セキュリティ・ベンダーの米iDEFENSEは米国時間4月8日,米MicrosoftのOutlookおよび Outlook Web Access(OWA)に,受信メールのヘッダー情報を適切に表示しない問題があることを公表した。送信者名(Fromヘッダー)に複数の名前(アドレス)が書かれていても,最初の1件しか表示しない。これを悪用すれば,送信者名を偽装してユーザーをだませるという。

 とはいえ,今回の問題を悪用しなくても,送信者名の偽装は容易。このため,今回の問題の危険度は小さい。Outlook/OWA以外のユーザーも,送信者名を信用してはいけない。なお,今回の問題について,Microsoftがセキュリティ情報やパッチを公開する予定はないという。今後公開するサービス・パックにパッチを含める予定だ。

 今回の問題が確認されているのは,Office XPおよびOffice 2003に含まれるOutlook,およびExchange 2003のOWAである。iDEFENSEでは,これら以前のバージョンにも同様の問題があるだろうとしている。なお,Outlook Expressにはこの問題はない。

 今回の問題は,送られてきたメールのFromヘッダーに,複数の送信者名/アドレスが記述されている場合に生じる。本来は,Fromヘッダーに記述された送信者名/アドレスをすべて表示するべきだが,Outlook/OWAでは,一番最初の送信者名/アドレスしか表示しない。例えば, Fromヘッダーに「support@your.company, Phisher <phisher@attackers.domain>」と書かれている場合には,「support@your.company」しか表示しない。これを悪用すれば,Outlook/OWAユーザーをだませるという。

 だが,この問題を悪用されるケースは少ないと考えられる。そもそもFromヘッダー(送信者名)はメールの本文の一部なので,メールの送信者が容易に偽装できるためだ。現在出回っているウイルス添付メールやフィッシング目的のメールのほとんどはFromヘッダーを偽装している。偽装するだけなら,今回の問題を“わざわざ”悪用する必要はない。

 今回の問題を悪用する例として,iDEFENSEでは次のようなケースを挙げている。まず,受信用メール・サーバーでメールをフィルタリングしている企業を考える。この企業のドメインは「your.company」とする。この企業では,外部から送られてきたメールのFromヘッダーが自ドメインだけだった場合,そのメールを落としている(ドロップしている)とする。社内ユーザーがだまされることを防ぐためだ。

 基本的に,人は身内を信じやすい。your.companyドメインのユーザーへ,送信者名が「support@your.company」,本文が「下記のURLへアクセスして,ID/パスワードを再設定してください」というメールが送られてくれば,信用する人は少なくないだろう。「社内システムのセキュリティ向上のため,添付ファイルをすぐに実行してください」と書かれていれば,つい,添付ファイルをダブルクリックしてしまうだろう。

 以上のような詐欺/ウイルス被害を避けるために,「Fromヘッダーが自ドメインだけの外部からのメール」を落とす運用は有用だ。

 だが,今回のOutlook/OWAの問題を悪用すれば,詐欺/ウイルス・メールは上記のチェックを回避できる。例えば,悪意のあるメールのFromヘッダーが「support@your.company, Phisher <phisher@attackers.domain>」だったとする。前述のようなメール・サーバーは,外部アドレス「phisher@attackers.domain」が含まれているため,このメールをドロップしない。ところが,Outlook/OWAの送信者名には「support@your.company」としか表示されないので,メールの受信者はそのメールを社内からのメールだと誤解して,内容を信用してしまう――。

 このように,ある特定の状況でないと,今回の問題の影響を受けることはないと考えられる。Outlook/OWAユーザーは,こういった問題があることだけを認識しておけば十分だ。Fromアドレスを詐称できる問題は,Outlook/OWAだけの問題ではない。Outlook/OWA以外のユーザーも,送信者アドレスを安易に信用してはいけない。

 今回の問題について,Microsoftはセキュリティ情報やパッチを公開していない。今後も公開する予定はないという。今後公開されるOfficeのサービス・パックで対応するという。

 iDEFENSEでは,対策として「信頼できないメールを受け取ったら,まずはメールのヘッダー情報すべてをチェックする」ことを挙げている。

Microsoft Multiple E-Mail Client Address Spoofing Vulnerability(米iDEFENSE)

(勝村 幸博=IT Pro)