메일을 개찬하는 새해킹 테크닉, 수신완료 메일이라도 개찬 가능

메일을 개찬하는 새해킹 테크닉, 수신완료 메일이라도 개찬 가능

메일을 수신한 시점에서는 무해한 URL이 기재되고 있었을 것인 메일을, 뒤에서 원격조작하는 것으로, 유해한 URL에 다시 쓸 수 있는 수법이, 보안 연구자에 의해 보고되었습니다. 이것에 의해 스팸메일 필터나 시큐리티 필터를 잽싸게 빠져나간 공격이 가능합니다.

Ropemaker(Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky/송신후의 메일을 원격조작해서 이 메일을 위험하게 드러내는 공격)이라고 명명할 수 있었던 이 수단은, 보안 기업 Mimecast의 연구자인 Francisco Ribeiro씨에 의해 보고된 것.

Ribeiro씨는 Ropemaker에 의해, 「공격자가 자신의 손으로 보낸 메일에 기재되고 있는 URL등을, 송신후, 상대 수신 상자에 도착하고 나서 악의가 있는 URL에 바꿔 놓는다」라고 할 수 있다고 증명했습니다. 이것에 의해, 수신자의 컴퓨터에 direct access를 요구할 일 없이, 스팸메일 필터나 시큐리티 필터를 잽싸게 빠져나가서 메일을 보내는 것이 가능합니다.

Mimecast의 시니어 프로덱트 마케팅 매니저의 Matthew Gardiner씨에 의하면, Ropemaker는 메일과 웹 테크놀로지의 공통 부분, 특히 CSS나 HTML을 악용한 것 것. 「웹 테크놀로지는 텍스트 베이스이었던 메일을 시각적으로 매력적이어서 다이나믹한 것으로 했습니다만, 이것이 공격을 가능하게도 하고 있습니다」라고 이야기했습니다.

CSS를 사용한 메일은 외부에 있는 정보를 읽기 위해서, 메일이 상대에게 전해진 후라도, CSS를 바꿔 끼우는 것으로, 수신자 눈앞에 있는 메일에 표시되는 URL을 무해한 것으로부터 악의가 있는 것으로 변경하는 것이 가능. 예를 들면, 이하의 수신 상자에서는 「GoodURL」이라고 하는 문자가 들어간 URL이 표시되어 있습니다만……

원격조작하는 것으로, 상기 문자를 「BadURL」이라고 하는 문자로 변경해버렸습니다.

Ropemaker에 의해, 공격자는 수신자를 개인정보를 착취하는 웹 사이트에 유도하는등 가능합니다. 또, Ropemaker는 공격자의 창조성이나 기술에 의해 종류를 만들어 내는 것이 가능해, 예를 들면 표형식으로 텍스트를 쓴 뒤로 CSS를 사용해서 「표시하는 부분」이라고 「표시하지 않는 부분」을 만들어 낸다고 하는 매트릭스형의 수법은, 메일을 수신한 시점에서는 「어떠한 URL도 기재되지 않고 있다」라고 하는 상태를 만들어 낼 수 있기 위해서, URL 바꾸기형보다도 검지가 어려워지는 것.

현시점에서는 Ropemaker를 사용한 공격은 발견되지 않는 것입니다만, 이것은, 「단지 검지되지 않고 있는 것 만큼」이라고 할 가능성도 있다고 지적되고 있습니다. Ropemaker에 의한 공격에 만나지 않기 위해서는, Gmail·iCloud·Outlook등, 웹 베이스의 클라이언트를 사용하는 것이 권장되고 있습니다.