by Divya Thakur

メールを受信した時点では無害なURLが記載されていたはずのメールを、後から遠隔操作することで、有害なURLに書き換えることができる手法が、セキュリティ研究者によって報告されました。これによってスパムフィルターやセキュリティーフィルターをかいくぐった攻撃が可能になります。

Introducing the ROPEMAKER Email Exploit | Mimecast Blog

https://www.mimecast.com/blog/2017/08/introducing-the-ropemaker-email-exploit/

Simple Exploit Allows Attackers to Modify Email Content - Even After It's Sent!

http://thehackernews.com/2017/08/change-email-content.html

Ropemaker(Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky/送信後のメールを遠隔操作してEメールを危険にさらす攻撃)と名付けられたこの手法は、セキュリティ企業Mimecastの研究者であるFrancisco Ribeiro氏によって報告されたもの。

Ribeiro氏はRopemakerによって、「攻撃者が自身の手で送ったメールに記載されているURLなどを、送信後、相手の受信箱に届いてから悪意のあるURLに置き換える」ということができると証明しました。これによって、受信者のコンピューターにダイレクトアクセスを求めることなく、スパムフィルターやセキュリティーフィルターをかいくぐってメールを届けることが可能になります。

MimecastのシニアプロダクトマーケティングマネージャーのMatthew Gardiner氏によると、Ropemakerはメールとウェブテクノロジーの共通部分、特にCSSやHTMLを悪用したものとのこと。「ウェブテクノロジーはテキストベースだったメールを視覚的に魅力的でダイナミックなものにしましたが、これが攻撃を可能にもしています」と語りました。

CSSを使ったメールは外部にある情報を読み込むため、メールが相手に届いた後でも、CSSを差し替えることで、受信者の手元にあるメールに表示されるURLを無害なものから悪意のあるものに変更することが可能。例えば、以下の受信箱では「GoodURL」という文字が入ったURLが表示されていますが……



遠隔操作することで、上記の文字を「BadURL」という文字に変更してしまいました。



Ropemakerによって、攻撃者は受信者を個人情報を搾取するウェブサイトに誘導するなどが可能になります。また、Ropemakerは攻撃者の創造性や技術によってバリエーションを生み出すことが可能で、例えば表形式でテキストを書いた上にCSSを使って「表示する部分」と「表示しない部分」を作り出すというマトリックス型の手法は、メールを受信した時点では「いかなるURLも記載されていない」という状態を作り出すことができるため、URL差し替え型よりも検知が難しくなるとのこと。

記事作成時点ではRopemakerを使った攻撃は発見されていないとのことですが、これは、「ただ検知されていないだけ」という可能性もあると指摘されています。Ropemakerによる攻撃にあわないためには、Gmail・iCloud・Outlookなど、ウェブベースのクライアントを使うことが推奨されています。