大規模なフィッシング攻撃では、Proofpoint の電子メール フィルタリング システムのセキュリティ上の盲点を悪用し、ディズニー、IBM、ナイキ、ベスト バイ、コカコーラ (いずれも Proofpoint の顧客) を装った「完全に偽装された」メッセージを 1 日平均 300 万件送信しました。
被害者の側から見れば、彼らは大企業から本物のメールを受け取っていた。メールには適切に認証された Sender Policy Framework (SPF) と DomainKeys Identified Mail (DKIM) 署名が付いており、ユーザーとそのメール アプリにはメールが正当で信頼できるものであることが示されていた。
例えば、偽メールは、オンラインサブスクリプションを特別に低価格で更新できると謳い、クレジットカード情報を盗み取ろうとする悪質なサイトへ誘導しようとします。しかし、カード情報を入力した人には、実際には何の見返りもなく、毎月100倍以上の請求が来るのです。
Guardio Securityによると、このスパム攻撃は1月から6月まで行われ、ピーク時には24時間以内に1,400万通の不正メールが送信されたという。Guardio Securityは5月にセキュリティツールメーカーのProofpointにこの脆弱性を指摘し、その後の影響緩和に協力した。
グアルディオ氏はこのキャンペーンを「エコースプーフィング」と名付けた。これは、このスパムがプルーフポイント自身が所有・運営する電子メール中継サーバーから「エコー」されたものだったためである。
3月下旬にスパム攻撃を発見したと発表しているプルーフポイント社は、悪意のある人物が同社の顧客のMicrosoft 365アカウントを「少数」悪用したことを認め、「この問題によってプルーフポイント社の顧客データが漏洩したわけではなく、その結果、顧客がデータ損失を経験したわけでもない」と付け加えた。
- マルウェア集団「スターゲイザーズ・ゴブリン」が3,000のGitHubアカウントを使って金儲け
- Lumma 情報窃盗マルウェアを拡散する偽の CrowdStrike ドメインにご注意ください
- マルウェアのスイスアーミーナイフとも言えるDarkGateは、ライバルのQbotが壊滅したことで人気が急上昇している。
- スパムブロックリストSORBSは所有者Proofpointによって閉鎖されました
スパマーは、デフォルトで安全ではないProofpointのメールルーティング機能を悪用し、大手企業の有効なSPFおよびDKIM署名付きのメッセージをProofpointのメールリレー経由で送信していました。ディズニーのような大規模組織は、メール処理にMicrosoft 365を使用していますが、受信メッセージと送信メッセージをセキュリティフィルターとして機能するProofpointのシステムを経由してルーティングしています。
重要なのは、Proofpointフィルタリングを導入したディズニーの設定により、Proofpoint経由で送信されるメールは、受信者にとって、正しいSPF署名とDKIM署名がすべて付与された、ディズニーから正式に送信されたメールであるかのように見えるという点です。このレベルの信頼性こそが、スパマーが正規のメールに見えるメッセージを送信するために悪用した理由です。
簡単に言えば、犯罪者は 1 つ以上の不正な SMTP サーバーからメールをスパム送信し、それを自分の Microsoft 365 テナント アカウント経由で Proofpoint に転送中継するだけで済みます。
この時点で、これらのメールはすべて、例えばディズニーから送信されたように見せかけるために、粗雑で説得力のない偽装が施されることになります。これらの偽メッセージが明らかに偽物であり、ディズニー以外のサーバーから送信されたとしても、Proofpointは問題になりません。Microsoft 365から届いたメールを検知し、本当にディズニーから送信されたと判断し、正しいセキュリティ署名をすべて追加したメールをスパム受信者にエコー送信するのです。
EchoSpoof攻撃のフローチャート…出典:Guardio – クリックして拡大
なぜProofpointはこのような事態を許したのでしょうか? 影響を受ける顧客はそれぞれ、ProofpointのフィルタリングサービスとMicrosoft 365の連携を有効にしていたものの、誰が自分としてその製品経由でメールを送信できるかを厳密に制限していなかったからです。Proofpointは次のように述べています。
あるいは、Guardio氏の説明によると、ルーティング機能はデフォルトでは安全ではなく、強化するには設定を少しいじる必要があり、Proofpointの顧客はこれに気づいていなかったという。「Proofpointアカウントに特定のルールを追加することで、不明な送信元からのメールやその他の特定のヘッダーやプロパティを手動でフィルタリングし、このようななりすましやその他の種類のなりすましを防ぐことができます。」
「しかし、このプロセスは完全に手動で、カスタムルール、スクリプト、メンテナンスが必要です…ほとんどの顧客はそもそもこれに気づいておらず、デフォルトのオプションはまったく安全ではありませんでした。」
これに対処するため、Proofpoint は構成システムを改訂したと述べています。
数百万件ものスパムメッセージがYahoo、Gmail、GMX.comなどのユーザーに送信されました。Guardio氏によると、これらのスパムメールは主にフランスのクラウドサービスOVHでホストされ、PowerMTAメール配信ソフトウェアで管理されている仮想プライベートサーバーから送信されていました。
ちなみに、Guardio 氏は、Microsoft が何百万ものスパム メールを自社の転送リレー経由で流すことを盲目的に許可しないかもしれないと示唆したが、それはまた別の話だ。
Proofpoint 社は、この攻撃の分析の中で、スパマーがリレーメッセージを転送するために使用する Microsoft テナントのリストを公開しました。
「このブログの公開時点では、多くのアカウントがまだアクティブです」と電子メールセキュリティベンダーは警告し、これらのアカウントが自社のサーバーを経由して中継しようとする試みを自動的にブロックする措置を講じたと指摘した。®
