連邦捜査局からスパムが届く

• FBIのメールアドレスeims@ic.fbi.govを送信元とするスパムメールが大量に発信される事態が発生した。送信されたメールは送信元を詐称したものではなく、FBIの運用する正規のサーバーmx-east-ic.fbi.gov（153.31.119.142）から直接発信されたもの。DKIMによる検証も問題がないことからスパムフィルタをそのまま抜けて届くケースなども発生したとみられる。
• スパムメールは「Urgent: threat actor in systems.」（緊急：システム内の脅威アクター）と件名に記載。米国土安全保障省のセキュリティグループを名乗り、メールを受信した組織に対してネットワークで攻撃が検出され、端末からデータが窃取されたことを警告するといった虚偽の内容。
• 攻撃に関与しているとして米セキュリティ企業のShadowbytes CEO Vinny Troia氏の名前が使われており、同氏はハッキングコミュニティとの確執があるとされ*1 *2、今回のスパムメールの送信についてもpompompurinと名乗る人物の関与を示唆する投稿を行っている他、事後に同氏が創設したSHADOWBYTEよりアトリビューションレポートを公開している。

〇送信されたスパムメッセージ

Our intelligence monitoring indicates exfiltration of several of your virtualized clusters in a sophisticated chain attack. We tried to blackhole the transit nodes used by this advanced persistent threat actor, however there is a huge chance he will modify his attack with fastflux technologies, which he proxies trough multiple global accelerators. We identified the threat actor to be [Troia氏の名前], whom is believed to be affiliated with the extortion gang TheDarkOverlord, We highly recommend you to check your systems and IDS monitoring. Beware this threat actor is currently working under inspection of the NCCIC, as we are dependent on some of his intelligence research we can not interfere physically within 4 hours, which could be enough time to cause severe damage to your infrastructure.
　
Stay safe,
　
U.S. Department of Homeland Security | Cyber Threat Detection and Analysis | Network Analysis Group

• Spamhausによれば、スパムメールの送信は11月13日の5時頃、7時頃（どちらもUTC）と大きく2回に分けて観測したとしており、当該メールは少なくとも10万通以上は送信されたとみている。
• 今回のスパム行為の送信先となった対象者として、何らかの公開されたデータベースを元に送信した可能性がある。（Spamhausは当初ARINに登録されたアドレスの可能性としていたもの、後にそれ以外のアドレスに対しても送信されていることから撤回している。）

The following chart shows email traffic originating from the FBI mailserver (https://t.co/En06mMbR88 | 153.31.119.142) involved. You can clearly see the two spikes caused by the fake warning last night. Timestamps are in UTC. pic.twitter.com/vPKvzv74gW

— Spamhaus (@spamhaus) 2021年11月13日

登録メールの確認機能を不正利用

• FBIはLEEP（Law Enforcement Enterprise Portal）と呼称する州や地方の法執行機関関係者とのやり取りに使用されるポータルサイトで、設定ミスに起因したものと説明。
• スパムメールの送信に使用されたサーバーはLEEPからの送信専用で運用されていたもので、FBI内部で使用されるメールとは別であった。そのため、内部ネットワーク上のデータや個人情報への侵害等の影響は生じていないとFBIは説明している。
• FBIは事態把握後に脆弱性への対応（報道などによればハードウェアのオフライン化*3 ）を実施し、スパムメールについても無視するよう警告を行ったとしている。

• 先のpompompurinからこのFBIのアドレスを通じて連絡が届いたとして、同氏へ取材した情報をKrebsOnSecurityでは掲載しており、今回の具体的な手口についても明らかにされている。*4 今回の行為を行った目的としてFBIのシステムの脆弱性を指摘することが目的であり、「これを1000％悪用すればより合法的なメールの送信や企業を騙しデータを盗むこともできたはずだ」としている。
• 今回の問題以前*5は誰でもポータルサイトでアカウント登録の申請が行える状態となっていた。アカウントの申請フォーム入力後、eims@ic.fbi.govからワンタイムパスワードを含む申請者によって登録されたメールアドレスを確認するメールを送信する作りとなっていた。
• 同氏は受信した確認メールに含まれるワンタイムパスワードが自身の端末から送信されたリクエストデータに含まれていることを発見。ここから件名や内容を置き換えを行うことで任意の内容でメールを送信できることも確認した。同氏はスクリプト（使用されたとみられるスクリプトも掲載されている。）を使い、件名、本文（恐らく送信先も）を先のスパムの内容に置き換えし、自動的に大量送信を行ったと説明した。

FBIの公式声明

• 2021年11月13日 FBI Statement on Incident Involving Fake Emails

更新履歴

• 2021年11月15日 AM 新規作成
• 2021年11月18日 PM SHADOWBYTEのレポートを追記