事故レポファイル第三回 メールサーバ乗っ取りでブラックリスト入り【スパム認定されました】

本シリーズの第三回です。今回は「メールサーバを乗っ取られた」という事例をお伝えします。

「たかがメールサーバ」と侮るなかれ、インターネットの各所からスパム認定をされると、メールが送信できなくなる、という大きな被害が有ります。

 

【事故の概要】

某コールセンター請負会社、そこは自社のメールサーバを運用している。

仕事の特性上、テンポラリの社員が多く、情シスの担当社員もいるが、とても忙しい状態であり、社員が増えると、メールコンソールでアカウント発行やパスワードの設定をやっていた。

そのような状態であったため、パスワード管理、アカウント管理がおざなりになっていた。

攻撃者はそこを狙い、辞めた社員のアカウントをブルートフォースアタックで乗っ取った。攻撃者はメールサーバーの乗っ取り後、スパムメールを発信、その総数は数百万通に上る。

 

【被害総額】

掛かった直接の費用は、セキュリティ会社に対策を依頼した額、100万円。ただしその間、メールが届かない、遅れないなどの業務上の支障が多発。

機会損失が相当程度合ったのではと考えられる。

 

【事故発覚の経緯】

お客さんのメールがとどかない、という訴えが多発したことで発覚。

発覚のしばらく前から、「メールの調子が悪い」との訴えが寄せられていたが、情シスは忙しく、「環境依存のトラブルだろう」と放置していたところ、徐々にメールの不具合が拡大し、ついには携帯メールまで届かなくなり、調査を決意。

調査会社に依頼し、現状を見たところ、メールサーバーが乗っ取られ、スパムを数百万件をはかれていた。また、各所のスパムハウス(スパムサーバーの認定を行っているサービス会社)に通報され、ブラックリスト入りしていた。

乗っ取られてから2週間は、このような状態が放置されていた。

 

【初動対応】

まずスパムをはいていたアカウントのパスワードを強化し、メールサーバの設定を変更。対策を行っているセキュリティ会社のリレーサーバを経由してメールを飛ばすようにした。

また、一方でスパムハウスにスパム認定を取り下げてもらうように、要請を送った。スパムハウスには様々な規模の場所があり、要請から一,二週間ですぐ対応してくれるところもあったが、3カ月かかったところもある。

 

【原因と予防策】

基本的な事項をしっかり行うことで、このような乗っ取りは防げる。

・辞めた社員のアカウントを放置しない。メールのみならず、グループウェアなども。一昔前Yahooが起こした数百万件の個人情報漏洩事件は、辞めた契約社員のアカウント経由で発生した事件。

悪質な事件に発展する可能性もあるため、辞めた社員のアカウントはきちんと把握しておく。

・パスワード強度をあげる。サーバーのパスワードは最低半角英数字+記号で一二文字以上であることが望ましい。

・送信ドメイン認証 認証が甘いとSMTPサーバはパスワード無し、IDで乗っ取られてしまう可能性がある。レンタルサーバーなどの設定をそのまま利用しているケースでは少ないが、自社でサーバーを運用している時などは、問題となることが多い。

POPbeforeSMTPの設定を必ずすること。

 

 

【モリイコウジから一言】

深夜もかなり良い具合の時間になり、俺の頭の中でイッツアスモールワールドがループしだす。

早く現場に出ないでも良くなるようにしないとな〜、俺も33だしな〜 的な感じでクライアント企業を出て松屋で飯食って時計見た時が6時10分 。

金曜になっとった・・・アメトーク見逃した・・・深夜アニメ見逃した・・・ 深夜アニメをリアルタイムで見れる生活を送ろう、そう固く誓うヲレだった・・・ (が、いまだ実現できず!!!)

 

 

【事故の緊急問い合わせ先】

事故かな?と思ったら、問い合わせフォームからお問い合わせ下さい。非常に緊急の場合はmoriiあっとleon-tec.co.jpまでご連絡をいただければ緊急対応いたします。

LINEで送る
Pocket

Related Posts