Gmailスプーフィング:詐欺師がGmailのBIMI識別子になりすます
SPFの一致だけで表示されていたGmailのBIMIの検証を突かれる
2024年2月16日
著者: Ahona Rudra
翻訳: 竹洞 陽一郎
この記事はPowerDMARCのブログ記事 The Role of DKIM in Email Marketing の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
新しいセキュリティ警告が、Googleの18億人のGmailユーザに対して発行されました。
これは、Gmail BIMI認証システムにおける脆弱性のためです。
詐欺師たちはこのセキュリティ機能を悪用し、ユーザを危険にさらしています。
この記事では、最近のGmailのセキュリティケースに関連する発見、緩和努力、および防止方法について探ります。
また、PowerDMARCの役割についても言及し、スプーフィング攻撃の防止方法についても説明します。
発見: GmailのBIMI識別子の悪用
Gmailのセキュリティは常にその最大の売りの一つでしたが、最近その重要なセキュリティ機能の一つに重大な脆弱性が発見されました。
先月、GoogleはGmailのBIMIチェックマークシステムを導入し、ユーザが正当なメールと詐欺師が送信するスキャムメールを区別できるようにしました。
しかし、詐欺師たちはこのシステムを悪用する方法を見つけ、Gmailの18億人のユーザを危険にさらしました。
フィッシングやなりすまし攻撃を防ぐための解決策として導入されたこのGmailの青い認証チェックマークシステムは、正当な企業や組織を青いチェックマークでユーザに示します。
このシステムは、ユーザに自信を持たせ、正当なメールと詐欺師が送信する可能性のあるメールを区別できるようにすることを目的としていました。
しかし、詐欺師たちはこのシステムを操作することに成功しました。
緩和: Googleは問題を認める
GmailのサイバーセキュリティエンジニアであるChris Plummerが、最初にGmailのBIMIシステムの操作を見つけました。
詐欺師たちは、偽のブランドを正当なものとして認識させることで、このシステムを回避しました。
Plummerは直ちにGoogleにこの発見を報告し、脆弱性に迅速に対処することを期待しました。
しかし、Googleは最初、この発見を「意図された行動」として却下し、セキュリティ専門家やユーザの間に不満を引き起こしました。
Plummerのツイートによる注目とその後の問題の拡散のおかげで、Googleは問題の重大性を認識しました。
同社はこのエラーを認め、最優先の修正項目として分類しました。
Googleのセキュリティチームは、Plummerに感謝の意を表し、この問題の解決に取り組んでいることをユーザコミュニティに保証しました。
防止: 解決に向けて取り組む
Gmailのセキュリティチームは、GmailのBIMI認証システムの欠陥に積極的に取り組んでいます。 彼らは引き起こされた混乱に対して謝罪し、問題の迅速な解決に全力を尽くすことを表明しました。
修正は進行中であり、Gmailのセキュリティチームは評価と問題解決の方向性についてユーザに情報を提供することを目指しています。
修正を待つ間、Gmailのユーザは不審なメールに対して警戒し、注意を払う必要があります。
更新: 問題の範囲を理解する
最近のGmailのロゴ検証システムの調査により、詐欺師がそれをどのように悪用するか、他のメールサービスに対する影響について明らかにされました。
GmailのセキュリティチームのデバッガであるJonathan Rudenbergは、Gmailでのハックを再現し、他の主要なメールサービスも同様の攻撃に対して脆弱であることを示しました。
Rudenbergは、Gmailのメッセージ識別のためのブランドインジケータ(BIMI)の実装が、送信者ポリシーフレームワーク(SPF)と一致するだけでよいことを発見しましたが、ドメインキー識別メール(DKIM)の署名は任意のドメインからでも可能です。
この誤設定により、BIMI対応ドメインのSPFレコードにある共有または誤設定されたメールサーバが、Gmailで完全なBIMI処理を伴うスプーフィングメールの送信経路となる可能性があります。
他の主要なメールサービスにおけるBIMI実装の調査では、以下のことが明らかになりました。
- iCloudはDKIMがFromドメインと一致することを適切にチェックします。
- Yahooは、高評価のバルク送信にのみBIMI処理を適用します。
- Fastmailは脆弱ですが、Gravatarをサポートしており、両方に同じ処理を適用するため、影響を最小限に抑えます。
- Apple Mail + Fastmailは危険な処理に対して脆弱です。
これらの発見は、複数のメールサービス全体で詐欺師が脆弱性を悪用するのを防ぐために、強化されたセキュリティ対策の必要性を強調しています。
更新: Googleの対応と即時行動
Googleの広報チームは、Gmailの検証ハックに関するさらなる詳細を提供しました。
問題は、悪意のある行為者が実際よりも信頼できるように見せかけることを可能にするサードパーティのセキュリティ脆弱性に起因しています。
ユーザの安全を確保するために、Googleは現在、送信者がブランドインジケータ(青いチェックマーク)ステータスを取得するために、より強力なドメインキー識別メール(DKIM)認証標準を使用することを要求しています。
DKIMは、より強力な認証レベルを提供し、スプーフィング攻撃を防ぐのに役立ちます。
Googleは、脆弱性に対処する修正が週末までに完全に展開されることをユーザに保証しました。
この問題の迅速な特定と解決は、ユーザのセキュリティに対するGoogleのコミットメントを示しています。
しかし、Googleは簡単に悪用されるサードパーティサービス上に検証システムを構築した責任を負うべきです。
複数の観察者はこの点を強調し、ユーザの信頼と安全を維持するために漏れのない検証システムの必要性を指摘しています。
スプーフィングとPowerDMARC: 攻撃からの保護
スプーフィングは、詐欺師やハッカーがユーザに正当な送信者からのメールだと信じ込ませるために使用する技術です。
スプーフィングされたメールは、財務損失や個人情報の漏洩などの壊滅的な結果を招くことがあります。
スプーフィング攻撃を防ぐには、堅牢なメール認証対策が必要です。
その一つの解決策がPowerDMARCです。
PowerDMARCは、スプーフィング攻撃に対する高度な保護を提供する包括的なメールセキュリティプラットフォームです。
PowerDMARCは、DMARC(Domain-based Message Authentication, Reporting, and Conformance)、SPF(Sender Policy Framework)、およびDKIM(DomainKeys Identified Mail)などの業界標準のメール認証プロトコルを実装しています。
これらのプロトコルは協力して、メールの真正性を検証し、正当なドメインをスプーフィングする不正送信者を防ぎます。
PowerDMARCを実装することで、組織はスプーフィングインシデントのリスクを大幅に減少させ、ユーザを詐欺やフィッシングの試みから保護することができます。
PowerDMARCはリアルタイムのメール認証とレポートを提供し、組織がメールエコシステムを監視し、不正送信者を特定し、リスクを軽減するために即時の行動を取ることができるようにします。
結論: 進化する脅威に対抗してセキュリティを優先する
最近のGmailの脆弱性に関するセキュリティ警告は、進化する脅威に対して警戒を続ける重要性を強調しています。
Googleが脆弱性の修正に積極的に取り組んでいる間、ユーザは潜在的な詐欺から自分を守るために注意を払い、追加のセキュリティ対策を講じる必要があります。
PowerDMARCを活用することで、組織はメールセキュリティを強化し、ユーザにとって安全なデジタル環境を確保できます。
警戒を怠らず、慎重に考え、すべてのメールのやり取りにおいてセキュリティを優先してください。