orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。

社内メールを乗っ取られてスパムメール送信の踏み台にされる的な話

f:id:orangeitems:20200217170647j:plain

 

意図しないメールが送信された

私はメール運用なんて、さっさとGmailやらMicrosoft365やらにぶん投げちゃえばいいと思っていますが、こういう件があるとさらにそう思いますね。

 

www.itmedia.co.jp

 日本郵便は2月14日、同社のメールアカウントが第三者から不正アクセスを受け、約4000通の意図しないメールが送信されたと発表した。メールは6~7日にかけて送信されたという。同社は7日に事態を把握し、原因や被害状況など詳細を調査している。

 不正アクセスを受けたのは、同社が保有するメールアドレスのドメイン「@jp-international.jp」。日本郵便は対策として、メールアカウントのログインパスワードを変更し、外部との接続も遮断。専門家を交えて不正アクセスの手法や原因、被害状況について調査中だとしている。

 

考察

以下は、日本郵便の件と同一かどうかは関係なく、一般的な話です。

インフラエンジニアと言えばメールサーバー運用が結構なメインの仕事でした。メールを誰かに送信して誰かが受信するまでには多くのドラマがあるのです。

SMTPサーバーというメールを送信するサーバーの仕組みは大昔から変わっていません。ほんと、単にSMTPクライアント(メーラー)からメールを受け取って、送信したい人のSMTPサーバーに問い合わせし、メールを受け取ってもらいます。

なんと、大昔には、そこには「認証」というものが概念がなかったのです。

で、そうなるとどうなるかというと、知らない人がやってきて、SMTPサーバーを使って知らないメールを送り始めるのです。これが「乗っ取られる」というヤツです。

乗っ取られたらいやなので、こんなことをやります。1つはPOP3というメールをダウンロードするサービスがあってこれには認証があるので、この認証を潜り抜けたら一定時間SMTPサーバーが使えるというヤツです。これ、20年前はこの方法が全盛だったなあ(遠い目)。

で、POP3との連携がダサくなってきて、いやいや、SMTPサーバーに認証機能つけましょということでSMTP認証というのができました。今でも主流です。

まぁでも、上記の方法って、インターネットの外から会社のSMTPサーバーにアクセスし、メールを送りたいというニーズがあるからやらなければいけないのです。メールを受け取るときにSMTPサーバーが受信するのはいいとして、送るときは社内のネットワークからしか送れないとしちゃえば、踏み台にされる心配などまずない。

しかし、ユーザーはわがままなのです。オフィスにいつもいるわけじゃないぞい。(特に日本郵便なんて外に何かを届けるのが仕事ですから、知らんけど)会社の外でメールを受け取ったり送ったりしたいのです。だから、やっぱり社内ネットワークのみにメールの送信権を与えるわけにはいかない。しかも偉い人がこれを言うのです。

この結果何が起こるか。ユーザーのパスワードが123456やabcdef、Pass1234なんて、おいおい的な感じで、外からの認証が成功しちゃいます。このIDとパスワードのありきたりな組み合わせを成功するまで試すような攻撃はインターネットにつなげばどんどんトライされています。

また、メールサーバーのIPアドレスは、DNSサーバー経由で社外公開されていますから、攻撃者は、攻撃対象を割り出すのも簡単、あとはIDとパスワードの組み合わせを延々と試せばいつかヒットします。

・・とまあ、ありがちな攻撃、そしてIDとパスワードの組み合わせを割り出したら、あとはこのSMTPサーバーを使ってメールを送るだけです。

しかも、メールの送信者をそのドメインにしてしまえば、あら、日本郵便の正しいメールとして送られてしまいますから、もし内容がスパムだったとしても、受信者には正しいものとして見えてしまうことになってしまいます。なりすまし、ではありませんからね。

 

日本郵便は対策として、メールアカウントのログインパスワードを変更し、外部との接続も遮断。

 

とあるので、乗っ取られたアカウントのパスワード変更、あとは外からメールを受信したり送信したりすることを一時的にやめたのでしょうね、多分。さすがに社内からのメール送信や、インターネットからのメールの受信までは遮断できないでしょうから。

まぁ本来は、社内ネットワークに接続するときはVPN接続をしつつ、メールは社内ネットワークからしか送信できないようにするべきだと思います。

 

メールはできるだけさわりたくない

ということで、メールサーバーの設計や構築を少し間違えるだけで、スパムの踏み台ができあがります。スパムメールを監視しているような組織がインターネット上にはおり、スパムメールを送るSMTPサーバーだと認識されようものなら、「スパムを送るIPアドレスはこれだ」的なブラックリストに登録されてしまいます。

このブラックリストに一度掲載されてしまうと、そのリストを参照しているメールサーバーは多く、世界中のメールサーバーがメールを受け取ってくれなくなってしまいます。

ざっくり、メールにはこういうバックグラウンドがあり、構築にあたっては一通りの知識が必要でして、最近はメールについては冒頭のGmailやOffice365が運用を代行してくれていて、かつWebアプリをかぶせてくれているのでスパム業者が攻撃しにくくなっています。インフラエンジニアの仕事からは減りつつあるのがメールサーバーのお仕事です。

ということで、なんとなく専門外の人にも雰囲気がわかるように解説してみました。

※一般的な話です。