- 2015年10月21日
- 事故レポ
事故レポファイル第三回 メールサーバ乗っ取りでブラックリスト入り【スパム認定されました】
本シリーズの第三回です。今回は「メールサーバを乗っ取られた」という事例をお伝えします。
「たかがメールサーバ」と侮るなかれ、インターネットの各所からスパム認定をされると、メールが送信できなくなる、という大きな被害が有ります。
事故の概要
某コールセンター請負会社、そこは自社のメールサーバを運用している。
仕事の特性上、テンポラリの社員が多く、情シスの担当社員もいるが、とても忙しい状態であり、社員が増えると、メールコンソールでアカウント発行やパスワードの設定をやっていた。
そのような状態であったため、パスワード管理、アカウント管理がおざなりになっていた。
攻撃者はそこを狙い、辞めた社員のアカウントをブルートフォースアタックで乗っ取った。攻撃者はメールサーバーの乗っ取り後、スパムメールを発信、その総数は数百万通に上る。
被害総額
掛かった直接の費用は、セキュリティ会社に対策を依頼した額、100万円。ただしその間、メールが届かない、遅れないなどの業務上の支障が多発。
機会損失が相当程度合ったのではと考えられる。
事故発覚の経緯
お客さんのメールがとどかない、という訴えが多発したことで発覚。
発覚のしばらく前から、「メールの調子が悪い」との訴えが寄せられていたが、情シスは忙しく、「環境依存のトラブルだろう」と放置していたところ、徐々にメールの不具合が拡大し、ついには携帯メールまで届かなくなり、調査を決意。
調査会社に依頼し、現状を見たところ、メールサーバーが乗っ取られ、スパムを数百万件をはかれていた。また、各所のスパムハウス(スパムサーバーの認定を行っているサービス会社)に通報され、ブラックリスト入りしていた。
乗っ取られてから2週間は、このような状態が放置されていた。
初動対応
まずスパムをはいていたアカウントのパスワードを強化し、メールサーバの設定を変更。対策を行っているセキュリティ会社のリレーサーバを経由してメールを飛ばすようにした。
また、一方でスパムハウスにスパム認定を取り下げてもらうように、要請を送った。スパムハウスには様々な規模の場所があり、要請から一,二週間ですぐ対応してくれるところもあったが、3カ月かかったところもある。
原因と予防策
基本的な事項をしっかり行うことで、このような乗っ取りは防げる。
・辞めた社員のアカウントを放置しない。メールのみならず、グループウェアなども。一昔前Yahooが起こした数百万件の個人情報漏洩事件は、辞めた契約社員のアカウント経由で発生した事件。
悪質な事件に発展する可能性もあるため、辞めた社員のアカウントはきちんと把握しておく。
・パスワード強度をあげる。サーバーのパスワードは最低半角英数字+記号で一二文字以上であることが望ましい。
・送信ドメイン認証 認証が甘いとSMTPサーバはパスワード無し、IDで乗っ取られてしまう可能性がある。レンタルサーバーなどの設定をそのまま利用しているケースでは少ないが、自社でサーバーを運用している時などは、問題となることが多い。
POPbeforeSMTPの設定を必ずすること。
モリイコウジから一言
深夜もかなり良い具合の時間になり、俺の頭の中でイッツアスモールワールドがループしだす。
早く現場に出ないでも良くなるようにしないとな〜、俺も33だしな〜 的な感じでクライアント企業を出て松屋で飯食って時計見た時が6時10分 。
金曜になっとった・・・アメトーク見逃した・・・深夜アニメ見逃した・・・ 深夜アニメをリアルタイムで見れる生活を送ろう、そう固く誓うヲレだった・・・ (が、いまだ実現できず!!!)