Proofpointの設定が悪用され何百万通のフィッシングメールが送信される

Proofpointの設定を悪用され何百万通のフィッシングメールが送信される

2024年7月30日 メールとSMSのセキュリティサービスを提供する「Guardio」がProofpoint(プルーフポイント)のメールプロテクション設定とMicrosoft 365を悪用し、何百万通のフィッシングメールを送信する「EchoSpoofing」というキャンペーンを発表しました。

Proofpointを悪用するEchoSpoofing(エコースプーフィング)とは

過去メールのFROMヘッダーを偽装する事は簡単でしたが現在では、セキュリティ プロトコルにより、メールは承認されたサーバーから送信され、ドメインのプライベート DKIM 暗号化キーで認証され、FROM ヘッダーに記載されているドメインとすべて一致している必要があります。

しかし脅威アクターはクレジットカード情報を盗む事を目的として

Guardioの調査では、これらのメールはGmailの認証が適切になされており、送信元はすべて、pphosted.comメールセキュリティベンダーのProofpoint(プルーフポイント)が所有および運営する特定のメールリレーサーバーから送信されていました。

画像引用:Guardio

2024年1月から開始され、ピーク時には1日最大1400万件のフィッシングメールが送信される

2024 年 1 月頃から始まり、これらのサーバー、ドメイン、Office365 アカウントが 2 か月前までに設定されていました。Guardioのデータから、それ以来、1 日平均 300 万件の完璧に偽装された電子メールが送信されていると推定できます。

画像引用:Guardio

クレジットカード窃取までの流れ

クレジットカード窃取までの流れは以下ですが、

前段の通り脅威アクターはDKIMもSPFも偽装しており、Gmail はこのメールを完全に認証しています。

Disney+(ディズニープラス)に偽装したフィッシングメールが送信される

まずGuardioはdisney.comドメインから送信された偽装された Disney+(ディズニープラス)アカウント通知メールのサンプルを分析しました。

画像引用:Guardio

上記文中のオファーをクリックすると、典型的なフィッシング フローに誘導されます。

偽のオファーサイトへ遷移

顧客向けのクイズと拒否できないオファーが掲載された偽のLPサイトが表示されます。

画像引用:Guardio

悪意ある購入ページへ遷移

オファーを選択すると、悪意のある購入ページで、訪問者を操作して定期的な請求にサインアップさせます。

画像引用:Guardio

最下部の注意文の和訳

「オンラインでの参加料金は29.90ドルです。オンラインでのスイープ・ステークス参加購入は、あなたを自動的に有料のスイープ・ステークスサブスクリプションに追加し、毎月199.90ドルを処理します。」

※スィープ・ステークス:アメリカの宝くじやプロモーション方式の1つ。誰でも参加できるプロモーションのひとつで人気のある方法

偽装されたフィッシングメールは各種メール認証とセキュリティ対策に準拠している

メール自体に戻ると、このバッチ内の各メールごとにXXXXがランダムに生成されており、アドレス から送信されたことがわかります。これは、FROM ヘッダーに表示される実際のドメインです。

その横には Disney のロゴも表示されます。これは、驚くべきことに、このメールが、これと戦うために明示的に構築された認証とセキュリティ対策に完全に準拠していることを意味します。

admin_support.XXXX@disney.comdisney.com

  • SPF (Sender Policy Framework) – メールはdisney.comドメインのSPFレコードに設定されている承認済みサーバーから送信されました。
  • DKIM (DomainKeys Identified Mail) — 電子メールの内容は、 のみが所有する認証キーで署名されていますdisney.com

Gmailでは完全に認証されている

配信と認証のプロセスのメタデータが記録されているメール ヘッダーを見ると、受信サービスである Gmail がこのメールを完全に認証したことがはっきりとわかります。

Authentication-Results: mx.google.com;
       dkim=pass header.i=@disney.com header.s=ppdkim header.b=MVl6clAB;
       spf=pass (google.com: domain of admin_support.dnrj@disney.com designates 205.220.164.148 as permitted sender) smtp.mailfrom=admin_support.dnrj@disney.com;
       dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=disney.com

ppdkim - The DKIM key code generated by Disney to be used with Proofpoint (pp)
205.220.164.148 - The Disney dedicated Proofpoint outbound server (mx0a-00278502.pphosted.com)

DNS レコードを調べるとdisney.com、SPF 承認や他の任意の IP やドメインの使用に悪用される可能性のある設定ミスは見つかりませんでした。

Proofpointを悪用するEchoSpoofing(エコースプーフィング)の手口の概要

脅威アクターは独自の SMTP サーバーをセットアップし、ヘッダーを操作した偽装メールを作成し、侵害された、または不正な Microsoft Office 365 アカウントを使用して Proofpoint のリレー サーバーを介してそのメールを中継しました。

さらに攻撃者は、OVHCloud と Centrilogic がホストする仮想プライベート サーバー (VPS) を使用して

これらのメールを送信し、Namecheap を通じて登録されたさまざまなドメインを使用しました。

画像引用:Guardio

転送リレーの場合 Office365のドメイン認証は緩い

Proofpoint の電子メール ゲートウェイを使用するようにドメインを構成する場合、

電子メールの中継を許可するさまざまな電子メール サービスを選択するための構成オプションが同社から提供されます。

Office 365 を選択すると、過度に許容度の高い SPF レコードが作成され、すべての Office 365/Microsoft 365 アカウントが Proofpoint の安全な電子メール サービスを介して電子メールを中継できるようになります。

include:spf.protection.outlook.com include:spf-00278502.pphosted.com

デフォルト設定では、特定のアカウントやテナントを指定することはできません。

代わりに、Proofpoint は任意の Office 365 IP アドレス範囲を信頼し、どのアカウントでもリレーを使用できるようになりました。

画像引用:Guardio

DKIM認証の為にProofpoint の設定を悪用

Proofpoint の送信サーバーは、メール フロー機能で設定されているように、承認されたサーバーからの受信メールのみを受け入れます。Office365 や Google の GSuite などのホスト型サービスの場合は、ワンクリックで設定できます。

画像引用:Guardio

これは、SMTP の動作方法により不可能です。実際の認証は、SPF 全般と同様に、IP アドレスによって行われます。Proofpoint は、これらのホスト サービスで使用される IP 範囲を認識しており、サービスが有効になると、その IP 範囲からの接続を受け入れます。

これは、Office365 などのホスト サービスは通常分散されており、すべての顧客に対して複数のサーバーと場所を同時に使用するため、非常に重要です。

しかし、これは大きな問題で

後で他の特別なルールや強制が手動で追加されなければ、どの Office365 アカウントでも Proofpoint リレー サーバーとやり取りできるようになってしまいます。

画像引用:Guardio

攻撃者は、この非常に許容度の高い構成ミスの欠陥を悪用し、Office365 インスタンスのブラインド リレーに追加して、なりすましメールを生成し、それを Proofpoint のサーバーに配信して、受け入れて処理させます。

メールフローをコネクタで完成させる

パズルに残る唯一のピースは、偽装された「Disney.com」メールをどの pphosted.com サーバーに送信するかということです。Proofpoint の顧客はそれぞれ、自社の認証済みトラフィックを処理する特定のホストが割り当てられます。

攻撃者は、偽装するドメインごとに固有のホスト名が必要となりますがこれは実際にある disney.com の所有者もこのサービスを利用するために必要な情報と全く同じです。そのため、Disney はこの情報を MX レコードに設定しており、DNS プロトコルを使用して公開されています。

;QUESTION
disney.com. IN MX
;ANSWER
disney.com. 453 IN MX 10 mxa-00278502.gslb.pphosted.com.
disney.com. 453 IN MX 10 mxb-00278502.gslb.pphosted.com.

攻撃者に必要なのは、一意の ID (この場合は00278502)だけです。これを使用して、関連する送信アドレスを次のように生成できます。

mx0a-00278502.pphosted.com
mx0b-00278502.pphosted.com

次に、攻撃者は制御下の Exchange Online サーバーに戻り、他の Proofpoint ユーザーと同じように設定します。つまり、送信メールが上記のサーバーを指すように、Exchange Online サーバーにコネクタを追加します。

画像引用:Guardio

これで、ブラインドリレー構成が追加され、攻撃者は完全に偽装された電子メールの完全な配信チェーンを手に入れることになります

さらに攻撃者は、OVHCloud と Centrilogic がホストする仮想プライベート サーバー (VPS) を使用して

これらのメールを送信し、Namecheap を通じて登録されたさまざまなドメインを使用しました。

Proofpoint は対象顧客へ通知済み

Guardio でこのキャンペーンを発見した後、 2024 年 5 月にすぐに Proofpoint に連絡し、調査結果を共有して共同対応を開始しました。Proofpoint は数時間以内に応答し、共同の取り組みの準備を整えました。

Proofpoint は、2024 年 3 月下旬からこの活動を認識しており、すでに追跡を開始していたと述べています。この問題が設定ミスに起因するものであることを認識し、自動メッセージとサポート チームおよびエンジニアとの直接の連絡を通じて、影響を受ける顧客に通知するための包括的な調査を開始と通知を開始しました。

引用

“EchoSpoofing” — A Massive Phishing Campaign Exploiting Proofpoint’s Email Protection to Dispatch Millions of Perfectly Spoofed Emails

TOPへ