DKIMリプレイ攻撃とは?
最近、AppleやPayPalといった信頼できる企業からの正規のメッセージを悪用し、メールセキュリティを回避する巧妙な手口が確認されています。これはDKIMリプレイ攻撃として知られ、メール認証システムを悪用して、完全に正規に見える詐欺メールを配信するものです。
攻撃の手口
攻撃者は、Apple App StoreやPayPalなどのプラットフォームでアカウントを作成し、アカウント設定時にユーザーが制御できるフィールドを悪用します。例えば、Appleのサブスクリプション登録時に、「キャンセルするには+1 (803) 745-3821まで電話してください」といった詐欺の指示をアカウント名フィールドに挿入します。同様に、PayPalでは、請求書や紛争を作成する際に「販売者名」に悪意のあるコンテンツを追加します。
これらのプラットフォームは、攻撃者が挿入したテキストを含む確認メールを自動生成し、DKIM (DomainKeys Identified Mail) を使用して暗号署名を行います。セキュリティ企業INKYは、PayPal、Apple、DocuSign、HelloSignなどのベンダーからの正規の請求書や紛争通知で、このような攻撃が検出されたと報告しています。攻撃者はこの正規のメールを自身のメールアドレスで受信し、その後、被害者に転送します。元の署名はそのまま残るため、メッセージはDKIMとDMARCを含むすべての認証チェックを通過してしまうのです。
従来の防御策が機能しない理由
メールセキュリティシステムは、脅威検出のために認証シグナルに大きく依存しています。そのため、apple.comまたはpaypal.comから発信され、有効な暗号署名を持つメッセージは、セキュリティフィルターによって信頼できると判断されます。転送プロセスによってSPF (Sender Policy Framework) チェックは破られますが、DKIM署名が認証要件を満たすため、DMARCは依然として通過してしまいます。
これは、企業が特定のフィールドでのフリーフォームテキスト入力を許可しているために起こります。攻撃者は詐欺コンテンツを正規に署名されたメッセージに直接埋め込むことができ、このユーザー提供コンテンツは認証済みメール本文の一部となるため、従来のフィルターが正規の通知と区別することはほぼ不可能となります。
現実世界への影響と対策
INKYのセキュリティ研究者は、AppleとPayPalのメールを悪用するアクティブなキャンペーンを文書化しています。被害者は、適切なロゴ、書式、有効な認証を含む、Appleからのサブスクリプション確認またはPayPalからの紛争通知を装ったメールを受信します。唯一の危険信号は、「親愛なるお客様、キャンセルするにはお電話ください…」のような不自然な文言と電話番号です。
不審に思わないユーザーが記載された番号に電話すると、詐欺師に直接つながり、支払い詳細、個人情報が詐取されたり、リモートアクセスマルウェアのインストールを促されたりする可能性があります。受信者が信頼できるブランドからの通信を、特にメールシステムが認証を保証している場合に信用してしまうため、このような攻撃は成功しやすいのです。
組織や個人は、以下の対策を講じるべきです。
- メールヘッダーを注意深く調査し、「To:」アドレスが意図した受信者と一致するか確認すること。不一致は転送を示唆します。
- メール内の電話番号には懐疑的になること。正規の企業は、ユーザーを一方的な電話ではなく、公式ウェブサイトに誘導します。
- 従業員は、信頼できるドメインからの認証済みメールでも、攻撃者によって挿入された悪意のあるコンテンツが含まれる可能性があることを理解するようなユーザー教育が不可欠です。
- 予期しない請求書やアカウント通知を受け取った場合、ユーザーは埋め込みリンクや電話番号に応答するのではなく、直接公式ウェブサイトにアクセスすべきです。
DKIMリプレイ攻撃は、信頼されたインフラを悪用する進化する脅威であり、技術的制御と意識向上、ユーザー教育が一体となって取り組むべき課題です。