複数のメールクライアントに共通の脆弱性が見つかった。「Mailsploit」という脆弱性で、悪意のあるユーザーが、送信者のアドレスを偽装したメールを送信できる。影響を受けるメールソフトは、「Microsoft Outlook 2016」や「Mozzila Thunderbird」など、30以上に及ぶ。

JPCERT/CCは、参考情報として影響を受けるメールクライアントを提示している
JPCERT/CCは、参考情報として影響を受けるメールクライアントを提示している
[画像のクリックで拡大表示]

 脆弱性を公表したのはSabri Haddouche氏。Haddouche氏によれば、この脆弱性は1992年に制定されたRFC1342に起因するという。RFCはインターネットで使う技術の国際標準で、RFC1342はEメールのヘッダーに非ASCII文字をエンコードする方法を利用者に許可するもの手法を示す。Mailsploitは、メールヘッダーにASCII文字以外の文字列を入れるとそれ以降の文字処理が行われないというRFC1342の脆弱性。これを悪用して、送信者のアドレスを偽装したメールを送信できる。


関連記事:RFCとは

 Mailsploitを使って送信元を偽装したメールは、従来のスパムメールフィルターなどメール偽装対策では防げない。

 Mailsploitの詳細はすでに公表されていて、対策方法も見つかっている。一部のメールアプリケーションでは対応も完了している。国内では、セキュリティインシデント(事故)を収集・広報するJPCERTコーディネーションセンター(JPCERT/CC)が2017年12月7日、注意喚起を出している。