メールアドレスを“分割”する：パーサー差異を突いたアクセス制御バイパス

元ソースは PortSwigger Research の「Splitting the email atom: exploiting parsers to bypass access controls」です。

概要

多くのWebサービスは、メールアドレスからドメイン部分を抽出し、「どの組織のユーザーか」を推定したり、特定ドメインのみ登録を許可する、といったアクセス制御に利用しています。ところがメールアドレスの“解釈”は一枚岩ではありません。入力の文字列をどこまで許容するか、どの段階で正規化するか、どの規則で分割・検証するかは、利用しているライブラリや言語、設定によって差が出ます。

PortSwigger Researchの指摘は、この差が単なる実装上の揺れではなく、アクセス制御の根幹（「許可ドメインかどうか」）をすり抜ける要因になり得る、という点にあります。メールアドレスを「見た目どおり」ではなく「パーサーがどう解釈するか」で判断している限り、異なる場所（フロントエンド／バックエンド、登録処理／権限制御、別サービス連携など）で別々のパーサーが動くと、攻撃者はそのズレを突くことができます。

詳細

典型的なパターンは、「ある地点では許可されたドメインに見えるが、別の地点では別のドメインとして扱われる」入力が存在することです。たとえば、登録フォームでの検証と、実際にアカウントを組織へ紐づける処理が別実装になっていると、検証段階を通過した値が、後段で異なる分割ルールにより別のドメインへ“化ける”可能性があります。ここで重要なのは、ドメイン制限が“セキュリティ境界”として扱われている点です。単に見栄えを整えるための入力チェックなら影響は限定的ですが、組織専用機能の解放、社内限定コンテンツへのアクセス、招待制の回避など、アクセス制御に直結していると被害が拡大します。

PortSwiggerは、この問題を机上の話で終わらせず、学習・検証用のラボ教材として「メールアドレスの解析不一致を用いたアクセス制御バイパス」を提示しています。ここでは“未許可ドメインの登録を防ぐ”意図でメールを検証しているにもかかわらず、解析の不一致を突くことで登録を成立させてしまう状況が扱われます。こうした教材が存在すること自体、実務で同種の設計が頻出し、かつ再現性のある失敗モードになっていることの裏付けでもあります。

また、関連する話題としてPortSwiggerの「Top 10 web hacking techniques of 2024」文脈では、エンコードされた語（encoded words）やUnicode由来の問題などを絡めて、メール解析の差異がアクセス制御バイパスや、場合によってはより深刻な影響に波及し得るテーマとして触れられています。ここから読み取れるのは、「単に@の右側を切り出す」程度の素朴な処理でも、現代の多様な文字表現・エンコード・実装差により、想定外の解釈が起こりうるという点です。

ツール面でも、この攻撃クラスが現場で使われ得ることを示す動きがあります。Burp Suiteのリリースノートでは、Intruderのデフォルトペイロードに“email splitting attacks”が追加された旨が記載されており、メール分割（解析不一致）を狙う入力がテストの定番手段として整理されつつあることが伺えます。つまり、攻撃側・防御側の双方にとって、メールアドレスの扱いは「一般的な入力値」ではなく「仕様と実装がズレやすい境界データ」として意識すべき対象になっています。

では防御側はどう考えるべきでしょうか。第一に、メールアドレスのドメインから所属を“推定”してアクセス制御する設計自体が、パースの曖昧さを抱え込みやすい点を認識する必要があります。第二に、どうしてもドメイン制限が必要なら、検証・保存・参照の全地点で同一の解釈になるよう、処理系を統一し、正規化と検証の順序も含めて一貫性を確保することが重要です。第三に、ドメイン判定が組織の信頼境界になる場合は、メール到達確認（そのドメインの受信者であることの証明）や、管理者招待など“推定ではない”手続きと組み合わせ、単一の文字列解析に依存しない形へ寄せていくのが堅実です。

最後に、この研究はコミュニティでも共有・議論されています。Reddit上のwebsecurityresearchコミュニティでも同名の話題が立ち、関心の高さが見て取れます。メールアドレスという日常的な入力であっても、アクセス制御の材料に使う瞬間から「境界のデータ」へ変わる——その感覚をチーム全体で共有することが、再発防止の第一歩になります。