Weakness in Google's systems allows sending DKIM-valid fake emails

かなり巧妙な攻撃で、ハッカーは、Googleのシステムから配信されたように見せかけ、すべての検証をパスしながら、ログインを収集する不正なページを指す偽の電子メールを送信することができる弱点を活用した。

攻撃者はGoogleのインフラを活用し、受信者を騙してGoogleアカウントの認証情報を求める正規の「サポートポータル」にアクセスさせた。

不正なメッセージは「no-reply@google.com」から送信されているように見え、DKIM(DomainKeys Identified Mail)認証方法を通過していましたが、本当の送信者は異なっていました。

グーグルのDKIMスタンプが押された偽メール

イーサリアム・ネーム・サービス(ENS)のリード・デベロッパーであるニック・ジョンソンは、グーグルからと思われるセキュリティ・アラートを受け取った。

ほとんどすべてが合法的に見え、Googleは他の合法的なセキュリティ・アラートと一緒にこのアラートを表示した。

Googleのシステムを通じて中継されたフィッシングメール
ソースはこちら:ニック・ジョンソン

しかし、ジョンソン氏の鋭い目は、メール内の偽のサポートポータルが、グーグルの無料ウェブ構築プラットフォームであるsites.google.comでホストされていることを見破った。

グーグルのドメインであれば、受信者が自分が狙われていることに気づく可能性は低くなる。

ジョンソン氏によると、偽のサポートポータルは「本物とまったく同じもの」で、「フィッシュである唯一のヒントは、accounts.google.comではなくsites.google.comで ホストされていること」だという。

偽Googleサポートポータル
ソースはこちら:ニック・ジョンソン

開発者は、この詐欺サイトの目的は、受信者のアカウントを侵害するための認証情報を収集することだと考えている。

偽のポータルはこの詐欺で説明するのは簡単だが、巧妙なのはDKIMリプレイ・フィッシング攻撃と呼ばれるもので、GoogleのDKIM検証をパスしたように見えるメッセージを配信している点だ。

メールの詳細をよく見てみると、mailed-byヘッダーにはGoogleのno-replyとは 異なるアドレスが表示されており、受信者はGoogleが管理しているように見せかけたドメインのme@アドレスであることがわかる。

とはいえ、メッセージはGoogleによって署名され、配信されている。

Email headers in
メールヘッダには、本当の受信者と配信アドレスが表示されている
ソースはこちら:ニック・ジョンソン

ジョンソンは手がかりをまとめ、詐欺師の手口を発見した。

「まず、彼らはドメインを登録し、me@domain’のGoogleアカウントを作成します。ドメインはそれほど重要ではありませんが、[sic]がある種のインフラに見えると助かります。ユーザー名に “me “を選ぶところが巧妙です」と開発者は説明する

攻撃者はその後、Google OAuthアプリを作成し、フィッシング・メッセージ全体の名前に使用した。ある時点で、メッセージには多くの空白が含まれ、それが終了したように見せかけ、攻撃者のme@ドメインの電子メールアドレスにアクセスできるというGoogleの通知と分離させた。

攻撃者がGoogle WorkspaceでOAuthアプリに自分のメールアドレスへのアクセスを許可すると、Googleは自動的にその受信トレイにセキュリティアラートを送信した。

「Googleが生成したメールなので、有効なDKIMキーで署名され、すべてのチェックをパスしています」とジョンソン氏は言い、最後のステップは被害者にセキュリティアラートを転送することだったと付け加えた。

グーグルのシステムの弱点は、DKIMがメッセージとヘッダーのみをチェックし、エンベロープをチェックしないことだ。そのため、偽メールは署名の検証をパスし、受信者の受信トレイでは正規のメールに見える。

さらに、不正なアドレスにme@という名前をつけることで、Gmailはあたかも被害者のメールアドレスにメッセージが届いたかのように表示する。

また、メール認証会社であるEasyDMARCは、ジョンソン氏が説明したDKIMリプレイフィッシング攻撃について詳しく説明し、各ステップについて技術的な解説を行っている。

同じように悪用されるPayPalオプション

同様の手口はGoogle以外のプラットフォームでも試みられている。3月、PayPalのユーザーをターゲットにしたキャンペーンでは、同じ方法が使われ、詐欺メッセージは金融会社のメールサーバーから発信され、DKIMのセキュリティチェックを通過した。

‘sのテストによると、攻撃者は新しい電子メールをPayPalアカウントにリンクさせるために「ギフトアドレス」オプションを使用していたことが判明した。

新しいアドレスを追加する際には2つのフィールドがあり、攻撃者は1つにEメールを入力し、2つ目にフィッシング・メッセージを貼り付けた。

PayPalは自動的に攻撃者のアドレスに確認メールを送り、攻撃者はそれをメーリングリストに転送し、グループ内の潜在的な被害者全員にリレーする。

PayPal詐欺、同様の手口を使う
ソースは こちら:

ジョンソン氏は、この問題についてペイパルに問い合わせたが、回答は得られなかった。

ジョンソン氏はまた、グーグルにバグ・レポートを提出したが、同社の最初の回答は、プロセスは意図したとおりに動いているというものだった。

しかしその後、グーグルはこの問題をユーザーへのリスクと認識して再考し、現在OAuthの弱点の修正に取り組んでいる。