本シリーズの第三回です。今回は「メールサーバを乗っ取られた」という事例をお伝えします。

「たかがメールサーバ」と侮るなかれ、インターネットの各所からスパム認定をされると、メールが送信できなくなる、という大きな被害が有ります。

事故の概要

某コールセンター請負会社、そこは自社のメールサーバを運用している。

仕事の特性上、テンポラリの社員が多く、情シスの担当社員もいるが、とても忙しい状態であり、社員が増えると、メールコンソールでアカウント発行やパスワードの設定をやっていた。

そのような状態であったため、パスワード管理、アカウント管理がおざなりになっていた。

攻撃者はそこを狙い、辞めた社員のアカウントをブルートフォースアタックで乗っ取った。攻撃者はメールサーバーの乗っ取り後、スパムメールを発信、その総数は数百万通に上る。

被害総額

掛かった直接の費用は、セキュリティ会社に対策を依頼した額、１００万円。ただしその間、メールが届かない、遅れないなどの業務上の支障が多発。

機会損失が相当程度合ったのではと考えられる。

事故発覚の経緯

お客さんのメールがとどかない、という訴えが多発したことで発覚。

発覚のしばらく前から、「メールの調子が悪い」との訴えが寄せられていたが、情シスは忙しく、「環境依存のトラブルだろう」と放置していたところ、徐々にメールの不具合が拡大し、ついには携帯メールまで届かなくなり、調査を決意。

調査会社に依頼し、現状を見たところ、メールサーバーが乗っ取られ、スパムを数百万件をはかれていた。また、各所のスパムハウス（スパムサーバーの認定を行っているサービス会社）に通報され、ブラックリスト入りしていた。

乗っ取られてから2週間は、このような状態が放置されていた。

初動対応

まずスパムをはいていたアカウントのパスワードを強化し、メールサーバの設定を変更。対策を行っているセキュリティ会社のリレーサーバを経由してメールを飛ばすようにした。

また、一方でスパムハウスにスパム認定を取り下げてもらうように、要請を送った。スパムハウスには様々な規模の場所があり、要請から一，二週間ですぐ対応してくれるところもあったが、３カ月かかったところもある。

原因と予防策

基本的な事項をしっかり行うことで、このような乗っ取りは防げる。

・辞めた社員のアカウントを放置しない。メールのみならず、グループウェアなども。一昔前Yahooが起こした数百万件の個人情報漏洩事件は、辞めた契約社員のアカウント経由で発生した事件。

悪質な事件に発展する可能性もあるため、辞めた社員のアカウントはきちんと把握しておく。

・パスワード強度をあげる。サーバーのパスワードは最低半角英数字＋記号で一二文字以上であることが望ましい。

・送信ドメイン認証　認証が甘いとSMTPサーバはパスワード無し、IDで乗っ取られてしまう可能性がある。レンタルサーバーなどの設定をそのまま利用しているケースでは少ないが、自社でサーバーを運用している時などは、問題となることが多い。

POPbeforeSMTPの設定を必ずすること。

モリイコウジから一言

深夜もかなり良い具合の時間になり、俺の頭の中でイッツアスモールワールドがループしだす。

早く現場に出ないでも良くなるようにしないとな〜、俺も33だしな〜 的な感じでクライアント企業を出て松屋で飯食って時計見た時が6時10分 。

金曜になっとった・・・アメトーク見逃した・・・深夜アニメ見逃した・・・ 深夜アニメをリアルタイムで見れる生活を送ろう、そう固く誓うヲレだった・・・ （が、いまだ実現できず！！！）