サイバーセキュリティソリューションを提供しているVolexityは2月3日(現地時間)、公式ブログ「Operation EmailThief: Active Exploitation of Zero-day XSS Vulnerability in Zimbra|Volexity」において、電子メールプラットフォーム「Zimbra」の脆弱性を悪用したスピアフィッシングキャンペーンを観測したと伝えた。

「EmailThief」というコード名が付けられたこのキャンペーンでは、攻撃者が電子メールと添付ファイルを盗み出したり、マルウェアをダウンロードさせるためのプロンプトを表示したりするなどのアクションを実行することが確認されているという。

  • 「EmailThief」キャンペーンに対する警告(引用:volexity.com)

    「EmailThief」キャンペーンに対する警告 引用:volexity.com

Volexityによると、攻撃は2つのフェーズによって行われたとのこと。最初のフェーズの攻撃は、対象のユーザーがメッセージを開いたことが確認できる電子メールを送信することで、これは偵察を目的としたものと考えられている。次のフェーズの攻撃で、悪意のあるリンクを含んだ電子メールが送信された。ユーザーがZimbraのWebメールクライアントにログインした状態でこのリンクをクリックすると、攻撃者はZimbraセッションのコンテキストで任意のJavaScriptを実行できるようになる。

  • EmailThiefでの2段階にわたる攻撃フェーズの概要(引用:volexity.com)

    EmailThiefでの2段階にわたる攻撃フェーズの概要 引用:volexity.com

これはZimbraのクロスサイトスクリプティング(XSS)脆弱性を悪用した攻撃で、Volexityによれば、2月3日時点ではこの脆弱性にまだCVE(追跡番号)が割り当てられておらず、利用可能な修正パッチも提供されていないゼロデイ脆弱性にあたるとのこと。Volexityの検証で、Zimbraの最新バージョン(8.8.15 P29およびP30)はこの脆弱性の影響を受ける状態にあり、次期バージョンの9.0.0では影響を受けない可能性が高いことが確認されたという。

侵害に成功した攻撃者は、JavaScriptを使用してユーザーのメールデータと添付ファイルを盗み出すほか、次のようなアクションを簡単に実行できる。

  • メールボックスへの永続的なアクセスを許可するためにCookieを盗み出す
  • ユーザーの連絡先に対するフィッシングメッセージを送信する
  • 信頼できるWebサイトのコンテキストでマルウェアをダウンロードするためのプロンプトを表示する

Volexityのレポートでは、この攻撃に関する詳細な分析や、システムを保護するための推奨されるアクションなどが掲載されている。