概要
2025年 4月 14日 15:54 UTC に、sophos.com ドメインからスパムメールが届いたとの報告がユーザーからありました。それから 1時間以内に、ソフォスの Internal Detection and Response (ソフォス内部の検知対応チーム) がこの件について把握し、調査を開始しました。
調査によると、Sophos Email のクラウドメールサービスにおいて送信者にリレーを許可するかどうかの検証ロジックに不備があり、評価版アカウントによって悪用されていたことが判明しました。
ソフォスのチームは即座に該当アカウントおよび関連 IP をブロックするなどの措置を講じたうえで、攻撃者がどのように検証ポリシーをすり抜けたのかについて詳しく調査しました。
その結果、お客様のアカウントから送られるメールの送信元ドメインを、お客様の管理対象ドメインに制限するロジックが厳格でなかったことがわかりました。この問題については既に恒久的な解決がなされ、今後、同じような悪用が発生することはありません。さらに、評価版アカウントに制限を課し、未検証アカウントによるこのような不備の発見を防止しています。
影響する内容
攻撃者は、ソフォスのゲートウェイを通じて約190万件の悪意のないスパムメッセージを送信することができました。ほとんどのメールは、info. [アットマーク] sophos [ドット] com、news [アットマーク] sophos [ドット] com という送信用メールアドレスから送られましたが、Sophos Email のお客様 12社のドメインを偽装したメッセージも 30通含まれていました。これらのお客様には、既にソフォスサポートから連絡済みです。
タイムライン
| 日時 | イベント |
| 2025年 4月 2日 | 攻撃者が評価版アカウントを初めて作成。ドメインの偽装を防止する送信フィルタリングポリシーをすり抜ける方法を探り始める。 |
| 2025年 4月 13日 18:00 UTC | 攻撃者が Sophos Email ゲートウェイからメールを大量に送信開始。 |
| 2025年 4月 14日 15:54 UTC | Reddit に /u/jegraves が、info [アットマーク] sophos [ドット] com からのスパムメールについて初投稿。 |
| 2025年 4月 14日 16:52 UTC | ソフォスの Internal Detection and Response (IDR) チームが Reddit の投稿を把握し、インシデントの優先順位を決定。 |
| 2025年 4月 14日 17:05 UTC | Sophos IDR が、主な関係者とともに調査を開始。 |
| 2025年 4月 14日 19:07 UTC | ソフォスが、このスパムキャンペーンに関係するドメインをブロック。 |
| 2025年 4月 15日 6:00 UTC | sophos.com の偽装を防ぐ変更を本番環境に実装。 |
| 2025年 4月 15日 16:33 UTC | この悪用に関連する IP およびメールアドレスをすべて Sophos Email でブロック。 |
| 2025年 4月 17日 11:51 UTC | このスパムキャンペーンに関係する評価版アカウントをすべて無効化。 |
| 2025年 4月 19日 4:59 UTC | 評価アカウントからメールを送信できないようにポリシーを変更 (パートナーやリセラーが管理しているものを除く)。 |
分析
言うまでもなく、Sophos Email の送信リレーではすべてのメッセージの送信元を慎重にチェックしています。本サービスが開始した当初は、悪用を防止するため、エンベロープの送信者 (送信者が NULL の場合は From ヘッダー) および IP アドレスの両方が、該当ドメインに関連付けられているお客様のものでない限り、メールのリレーを行わない仕組みになっていました。その結果、一部の転送メッセージ (カレンダーからの招待など) がこの条件を満たさず、拒否されるという事態が発生していました。
この問題に対応するため、2019年に、エンベロープの送信者および From ヘッダーに加え、Sender ヘッダーも考慮に入れるようにロジックが変更されました。この変更により、example.org など、外部のカレンダーからの招待を example.com に属する友人に転送するようなケースにおいて、Sender ヘッダーがお客様に属していれば、From ヘッダーが外部ドメインからのものであっても、許可されるようになっていました。
これによって、悪用が可能な状況が生まれました。具体的には、悪意のある送信者が、評価版アカウントに登録し、エンベロープの送信者を NULL にして送信した場合、Sender ヘッダーが評価版アカウントのドメインのメールアドレスであれば、From アドレスが他の Sophos Email のお客様がアクティブに管理しているもの (基本的に sophos.com) であっても許可される状況になっていました。
攻撃者は、2025年 4月 2日に評価版アカウントを初めて登録した直後から、実験的な行為を行っていたとみられます。その後、2025年 4月 12日に本格的にスパム送信を開始し、不正行為は合計で 2日未満にとどまりました。
問題解決
迅速な対応
2025年 4月 15日、この不正行為に関係するドメインおよび IP アドレスを速やかにブロックするとともに、スパムに関係する 24 のアカウントを無効化しました。
2025年 4月 16日、この問題に対処するため基本的なロジックを変更、実装すると同時に、2019年に施行したポリシーを厳格化しました。現在では、Sophos Email においてエンベロープの送信者が NULL だった場合、From ヘッダーのドメインが Sender ヘッダーと同じお客様に属することが条件となっています。これにより、前述のようなカレンダーのケースには対応しながら、Sophos Email で管理されている他のドメインを偽装する行為を防止しています。
この 2つの段階的措置に加え、2025年 4月 18日には、評価版アカウントからのメール送信を禁止しました。この変更は、今後作成されるすべての評価版アカウントが対象となります (ただし、ソフォスパートナーが作成した評価版アカウントは例外となります)。
ソフォスは、この問題に気づくきっかけとなった /u/jegraves に感謝し、ソフォスのバグ報奨金プログラムを通じて、賞金を授与しています。
長期的な対応
今後、Sophos Email の評価版アカウントについて、不審なアクティビティの検出を徹底していく予定です。疑わしいアクティビティは通常、アカウントの作成直後から始まります。この点に着目し、アカウントの振る舞いを分析して、プロアクティブなアプローチによって不正防止に努めてまいります。
その他の対応
お客様におかれましては、2025年 4月 13日~4月 16日の間に info [アットマーク] sophos [ドット] com または news [アットマーク] sophos [ドット] com から届いた不審なメールやスパムメールを削除してくださるようお願いいたします。
この件に関してのご質問やサポートについては、以下の方法でソフォスサポートまでご連絡ください。
- ケースの送信方法:サポートポータルにログインして、「ヘルプ > サポートチケットを作成」をクリックしてください。
- MDR のお客様:MDR ダッシュボードから連絡するか、ソフォスの脅威対応担当者まで直接ご連絡ください。