メールアカウントを第三者に解読され、メールサーバを乗っ取られ大量の迷惑メールを勝手に送信されたというセキュリティ被害が発生しています。

ここでは、実際に発生した事例を紹介するとともに、対応内容と被害に遭わないための対策方法を紹介いたします。

セキュリティ事故の概要

メールアカウントのパスワードが簡単な設定だったため不正侵入されメールサーバを乗っ取られる。迷惑メールを送る踏み台とされ、数十万通のスパムメールを勝手に送信されました。

security_364

その影響でドメインがブラックリストに登録されていました。

security_362

ブラックリストとは

ブラックリストとは、特定の基準に基づいて構築された、迷惑メールと判断された送信元IPアドレスを管理するリアルタイムデータベースです。『DNSBL』と呼ばれることもあります。

ブラックリストには、「Spamhaus」「Barracuda Reputation Block List」「SpamCop」などのブラックリストがあり、それぞれが独自のブラックリスト判定基準を持っています。

セキュリティ事故の原因は簡単なパスワード設定

乗っ取られた原因は、ユーザー名とパスワードを同じ設定にしていたことでしょう。その他サーバ設定などの原因もありますが、簡単なパスワードでなければ、このセキュリティ事故が発生することはなかったかもしれません。

security_363

このように、ユーザー名と同じ設定だったため、簡単にログインできる状態でした。攻撃者にしてみれば、簡易であるほど簡単に乗っ取ることが可能です。



セキュリティ事故の被害総額

迷惑メールによる金銭的な被害はありませんが、セキュリティ会社に対応を依頼し、被害内容の調査やサーバの切替、セキュリティ診断など原因究明と是正処置に費用が発生しました。

その他、メールが送信先に届かない、メールが送れないなど業務上の支障が多発した。

セキュリティ事故発覚の経緯

WEBサイトの更新を行うためいつもどおりFTP接続を行おうとしたところ、パスワードの変更をしていないのにログインができなくなっていた。

サーバのコントロールパネルからパスワードを変更して接続可能となったが、管理している担当は一人だったため不審に思い調査をしたところメールアカウントが乗っ取られていたことが判明。

そして、大量の迷惑メールが勝手に送られていたことが分かり、弊社にご連絡を頂き調査を実施しました。

初動対応

スパムメールを送っていたメールアドレスを特定し簡易なパスワードを強固なパスワードに設定を変更。

乗っ取りされていたアカウント以外のパスワードも容易に想定される文字列が存在していたため全て英字(大文字、小文字区別有)+数字+記号の組み合わせで16文字以上で再設定。

また、同時並行でスパム認定を解除してもらうよう要請を送りました。要請後すぐに対応してくれたところもありましたが2~3ヶ月要したところもありました。

その間もメールが正常に届くようリレーサーバを構築し全ての解除が確認された後、元のメールサーバに戻しました。

メールサーバ乗っ取りの対応

メールサーバを乗っ取られたときに通常の対応は下記の通りです。

ブラックリストが解除されるまで

security_365

~3ヶ月してブラックリストが解除されたら

security_366

しかし、今回の事例は下記の問題を抱えていたため通常の対応を実施することはできませんでした。

今回の問題
  • レンタルサーバの持ち主であるため、メールサーバの設定変更(中継メールサーバにリレーするための設定が行えない。
  • メールサーバはシステムのログが公開されておらず、ログの監視が不可能で万全な対策が行えない。
  • サーバのセキュリティ対策用の設定変更も行えない。

そのため、次のような対応を実施しました。

実施したメールサーバ乗っ取り対応

security_367

IPアドレスを変更するため、VPSにWebサイトごと引越し。そして、メールサーバのセキュリ対策を実施しました。

セキュリティ事故の原因と予防策

この事例の原因はパスワードをきちんと設定していなかったことです。きちんと設定しておけば今回の被害は防げたと考えられます。

今回は在籍しているスタッフのパスワードが簡単なため発生しましたが パスワードを複雑に設定していても辞めた社員のアカウントを放置していたことによって個人情報漏洩が起こった事例もあります。

また、サーバ側の設定も必ず見直しておきましょう。

予防策

1. パスワード強度をあげる

パスワードは最低半角英数字+記号で16文字以上、ユーザー名とは異なるパスワードを設定しましょう。メールアカウント以外にもグループウェア、各サービスのログイン情報など定期的に変更をすることを推奨します。

2. 辞めた社員のアカウントを放置しない

悪質な事件に発展する可能性もあるため、辞めた社員のアカウントはきちんと把握しておく。

3. 送信ドメイン認証

認証が甘いとSMTPサーバはパスワード無し、IDで乗っ取られてしまう可能性がある。レンタルサーバーなどの設定をそのまま利用しているケースでは少ないが、自社でサーバーを運用している時などは、問題となることが多い。POPbeforeSMTPの設定を必ずすること。

4. SPFレコードを作成する

SPF レコードとは、ドメインからのメールの送信を許可されているメールサーバーを特定するドメイン ネーム サービス(DNS)レコードの一種です。

SPFレコードを記述することで、ドメインの送信元アドレスを偽装した迷惑メールが送信されるのを防ぐことができ、受信側はこのレコードを参照することで、相手のドメインからのメールが認証されているメールサーバーから届いたものであるかを確認することができます。




security_2294
RELATED