運送会社、発電所、投資銀行といった業種に共通点はそれほど見られない。だが、新たな調査によると、これらの企業が自社の従業員の数千件もの電子メールのパスワードを不注意で漏洩させていることがわかった。これは広く使われている電子メールプロトコルの設計上の欠陥によるものだ。
企業が自社の電子メールサーバーをホストするために広く使われている電子メールソフトウェア「Microsoft Exchang」には、Autodiscoverと呼ばれる自動検出機能が搭載されており、従業員の電子メールアドレスとパスワードを入力するだけで、携帯電話やパソコン上のアプリの初期設定を行うことができる。これは、例えば、電子メールやカレンダーのアプリを設定する際に、手動で設定するのではなく、面倒な作業をサーバーに肩代わりさせることで、より簡単に設定できるようにするためのものだ。
そうすると、ほとんどのアプリは、会社のドメイン上の既知の場所にある設定ファイルを探そうとする。ある場所を探して見つからないと、アプリは「失敗した」として同じドメインの別の場所を探す。それでもファイルが見つからなければ、ユーザーは不便な思いをすることになる。
しかし、一部のアプリは、壁にぶつかる前に、うっかり一歩進んで「失敗」してしまう場合がある。これは問題だ。そのようなアプリは、ユーザーから見えないところで、会社の管理外だが同じトップレベルドメイン内にあるドメイン名と通信しようとするからだ。例えばcompany.comは、autodiscover.comで設定ファイルを探すことになる。すると、そのドメイン名を所有している人物は、インターネット上から送信されてくる電子メールアドレスやパスワードを「聞く」ことができるのだ。
研究者たちは何年も前から、電子メールソフトウェアはこの種のデータ漏洩に弱く、企業の認証情報を危険にさらす可能性があると警告してきた。当時、いくつかのソフトウェアは修正されたが、今でも問題が解消されていないことは明らかだ。
2021年4月、サイバーセキュリティ企業のGuardicore Labsは、autodiscover.uk、autodiscover.frなど、最も一般的なトップレベルドメインのautodiscoverドメインを取得し、漏洩してきたリクエストが届いたら「聞く」ように設定した。
Guardicoreによると、それから4カ月の間に、これらのドメインにアクセスしてくる34万件のExchangeメールボックスの認証情報を確認したとのこと。企業によっては、これらの資格情報を使ってそのドメインにログインすることを許可しているところもあり、もし悪意のあるハッカーに悪用されたらというリスクがある。また、これらの認証情報はプレーンテキストでインターネット上に送信されるので、相手側で読み取ることができるという。
他の9万6000件のExchange認証情報は、はるかに強力で復号化できないプロトコルを使用して送信されていたが、同じ認証情報を暗号化されていない平文で送信するように仕向けられる可能性があった。
Guardicoreの北米担当セキュリティ研究責任者であり、今回の調査の著者であるAmit Serper(アミット・サーパー)氏は、暗号化された認証情報を、より弱いセキュリティレベルを使用してメールアドレスとパスワードを再度送信するようアプリに要求して跳ね返し、アプリが認証情報を平文で再送信するように促す攻撃方法を開発した。
サーパー氏は、この攻撃を「The ol’ switcheroo(懐かしのどんでん返し)」と名付けた。
サーパー氏によると、このドメインでは、不動産会社、食品メーカー、中国の上場企業の認証情報も漏洩されていたという。
一般的なユーザーにとって、この漏洩は事実上目には見えないものだ。Guardicoreは、アプリメーカーの多くがまだ修正プログラムを提供していないため、流出した認証情報の最大の原因となったアプリの名前を直ちに挙げることはしていない。アプリの修正が完了したら、これらのドメインはシンクホール化されるが、悪意のあるアクターの手に渡らないように、Guardicoreの管理下に置かれたままにしておくと、サーパー氏はTechCrunchに語った。
Guardicoreの管理下にあるドメインだけで完全というわけではないが、企業やユーザーは、トップレベルにおける自動検出ドメインをブロックすることで、独自の予防策を講じることができると、サーパー氏は述べている。また、アプリメーカーも、自社のアプリを企業のドメイン外で上位に向かって「失敗」させないようにすることで対策できる。
関連記事
・あるセキュリティ研究者がハッカーからの略奪を防ぐためにある国の期限切れトップレベルドメインを入手した
・FBIがハッキングされたMicrosoft Exchangeサーバーのバックドアを塞ぐ作戦を実行
画像クレジット:Kittiphat Abhiratvorakul
[原文へ]
(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)