メールの不正利用・なりすまし被害に遭った場合の一連の手順 new!
メールの不正利用・なりすまし被害に遭った場合の一連の手順を説明します。なおこの説明は「サポート2」に収録されている『E-Post Mail Server V システム運用ガイド』の44ページ以降に記述されている同じ内容です。
ここでは、サポートした案件から、実際になりすまし・不正中継された事例を紹介します。
- 不正利用・なりすましされたときに最初に気づく現象、その後の対処策
実際に、不正利用・なりすまし・不正中継されたときに、最初に気づくきっかけは、ほぼ共通しています。次のような現象が起きて、利用者から報告があがってくることが大多数です。
メールの配送(送信)に異常に時間がかかっている、なかなか相手に届かない
このような状態になっているとき、まずメール作業フォルダ(/var/spool/epms/)下のリトライ関係フォルダである domains および holding フォルダ、及びメールキューフォルダである incoming フォルダを調べます。
万が一、上記のリトライ関係のフォルダに大量のファイルができていて、何百何千というファイルがあれば、膨大なデータ数のリトライを繰り返している異常状態になっていることがわかります。
このリトライを繰り返している大部分の正体は、スパマーによる不正利用・なりすましをしているメールで、宛先のドメインが存在しないもの、該当メールアドレスが user unknown になっているものなど、リトライを繰り返していることが、これらの現象の原因です。
では、不正利用やなりすましを受けたと判断できた場合、取るべき対処策はどのようなことでしょうか。基本的なポイントは次のようになります。
- (a) 社内利用者のメールクライアントにできるだけ接続をさせないようにして、SMTP 受信サービス(epstrd)およびSMTP 配送サービス(epstdd)を停止。
- (b) domains フォルダおよび holding フォルダの名前を別名にリネーム。incoming フォルダにも大量のファイルがあるときは、incoming フォルダも別名にリネーム。
例)old_domains、old_holding、old_incoming 等
- (c) 不正利用やなりすましを受けている内部アカウントを、取得中のログなどから判定する。
たとえば、SMTP 受信ログ(inlog)を見て、外部への同報送信を異常な数を繰り返し試みているものを探し出したり、あるいはSMTP 配送失敗ログ(faillog)を見て、外部への配送が結果として大量に失敗している記録を探し出す。
- (d) 原因となっている内部アカウントをリネームなどの方法で、いったん使用停止にする。アカウントをいきなり削除すると、該当アカウントのメールボックスも削除されてしまうため。
- (e) SMTP 受信サービス(epstrd)およびSMTP 配送サービス(epstdd)を再開し、domains フォルダおよび holding フォルダの様子をしばらく見るようにする。通常メールのリトライ程度なら、数個のファイルか、多くても数十個程度。リトライ設定時間を経過すれば、やがてそれらのファイルはなくなる。
- (f) 別名にリネームしていた incoming フォルダのデータファイルを確認する。拡張子が .RCP または .$CP ファイルのものをメモ帳で開くと、送信元エンベロープFROM が確認できるので、原因となっている内部アカウントのものでないか、宛先エンベロープTO が、大量に同報送信されているものでないか、などを確認する。
- (g) 上記(f)で該当しない正常なメールデータを見つける。.RCP(または.$CP)ファイルと .MSG ファイルが同じファイル名で一組になっているので、それらのファイルを新しくできている正しい incoming フォルダにコピーする。コピー後、SMTP 配送サービス(epstdd)が自動的に外部への配送を試みることになる。
- (h) domains フォルダおよび holding フォルダについても、膨大に残っているリトライデータの大多数は、なりすましや不正利用によるものと考えられるが、万が一にも該当しない正常メールが残っていないかを見つける。ただし、domains フォルダおよび holding フォルダに格納されるデータ及びその仕組みなどについては、同ガイドの「Kリトライデータの処理と動きについて」を参照のこと。
- (i) 万が一、該当しない正常なメールがリトライデータとして残っていることが判明した場合は、それらのフォルダ、ファイルを新しくできている正しい domains フォルダおよびholding フォルダにコピーする。コピー後、SMTP 配送サービス(epstdd)が自動的に再度のリトライを行い、外部への配送を試みることになる。
- (j) 原因となった内部アカウントに対して、適切な対処を行う。
例1)SMTP 認証が未実施だった場合は、SMTP 認証を実施するようにする。
例2)SMTP 認証パスワードが類推された場合は、パスワードを変更する。
例3)アカウントそのものを削除して二度と使わないようにする
- (k) 今後のことを考え、なりすましや不正利用にあった外部のIPアドレスを拒絶する。
具体的には、マシン接続ログ(acceptlog)やSMTP 受信ログ(inlog)で接続元のIPアドレスを特定し、「マシンごとの中継」【effect.dat】などでそうしたIPアドレスを拒絶・拒否したり(false)、場合によってはリレー禁止(norelay)の設定にする。
- (l) 今後のことを考え、セキュリティをより高めるために用意されたSMTP/POP3/IMAP4各サービスにおける「接続ロックアウト」機能(認証接続ロックアウト機能およびIPロックアウト機能)の導入を検討し、設定を行う。
- 事例その1:A 社、B 社の例(複数あり)
全体でSMTP 認証を実施しており、全アカウントをSMTP 認証有効の設定にしていたものの、構築試験のときに作っていたIDとパスワードが同じ設定のテスト用アカウントが残っていた。そのテスト用アカウントが不正利用され、外部へ大量に配信された。SMTP 認証を実施していても、簡単に類推できるID とパスワードを設定していたことが原因。
- 事例その2:C 社、D 社の例(複数あり)
全体でSMTP 認証を実施しており、全アカウントをSMTP 認証有効の設定にしていたが、「中継の制限」−「マシン毎の中継」【effect.dat】の設定で、本来設定してはいけない内部ドメイン名をtrue指定して運用を続けていた。
'---------------------------------------
domain.jp true
'---------------------------------------
メーリングリスト用アドレスが、なりすまし・不正利用され、外部へ大量に配信された。
SMTP 認証を実施していながら、SMTP 認証を実施して「マシン毎の中継」【effect.dat】の設定で、内部ドメインをtrue指定してしまうような、基本的に絶対にしてはいけない設定をしてしまったことが原因。
内部ドメインをtrue指定すると、どのドメインを語ったものなら、どこからでもSMTP認証なしで無条件に受領と送信、リレーもすべて許可されてしまう。
- 事例その3:E 社の例(複数あり)
多数のメールクライアントの環境を変更したくないために、以前からの使用形態であるSMTP認証を実施しない状態のまま、利用していた。
1つのアカウントが外部から不正中継され、外部へ大量に配信された。
たくさんあるメールクライアントの設定変更作業をきらい、SMTP認証を一切実施していなかったことが根本的な原因。
- 事例その4:F 社の例
SMTP 認証を実施して安定して運用していたが、あるときPOP3認証接続の総当たり攻撃を受け、たまたまある1つのアカウントのPOP3認証パスワードが見破られた。通常の設定ではPOP3認証パスワードとSMTP認証パスワードが同一状態であり、見破られたSMTP認証パスワードが使われることとなり、該当のアカウントが不正利用され、外部へ大量に配信された。
こうしたケースを防ぐ対策方法としては、新機能の「接続ロックアウト」機能を使って、さらにセキュリティを高めるための総合的な防御対策を施しておく必要がある。
- 事例その5:G 社の事例
「中継の制限」−「マシン毎の中継」【effect.dat】の設定で、本来であれば区切り文字として半角スペースを入力すべきところを勘違いして使用してはいけない[tab]コードを使用して設定したところ、外部から不正中継され、外部へ大量に配信される事態となった。
具体的に設定した【effect.dat】は次の通り。この設定の1行目でローカルエリア内のIPアドレスからの接続に対してデフォルトルールを適用し、2行目でその他すべて(外部)のIP アドレスからの接続に対してリレー禁止を設定する意図があった。
'--------------------------------
[ローカルエリア内のIP] [tab] default
*.*.*.* [tab] norelay
'--------------------------------
ところが前述の設定意図に反し、実際にはE-Postは仕様上、【effect.dat】の中に入力されていたコードを無視し、その後をカットして処理する結果となった。実際の動きは不運にも下記と等価になってしまった。
'--------------------------------
[ローカルエリア内のIP]
*.*.*.*
'--------------------------------
結果的には、1行目でローカルエリア内のIP アドレスからの接続に対して無条件許可を意味する "true" 指定をしたのと同じ働きとなり、2行目でその他すべて(外部)のIPアドレスからの接続に対しても無条件許可を意味する "true" 指定をしたのと同じ働きとなってしまった。その結果、2行目に記述していた "*.*.*.*" が "true" 指定されているとみなされ、意図せずに外部から不正中継され、外部へ大量に配信される事態となった。
その後、【effect.dat】に入力する区切り文字を正しい半角スペースに訂正、以降は意図した通りの動きが得られることとなった。
'--------------------------------
[ローカルエリア内のIP] default
*.*.*.* norelay
'--------------------------------
(関連FAQ)
●不正中継の踏み台対策
●inlog、acceptlog、outlog、faillog等のログのファイルサイズが異様に膨れ上がっている
●作成されていないアカウントで受理され、勝手な送信を許している
●メールの不正利用への対処後、incomingフォルダから一時的に待避させていたメールデータを戻すときの注意点
●〔新機能〕SMTP認証時の「認証接続ロックアウト機能」について
●〔新機能〕SMTP接続時の「IPロックアウト機能」について
●〔新機能〕POP3認証時の「認証接続ロックアウト機能」について
●〔新機能〕IMAP4認証時の「認証接続ロックアウト機能」について