(2017/12/08)外部から頂いた情報を元に、「Mailsploit」に関する説明について追記いたしました。
複数のメールクライアントに「Mailsploit」と呼ばれる脆弱性が見つかったと話題になっています。この脆弱性は発見者から以下の Web ページにて注意が呼び掛けられています。同ページで指摘されている挙動は、一部の製品においてJPCERT/CCでも確認しています。
Mailsploit
https://www.mailsploit.com/
「Mailsploit」が悪用された場合、DMARC やスパムメールのフィルターといった、今までのメール偽装対策で有効とされていた方法でブロックされることなく偽装したメールを送ることができる可能性があり、不審なメールを見分けることが難しくなるケースが考えられます。また、メールヘッダーに ASCII 文字以外の文字を入れるとそれ以降の文字処理が行われないという問題があり、この問題を悪用することで、従来の対策で検知されることなく送信者を偽装することができます。
(2017/12/08 追記)============================
「Mailsploit」は、受信側メールクライアントで受け取ったメール送信者の表示名を偽装する手法を用いています。DMARC やスパムメールフィルターがチェックするアドレスは、実際の送信元アドレスであるため、DMARC で用いられている DKIM の検証では偽装と判断できないケースがあります。さらに、「Mailsploit」によって、メールの送信元の表示名が書き換えられているため、受信者が不審なメールを見分けることが難しくなります。
=========================================
発見者は、この脆弱性について各ベンダーへ既に報告をしているとのことです。発見者の公開している情報によると、本脆弱性について、既に対応済みの製品や現在対応中の製品、対応しない事を発表した製品があるとのことです。詳細については、各ベンダーの情報をご参照ください。また、各ベンダーの対応が完了するまでの間は、以下のような対策をおすすめします。
・ 対応済みのメールクライアントを利用する
・ 不審なメールはメールヘッダーを確認する
・ PGP/GPG などの仕組みを利用する
・ 不審なメールはメールヘッダーを確認する
・ PGP/GPG などの仕組みを利用する
今回の件につきまして、当方までご提供いただける情報がございましたら、早期警戒グループまでご連絡ください。今後、一定の情報収集と分析が整った段階で注意喚起を発行する可能性があります。
早期警戒グループ
メールアドレス : ww-info@jpcert.or.jp
【参考情報】
影響を受ける製品について、発見者らが確認している一覧表が提示されています。
2017年12月7日12時現在 (日本時間) において、記されていた製品について、以下に掲載します。
⇒なお、JPCERT/CCでは、これらの製品すべてが実際に影響を受けるかどうかの確認はできていません。
Mailsploit:(https://mailsploit.com)内の一覧表の一部をJPCERT/CCにて原文直訳
メールクライアント | 対象環境 | Mailsploitの影響 | 対応状況 |
Apple Mail | iOS, MacOS | 有り | 対応中 |
Mozilla Thunderbird ≤ 52.5.0 SeaMonkey ≤ 2.4.8 |
MacOS, Windows | 有り | 対応しない |
Mail for Windows 10 | Windows | 有り | 対応中 |
Microsoft Outlook 2016 | MacOS, Windows | 有り | 対応中 |
Yahoo! Mail | iOS, Android | 有り | 修正済み(2017/10/19) |
Spark ≤ 1.4.1.392 | MacOS | 有り | 報告済み |
Spark | iOS | 有り | 報告済み |
ProtonMail | iOS, Android | 有り | 修正済み(2017/9/1) |
Polymail | MacOS | 有り | 報告済み |
Airmail ≤ 3.3.3 | MacOS | 有り | 報告済み |
BlueMail ≤ 1.9.2.62 | Android | 有り | 報告済み |
TypeApp | iOS, Android | 有り | 報告済み |
AquaMail | Android | 有り | 報告済み |
Opera Mail | MacOS, Windows | 有り | 対応しない |
Postbox ≤ 5.0.18 | MacOS, Windows | 有り | 報告済み |
Newton | Android, MacOS, Windows |
有り | 対応中 |
Guerrilla Mail | Android | 有り | 報告済み |
Email Exchange + by MailWise | Android | 有り | 報告済み |
AOL Mail | Android | 有り | 報告済み |
TouchMail | Windows | 有り | 報告済み |
Mailbird | Windows | 無し | |
Gmail / Inbox by Gmail | iOS, Android | 無し | |
eM Client | Windows | 無し | |
Claws Mail / Sylpheed | Windows | 無し | |
OE Classic | Windows | 無し |
Webメールクライアント | 対象環境 | Mailsploitの影響 | 対応状況 |
Hushmail | Web | 有り | 修正済み(2017/8/27) |
Openmailbox.org | Web | 有り | 修正済み(2017/8/27) |
Open Xchange (Mailbox.org) | Web | 有り | 修正済み(2017/9/25) |
ProtonMail | Web | 有り | 修正済み(2017/9/1) |
Yahoo! Mail (new interface in beta) | Web | 有り | 修正済み(2017/11/12までに) |
Mailfence | Web | 有り | 対応中 |
Microsoft Outlook Web | Web | 無し | |
Microsoft Exchange 2016 | Web | 無し | |
Microsoft Office 365 | Web | 無し | |
Gmail | Web | 無し | |
Fastmail | Web | 無し | |
GMX / Mail.com / 1&1 | Web | 無し |
サポートチケットシステム | 対象環境 | Mailsploitの影響 | 対応状況 |
Supportsystem | Web | 有り | 報告済み |
osTicket | Web | 有り | 報告済み |
Intercom | Web | 有り | 修正済み(2017/9/12) |
コミュニティで見つけた候補 | 対象環境 | Mailsploitの影響 | 対応状況 |
Vivaldi | Web | 有り | 報告済み |
K-9 Mail | Android | 有り | 報告済み |
MailMate | MacOS | 有り | 修正済み(2017/9/12) |
eM Client | Windows | 無し | |
Tutanota | Web | 無し | |
Sylpheed 3.6.0 | Linux | 有り(※) | |
Jolla Mail | Sailfish OS by JOLLA |
有り(※) | 報告済み |
RainLoop | Web | 有り(※) | 報告済み |
IBM Notes | Web | 有り(※) | |
IBM Verse | Web | 有り(※) | |
IBM Verse | iOS, Android | 有り(※) | |
NINE Email & Calendar | Android | 有り(※) | |
Roundcube | Web | 無し(※) | |
KMail | Linux | 無し(※) |
※発見者やベンダーが未確認