知って得するセキュリティのはなし その64
山口県産業技術センターのメールサーバー、設定ミスによりスパムメールの踏み台に
1.このニュースをざっくり言うと
- 5月13日(日本時間)、山口県産業技術センターより、同センターが管理するメールサーバーが4月30日~5月13日の間にスパムメール送信の踏み台として悪用されていたと発表されました。
- 国外から当該サーバーを中継して、ポルトガル語によるスパムメールが送信されていたとのことで、マルウェア感染や情報漏えい等は発生していなかったものの、当該メールサーバーがブロックリストに登録された結果、サーバーから送信された正規のメールが一部相手に受信されないケースが発生していたとのことです。
- 2016年にメールサーバーの更新の際、設定ミスにより外部からの任意のメールを第三者に中継可能になっていたとのことで、対策を行うとともに、以後も関連機器の設定確認やセキュリティ強化等の対応を行うとしています。
2.執筆者からの所感等
- メールサーバーのいわゆる「第三者中継(オープンリレー)」はインターネットが広く利用されるようになった90年代から問題視されている古典的なもので、既にIPアドレスによる制限やSMTP認証による対策が一般的となっています。
- 今回のように、サーバーの更新によるセキュリティ設定の漏れ、あるいは何らかの脆弱性が新たに発生することも時々起こり得るため、こういった攻撃手法が存在することを踏まえた上で、第三者機関によるネットワーク診断も含めたチェックを行うことが重要です。
- また、スパムメールやマルウェアメールを拡散しようとする攻撃者が、このような対策を回避するため、不正アクセスやマルウェアを用い、外部への送信が許可された社内LANあるいはメールサーバーを利用するユーザーのPCに侵入することも今や定石となっており、攻撃者やマルウェアの侵入そして外部への不正行為を阻止するために、アンチウイルスやUTMによる防御を行うこともやはり重要です。
