メールクライアントの脆弱性 Mailsploit
複数のメールクライアントで「Mailsploit」という脆弱性が発表されました。この脆弱性を利用することで、一部のスパム対策が無効化され、正常なメールとの見分けが困難になります。この攻撃の恐ろしいところは、スパム対策の回避だけでなく、受け取ったメール送信者の表示名を偽装することでユーザをも欺こうとするところです。
この仕組みは、RFC-1342 を使った攻撃で、非ASCII文字をメールヘッダー内で用いるためにQuoted-printableとBase64でエンコードされた文字列を、ほとんどのメールクライアントはデコードする際にサニタイズしません。そのため、ヌルバイト文字や改行文字などをここに混入させることで攻撃が可能になっています。iOSのメールクライアントだとヌルバイト文字を混入させることでそれ以降の文字列は無視されます。つまりそれ以前の文字列のみが表示されるという問題があります。
本問題を回避するためには以下の対策を実施する必要があります。
- 対応済みのメールクライアントを利用する
- 不審なメールはメールヘッダーを確認する
- PGP/GPG などの仕組みを利用する
JPCERT/CCは各メーカの対応状況を記載しています。
| メールクライアント | 対象環境 |
Mailsploitの 影響 |
対応状況 |
| Apple Mail | iOS, MacOS | 有り | 対応中 |
| Mozilla Thunderbird ≤ 52.5.0 SeaMonkey ≤ 2.4.8 |
MacOS, Windows | 有り | 対応しない |
| Mail for Windows 10 | Windows | 有り | 対応中 |
| Microsoft Outlook 2016 | MacOS, Windows | 有り | 対応中 |
| Yahoo! Mail | iOS, Android | 有り | 修正済み(2017/10/19) |
| Spark ≤ 1.4.1.392 | MacOS | 有り | 報告済み |
| Spark | iOS | 有り | 報告済み |
| ProtonMail | iOS, Android | 有り | 修正済み(2017/9/1) |
| Polymail | MacOS | 有り | 報告済み |
| Airmail ≤ 3.3.3 | MacOS | 有り | 報告済み |
| BlueMail ≤ 1.9.2.62 | Android | 有り | 報告済み |
| TypeApp | iOS, Android | 有り | 報告済み |
| AquaMail | Android | 有り | 報告済み |
| Opera Mail | MacOS, Windows | 有り | 対応しない |
| Postbox ≤ 5.0.18 | MacOS, Windows | 有り | 報告済み |
| Newton | Android, MacOS, Windows |
有り | 対応中 |
| Guerrilla Mail | Android | 有り | 報告済み |
| Email Exchange + by MailWise | Android | 有り | 報告済み |
| AOL Mail | Android | 有り | 報告済み |
| TouchMail | Windows | 有り | 報告済み |
| Mailbird | Windows | 無し | |
| Gmail / Inbox by Gmail | iOS, Android | 無し | |
| eM Client | Windows | 無し | |
| Claws Mail / Sylpheed | Windows | 無し | |
| OE Classic | Windows | 無し |
| Webメールクライアント | 対象環境 |
Mailsploitの 影響 |
対応状況 |
| Hushmail | Web | 有り | 修正済み(2017/8/27) |
| Openmailbox.org | Web | 有り | 修正済み(2017/8/27) |
| Open Xchange (Mailbox.org) | Web | 有り | 修正済み(2017/9/25) |
| ProtonMail | Web | 有り | 修正済み(2017/9/1) |
| Yahoo! Mail (new interface in beta) | Web | 有り | 修正済み(2017/11/12までに) |
| Mailfence | Web | 有り | 対応中 |
| Microsoft Outlook Web | Web | 無し | |
| Microsoft Exchange 2016 | Web | 無し | |
| Microsoft Office 365 | Web | 無し | |
| Gmail | Web | 無し | |
| Fastmail | Web | 無し | |
| GMX / Mail.com / 1&1 | Web | 無し |
| サポートチケットシステム | 対象環境 |
Mailsploitの 影響 |
対応状況 |
| Supportsystem | Web | 有り | 報告済み |
| osTicket | Web | 有り | 報告済み |
| Intercom | Web | 有り | 修正済み(2017/9/12) |
| コミュニティで見つけた候補 | 対象環境 |
Mailsploitの 影響 |
対応状況 |
| Vivaldi | Web | 有り | 報告済み |
| K-9 Mail | Android | 有り | 報告済み |
| MailMate | MacOS | 有り | 修正済み(2017/9/12) |
| eM Client | Windows | 無し | |
| Tutanota | Web | 無し | |
| Sylpheed 3.6.0 | Linux | 有り(※) | |
| Jolla Mail | Sailfish OS by JOLLA |
有り(※) | 報告済み |
| RainLoop | Web | 有り(※) | 報告済み |
| IBM Notes | Web | 有り(※) | |
| IBM Verse | Web | 有り(※) | |
| IBM Verse | iOS, Android | 有り(※) | |
| NINE Email & Calendar | Android | 有り(※) | |
| Roundcube | Web | 無し(※) | |
| KMail | Linux | 無し(※) |
※発見者やベンダーが未確認
