送信者を偽装できる脆弱性 Mailsploit
Mailsploitの脆弱性が発表されてから半年余り過ぎますが、なぜか日本ではあまり話題にすらなっていません。
バックドアを仕掛けられる等、直接ファイルを改竄されるわけではないからなのでしょうか。
しかし悪用しようとする人からすれば、本人だという証明付きで権威ある人になりすましてメールを送れるというのは、最高のソーシャルハッキングツールです。
私宛にトランプ大統領からメールが来たところで(仮に本人だったとしても)日本語以外のメールは普段やりとりをしていないので、迷惑メールと決めつけて開封すらしないでしょう。
差出人がソフトバンクの孫正義さんであったとしても、
「ついに自分も認められたか」などと思い上がるほど若くはありません。
怖いのはもっと身近な人を詐称したメール。
取引のある会社の担当者から本人証明されたメールが届けば、疑うよりも先に開いてしまいます。
URLが記載されていれば、ソースをじっくり見ることもせずにクリックしてしまうかもしれません。
緊急なのでこちらに電話を!と電話番号が記載されていれば、電話してしまうでしょう。
振り込め詐欺なんかと組み合わされると、比較的ITリテラシーが高い人でも騙されてしまう危険性があります。
Mailsploitの影響を受けるメールソフトが非常に多く、ThunderbirdやApple Mail.app・Outlook 2016などを使っている人も多いのではないでしょうか。
一部メーカーからは既に対策パッチも出ていますが、対策しないと宣言をしているメーカーもあります。
該当するアプリを使っている方は情報収集が必要そうです。
影響を受けるメールクライアント
Apple Mail.app MACOS IOS
Mozilla Thunderbird / SeaMonkey MACOS WINDOWS
Mail for Windows 10 WINDOWS
Microsoft Outlook 2016 MACOS WINDOWS
Yahoo! Mail IOS
Yahoo! Mail ANDROID
[A bug bounty program that does not allow disclosure yet] ANDROID
[A bug bounty program that does not allow disclosure yet] IOS
Spark ≤ 1.4.1.392 MACOS
Spark IOS
ProtonMail ANDROID IOS
Polymail MACOS
Airmail ≤ 3.3.3 MACOS
BlueMail ≤ 1.9.2.62 ANDROID
TypeApp ANDROID IOS
AquaMail ANDROID
Opera Mail MACOS WINDOWS
Postbox ≤ 5.0.18 MACOS WINDOWS
Newton ANDROID MACOS WINDOWS
Guerrilla Mail ANDROID
Email Exchange + by MailWise ANDROID
AOL Mail ANDROID
TouchMail WINDOWS
Hushmail WEB
Openmailbox.org WEB
[A bug bounty program that does not allow disclosure yet] WEB
Open Xchange (Mailbox.org, Namecheap Private Email…) WEB
ProtonMail WEB
Yahoo! Mail (new interface in beta) WEB
Mailfence WEB
Supportsystem WEB
osTicket WEB
Intercom WEB
Vivaldi WEB
K-9 Mail ANDROID
[A bug bounty program that does not allow disclosure yet] WEB
MailMate MACOS
Modoboa WEB
Edison Mail IOS ANDROID
The Bat! WINDOWS