の送信は、偽のドメインを登録したり、Gmailアカウントを作成したりするよりも簡単です。

3つの簡単な方法

インターネットでは、偽の手紙を送信できるサイトを簡単に見つけることができます。 spoofbox.comとanonymailer.netという数十の例があります。 それらの多くは無料で、いくらか費用がかかり、これらのサービスは正当なものとして位置付けられ、使用の主な目的は友人を引き寄せることです。



使用アルゴリズムは簡単です。 受信者の電子メールアドレスを[宛先]フィールドに入力し、[送信者]フィールドに任意の電子メールアドレスを入力するだけで、メッセージを作成した後、送信を確認できます。 ユーザー契約の条件では、損害に対する責任は完全にサービスの顧客にあります。



次の方法は、 UNIXコマンドラインを使用して送信することです。 メールサービスが構成されたコンピューターがある場合は、次のコマンドを入力します。



mail -aFrom:whatever@anydomain.com







結果は、「From」フィールドに「any@anydomain.com」が含まれるメッセージです。 件名とメッセージの残りの部分を入力すると、Ctrl + Dを押した後、メッセージが受信者に送信されます。 このアイデアの有用性は、システムの構成方法によって異なります。 ただし、多くの場合に機能します。



PHPを使用すると、数行の非常に単純なコードでメールを作成できます。

 <?php $to = 'nobody@example.com'; $subject = 'the subject'; $message = 'hello'; $headers = 'From: webmaster@example.com' . "\r\n" . 'Reply-To: webmaster@example.com' . "\r\n" . 'X-Mailer: PHP/' . phpversion(); mail($to, $subject, $message, $headers); ?>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

実際、これらは、追加の/ヘッダーヘッダーを持つメール送信（）関数のオンラインマニュアルで例として使用されているコード行です。



これらのなりすましツールは大幅に簡素化されています。 メッセージをよりリアルにするには、もう少し作業が必要です。もちろん、ソーシャルエンジニアリングのスキルも必要です。 しかし、主要な技術コンポーネントは非常に単純です。 スプーフィングを本当に防止する唯一のものは、SPFレコード、DKIM署名、およびDMARCを共有することによる電子メール認証です。 次に、これらのテクノロジーがどのように機能し、どのように異なるかを説明します。 これらは新しいものではありませんが、幸いなことに詐欺師にとっては、インターネット上のほとんどのドメインはまだ保護されていません。 たとえば、.govドメインの約4％のみが認証を使用します。 他の96％はどうですか？ 攻撃者は、これらのドメインのメールボックスから送信されるように装ったメールをいつでも送信できます。



情報源によると、.govドメインからの4つの電子メールの1つは詐欺です。 ドメインjustice.gov、House.gov、Senate.gov、Whitehouse.gov、およびdemocrats.org、dnc.org、gop.com、rnc.org。 とDonaldJTrump.com-これらはすべて、電子メール詐欺師によるなりすましに簡単に使用できます。

なりすましから保護する方法

上記の認証なしで電子メールの脆弱性を使用するシンプルさと、最大のサイバー攻撃の初期段階としてこれらの方法を広く使用することにより、ITコミュニティは電子メール認証テクノロジーを使用する必要性に焦点を当てています。 電子メール認証を実装することにより、電子メールを受信するすべてのユーザー（従業員、顧客、またはパートナー）が、電子メールが会社の正当な代表者によって送信されたかどうかを判断できるようになります。 さらに、ユーザーに代わってメールを送信するユーザーを透明にし、制御できます。



クラウドサービス（ SaaS ）の急速な成長により、この重要性は劇的に高まりました。クラウドサービス（ SaaS ）の1万人以上が、販売、マーケティング、カスタマーサポート、HR、経理、法律、その他のサービスを対象に、クライアントに代わってメールを送信しています。 強制認証のおかげで、スパム送信者、フィッシング詐欺者、さらには正当なものの許可リストに載っていない「グレー」の送信者など、あなたに代わってメールを送信しようとしている人をブロックできます。



メール認証基準により、メールサーバーは、差出人：フィールドにドメインを含むメールがユーザーに代わって送信できることを確認できます。 メッセージが受信者の受信トレイに到達する前に、メールサーバーは次のことを確認できます。

• SPFレコードを使用して、送信サーバーはメッセージヘッダーで指定されたドメイン名を使用する権利を持っていますか？
• ドメインのDNSレコードのオープンバージョンのキーを使用して、暗号化されたDKIM署名がメッセージに添付されている場合、着信メッセージのヘッダーを解読し、宣言された送信者からのメッセージかどうかを確認できます。
• DMARCのセットアップにより、ドメイン所有者は認証されていないドメインから受信したメールを処理するためのルールを作成し、ヘッダーが互いに一致するかどうかを確認できます（たとえば、From：およびReply-to :)フィールド。 ルールには、受信サーバーが認証されていないメッセージをどのように処理するかに関する指示が含まれています。たとえば、メッセージをスキップしたり、スパムフォルダーに入れたり、潜在的に危険とマークしたりしません。 電子メール認証により、ドメイン所有者は、誰にでも代わって送信されたメッセージの処理をグローバルに制御できます。 たとえば、メール送信ドメインを代表し、情報を要求するDMARCレコードを公開すると、ドメインからの返信アドレスが付いたすべてのメールメッセージに関するDMARCをサポートするすべての受信者ドメインから統計情報を受け取ります。 統計はXMLで提供され、ドメインによって署名された各送信者のIPアドレス、各IPアドレスからのメッセージ数、これらのメッセージをDMARCルールに従って処理した結果、SPF結果、DKIM結果が含まれます。

なぜこれらの技術の共有が必要なのですか？

簡単に言うと、SPFを使用すると、IPアドレスのホワイトリストを作成できます。 リストにないIPアドレスを持つメールサーバーがドメインを使用して電子メールを送信しようとすると、SPF認証テストは失敗します。 ただし、SPFの大きな問題は、ユーザーが実際に読み取るFromフィールドではなく、Return-Pathフィールドで指定されたドメインを認証に使用することです。



さらに悪いことに、フィッシング攻撃者は自分のドメインにSPFレコードを設定できます。 その後、信頼できる会社またはブランドから送信されたように見えるメールを送信できますが、その会社のドメインは[差出人]フィールドに表示され、不正のドメインはReturn-Pathに表示されます。 そのような電子メールはSPFによって認証されます。 DMARCをさらに使用すると、ドメイン所有者が「調整」を要求できるようになり、この問題が解決されます。つまり、戻りアドレスと送信アドレスは同じでなければなりません。



SPFレコードはテキストですが、構文はかなり複雑です。 検出が難しいタイプミスは簡単に作成できます。 同時に、SPFレコードが役に立たなくなります。 2017年のRSA会議の62のスポンサーすべてのSPFレコードを分析した結果、公開されたSPFは58のみでしたが、サイバーセキュリティに関する会議の17のスポンサーには記録エラーがありました。 IT分野の経験があまりない企業では、SPFがさらに複雑になることがよくあります。



また、DKIMは、DMARCを使用しない詐欺に対して特に効果的ではありません。 フィッシングを停止するには、最も重要なアドレスは[差出人]フィールドのドメインです。 ただし、DKIM署名のみをチェックしても、このフィールドのドメインについては何も言われません。 メッセージの署名に使用されるドメインは、[差出人]フィールドで指定されたドメインとは完全に異なる場合があります。 つまり、ハッカーは制御するドメインを使用してDKIMで署名されたメッセージを作成できますが、銀行のメールは[差出人]フィールドに表示されます。 ほとんどの人は、DKIM署名データが正当であることを確認するために、すべての着信メッセージのヘッダーを詳しく調べることはありません。 また、送信者に代わってメールを送信できる多数の正当なメールサービスと、メッセージの署名に使用される秘密キーの機密性を維持する問題を考慮する価値があります。



これらの2つの初期の標準は重要ですが、重要なギャップが含まれています。 DMARCはそれらの上に構築され、それらを補完します。 DMARCは、独自のメールサーバーからメールを受信するか、メールの送信を許可するクラウドサービスにかかわらず、送信するメールの信頼性を大幅に向上させます。







DMARCの主な貢献は次のとおりです。

1. 認証されていない電子メール（何も、検疫または拒否）の処理を受信者の電子メールサーバーに指示するポリシーの構成
2. レポートメカニズムを提供します。

ポリシーとフィードバックのメカニズムを持つことが、すべてを機能させるものです。



サービスを使用してDMARCが構成されていることを確認できます

→ mxtoolbox.com

→ mail-tester.comなど。



この記事は、ソースからの翻訳に基づいています：

→ 5分以内にほぼ誰からでもメールを偽装する方法

→ メール認証とは？

→ SPFとは？

→ DKIMとは？

→ DMARCとは？



Habrahabrの関連記事：

→ ロシアの主要銀行からの手紙を偽造

→ DKIM / SPF / DMARCレコードを設定するか、なりすましから防御する

→ Sberbankにドメインの誤ったSPFレコードがあるのはなぜですか？

→ 企業ドメインをなりすましから保護するためのDMARCの導入