おさらいnote ～第5回　メールヘッダインジェクション～

こんにちは、もう秋ですね、宮下です。
今回はメールによるインジェクション攻撃をおさらいしていきたいと思います。メールといってもgmailやyahooメールではなく、お店に聞きたいときに使用する問い合わせフォームです。
＊こちらも前回同様インターネット上で実行できてしまいます。場合によっては犯罪になるので実行するときはローカルな環境で実行してください」！

攻撃例

まず、通常の動作の流れを説明します。
フォームにユーザーがメールアドレスと本文を記入し、送信します。
するとその企業の担当者がメールに受信し、届くという従来のメールとほぼ変わらない方法です。

ではインジェクション攻撃はどのようにして行われているのでしょうか。
メールの機能でBCCという機能があるのはご存じでしょうか？BCCとは、あて先を隠したいときに使用する機能です。
ではメールアドレスにBCCを付与し問い合わせフォームを送信した場合どうなるでしょうか。
従来届くはずである企業の担当者は迷惑メールが来たことしか気づけなく、細工した問い合わせによって全く関係のない第三者に迷惑メールを送ることが可能になってしまいます。

これがメールヘッダインジェクションです。