生成的データ インテリジェンス

サイバーセキュリティ

クラウドメールフィルタリングのバイパス攻撃は 80% の確率で機能します

プラトンによって再発行
プラトンによって再発行

日付:

閲覧数: 0

コンピュータ科学者は、人気のある企業向けのクラウドベースの電子メール スパム フィルタリング サービスで衝撃的に蔓延している設定ミスと、それを悪用するエクスプロイトを発見しました。この調査結果は、組織が電子メールを介したサイバー脅威に対して、認識しているよりもはるかにオープンであることを明らかにしています。

近々発表される論文の中で、 ACM Web 2024 カンファレンス 80月にシンガポールで開催された論文の執筆者である学術研究チームは、Proofpoint、Barracuda、Mimecastなどのベンダーが広く使用しているサービスが、調査対象となった主要ドメインの少なくともXNUMX%でバイパスされる可能性があると指摘した。

カリフォルニア大学サンディエゴ校の大学院博士課程の学生で論文の筆頭著者であるスマンスラオ氏は、「電子メール ホスティング プロバイダーが電子メール フィルタリング サービスから到着するメッセージのみを受け入れるように構成されていない場合、フィルタリング サービスはバイパスされる可能性がある」と説明します。資格のある "Unfiltered: クラウドベースの電子メール フィルタリングのバイパスの測定に設立された地域オフィスに加えて、さらにローカルカスタマーサポートを提供できるようになります。」

当然のことのように思えるかもしれませんが、企業の電子メール システムと連携して動作するようにフィルターを設定するのは困難です。バイパス攻撃は、スパム送信者が使用するような未知の IP アドレスから送信されるメッセージに対する Google および Microsoft の電子メール サーバーの反応方法の一致という点で、フィルタリング サーバーと電子メール サーバーの不一致が原因で発生する可能性があります。

Google のサーバーは、そのようなメッセージを最初の受信時に拒否しますが、Microsoft のサーバーは、メッセージが既に受信者に配信されている「データ」コマンド中にメッセージを拒否します。これは、フィルターの設定方法に影響します。

それを考えると、賭け金は高いです フィッシングメールは引き続き最初のアクセスメカニズムとして選択されます サイバー犯罪者向け。

「この弱点を軽減するために受信メールを適切に設定していないメール管理者は、正面玄関に身分証明書をチェックするために用心棒を配置しながら、施錠も監視されていないサイドドアからも常連客が入ることを許可しているバーのオーナーに似ています」とセス氏は言います。ブランク氏は電子メール セキュリティ ベンダーである Valimail の CTO です。

企業の受信トレイはフィッシングの危険にさらされています

調べた結果 送信者ポリシーフレームワーク Google または Microsoft の電子メール サーバーとサードパーティのスパム フィルターを使用していた 673 の .edu ドメインと 928 の .com ドメインに対する (SPF) 固有の構成を調査したところ、Google ベースの電子メール システムの 88% がバイパスされ、78% がバイパスされたことが判明しました。 Microsoft システムの % がそうでした。

フィルタリングと電子メール配信の両方がオンプレミスの既知の信頼できる IP アドレスで行われている場合、バイパス攻撃はそれほど簡単ではないため、クラウド ベンダーを使用する場合はリスクが高くなります、と彼らは指摘しました。

この文書では、このような高い失敗率の主な理由を 2 つ挙げています。まず、フィルタリング サーバーと電子メール サーバーの両方を適切に設定するためのドキュメントがわかりにくく不完全で、無視されたり、よく理解されなかったり、簡単に実行できなかったりすることがよくあります。第 2 に、企業の電子メール管理者の多くは、あまりにも厳格なフィルタ プロファイルを設定すると有効なメールが削除されることを恐れて、メッセージが受信者に確実に届くようにするという点で誤りを犯します。この論文によれば、「これにより、許容的で安全性の低い構成がもたらされる」とのことです。

著者は言及していませんが、重要な要素は、主要な電子メール セキュリティ プロトコルの 3 つすべて (SPF、ドメインベースのメッセージ認証レポートおよび適合性) を構成するという事実です。DMARC)、および DomainKeys Identified Mail (DKIM) — スパムを効果的に阻止するために必要です。でもあの 専門家でも簡単ではない。これに、フィルタリングと電子メール配信のための 2 つのクラウド サービスが適切に通信できるようにするという課題が加わり、調整作業は非常に複雑になります。さらに言えば、フィルタ製品と電子メール サーバー製品は大企業内の 2 つの別々の部門によって管理されることが多く、エラーが発生する可能性がさらに高まります。

「多くの従来のインターネット サービスと同様、電子メールは単純な使用例を中心に設計されていますが、現在では現代の需要と合致していません」と著者らは書いています。

電子メール設定ドキュメントの遅れ、セキュリティギャップの激化

研究者らによると、各フィルタリングベンダーが提供するドキュメントの品質にはばらつきがあるという。この論文では、TrendMicro と Proofpoint のフィルタリング製品に関する指示は特にエラーが発生しやすく、脆弱な構成が簡単に生成される可能性があると指摘しています。 Mimecast や Barracuda など、より優れたドキュメントを備えているベンダーでも、依然として高い割合で構成ミスが発生しています。 

ほとんどのベンダーは Dark Reading のコメント要請に応じなかったが、Barracuda の製品マーケティング マネージャーである Olesia Klevchuk 氏は次のように述べています。当社は、お客様がこの問題やその他の構成ミスを特定するのに役立つヘルスチェック ガイドを提供しています。」

彼女はさらに、「すべてではないにしても、ほとんどの電子メール フィルタリング ベンダーは、自社のソリューションが期待通りに機能することを保証するために、導入中および導入後にサポートまたはプロフェッショナル サービスを提供します。組織は潜在的なセキュリティ リスクを回避するために、これらのサービスを定期的に利用したり投資したりする必要があります。」

企業の電子メール管理者には、システムを強化してこのようなバイパス攻撃の発生を防ぐいくつかの方法があります。この論文の著者が提案している 1 つの方法は、フィルタリング サーバーの IP アドレスをすべての電子メール トラフィックの唯一の送信元として指定し、攻撃者によるなりすましが不可能であることを保証することです。 

「組織は、フィルタリング サービスからの電子メールのみを受け入れるように電子メール サーバーを構成する必要がある」と著者らは書いています。

Microsoft のドキュメントには電子メール防御オプションが説明されています また、たとえば Exchange Online 展開に対してこの保護を有効にする一連のパラメーターを設定することをお勧めします。もう 1 つは、企業が電子メール トラフィックに使用するすべてのドメインとサブドメインに対して、すべての SPF、DKIM、および DMARC プロトコルが正しく指定されていることを確認することです。前述したように、特に大企業や、時間の経過とともに多数のドメインを取得し、その使用を忘れてしまった場所にとって、これは課題となる可能性があります。

最後に、もう 1 つの解決策は、Valimail の Blank 氏によれば、「フィルタリング アプリケーションに以下を含めることです」 認証済み受信者チェーン (RFC 8617) 電子メールのヘッダー、および内部層がこれらのヘッダーを使用して信頼するためのものです。」

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.