グーグル、バグ修正をリリース、攻撃者がなりすましメールを送信することを許可
GoogleはGmailとG Suiteのバグの修正をリリースしました。これにより、攻撃者は他のGoogleユーザーまたは企業顧客と同様になりすましのメールを送信できます。
セキュリティリサーチャーのAllison Husainによって発見されたこのバグは、メールルートの設定時に検証が行われていないことが原因です。 「GmailとG Suiteのお客様の両方の厳格なDMARC / SPFポリシーは、G Suiteのメールルーティングルールを使用して不正なメッセージを中継し、信頼性を付与することで覆される可能性がある」と述べた。
攻撃者は、Googleのメール検証ルールで受信者の問題を悪用し、受信メールゲートウェイを使用してGoogleのバックエンドからメッセージを再送信し、ダウンストリームメールサーバーの信頼を獲得します。
「これは、なりすまそうとしている被害者がGmailまたはG Suiteも使用している場合、攻撃者にとって有利です。これは、Googleのバックエンドによって送信されたメッセージが、ドメインがG Suiteを使用する性質上、SPFとDMARCの両方を通過することを意味します。 Googleのバックエンドがドメインからメールを送信できるようにする」とフセイン氏は説明した。
「さらに、メッセージはGoogleのバックエンドから発信されているため、メッセージのスパムスコアが低くなる可能性が高いため、フィルター処理の頻度を減らす必要があります。」
フセインは2020年4月3日にこの問題をGoogleに報告しました。Googleはこの問題を4月16日に(研究者が発表した開示のタイムラインによると)優先度2、重大度2のバグとして分類し、その後重複としてマークしました。
研究者は当初、バグが8月17日に開示されることを会社に通知しました。その時Googleは、修正は9月17日のロールアウトの推定時間で開発されていると述べました。
しかし、同社がフセインが報告した問題を137日間修正できなかった場合、研究者は8月19日(タイムラインの開示から2日後)に調査結果を開示しました。この開示から7時間以内に、Googleは「リターンパスの変更と乱用防止メカニズムに基づく緩和策」を展開しました。