メールヘッダ・インジェクション攻撃は「お問い合わせフォーム」や「アンケート」などのように特定の相手にメールを送信する機能に対して、入力データを”改ざん”することで、メールの送信先を「悪意のある攻撃者」によって操作する攻撃のことをいいます。

メールの構成

● 送信元のメールアドレス

● 送信先のメールアドレス

● メールのタイトル

● メールが送信された時刻

● メールが配送されたルート

● メールの返信先

● メール配信エラーの際の差し戻し先

● 電子メールの識別番号

● 送信元の使用メールソフト

通常のメール

●送信元メールアドレス・・・「aaa.atmark.com」

●メールタイトル・・・「こんにちは」

●送信先メールアドレス・・・「bbb.atmark.com」

だった場合、下記のような形に設定されメールが送信されます。

【メールヘッダ】　※メールヘッダは簡略化して表現します。

From: aaa.atmark.com　Subject: こんにちは　To: bbb.atmark.com

メールヘッダ・インジェクションの場合

「こんにちは%0d%0aBcc%3a%20ccc.atmark.com」

【メールヘッダ】　※メールヘッダは簡略化して表現します。

From: aaa.atmark.com

Subject: こんにちは

Bcc: ccc.atmark.com

To: bbb.atmark.com

対策

● 外部からの入力は全てメール本文に設定する。

● メールヘッダに埋め込む文字列に改行コードを許可しない。

● メールヘッダ・インジェクション対策されているメール送信APIを使用する。