バジルは引っ越しました

メールアドレスがspam送信に使われたようです

投稿者: 無謀庵 / 2015年12月22日 - 01:51 / カテゴリー: PC

ドメイン管理会社から、「sfrenatezze.com のメールアドレスからSPAMが多量に送信されている」という通告がありました。

自分の手元ではそれらしい形跡もなく、そんなバカなと思ったんですが、どうもよくよく確認すると本当にやらかしていたらしいので、顛末をここに明記しておきます。
(自分の状況整理という目的もあります)

メールアドレスの状態

当該メールアドレスは、このサイトなどにも公開していたアドレスでした。私のハンドルに sfrenatezze.com がついたあのアドレスです。
ドメイン管理会社はここでは公開する必要がないので伏せますが、サーバーはXREAでやってます。

そのメールアドレスは転送アドレスに設定しており、届いたメールはすべて私のプライベートアドレスに転送されます。
そのため、メールボックス容量も0にしており、一切メールが保存されることもないアドレスでした。

私は、その転送メールアドレスでは、メール送信はできないものだと思い込んでいて、実際私のメーラーでも、そのアドレスでの送信設定は行っていませんでした。
しかし実際は、転送のみに設定したメールアドレスでもSMTPサーバーにログインでき、メールを送信できる、という仕様でした。

仕様を勘違いしていたこともあり、このメールアドレスのパスワードについてはまったく注意を払っていませんでした。
SPAM送信が発覚してから、サーバー側でパスワード変更処置が取られたため、以前どんなパスワードが設定されていたかもわかりません。記憶にもありません。
下手をすれば空欄、ノーパスワードの状態だったかもしれません。「転送だけだからパスワード要らないだろう」と、パスワード欄を空欄に設定したかもしれません。

その結果、SPAM送信にメールアカウントを使われてしまった、ということのようです。

もしXREAユーザーの方で、私と同じく「転送メールアドレスでは送信できない」と勘違いしている方がありましたら、そのアカウントのパスワードを強固なものに変更することをオススメします。

情報漏えいの範囲について

メール送信には、SMTPサーバー名と、メールアカウントとパスワードが必要です。

おそらく多くのレンタルサーバーでは、公開しているメールアドレスから、メールアカウント名とSMTPサーバー名はわかります。
よって、パスワードが漏洩、または破られる(あるいはそもそもパスがかかっていなかった)だけで、メール送信ができるようになります。

メールパスワードを直接確認するためには、XREAへのログインが必要になります。
まず私がXREAを使っていることがわかった上で、さらにXREAの数百のサーバーのうち、どのサーバーを使っているかがわからなければログインできません。
それは、メールアドレスだけからはわかりません。
まあ、隠していたわけではないので、どこかでわかるところはあるとは思いますが。

また、XREAのログインパスワードは、文字数二桁のランダム文字列で、辞書攻撃で破れるようなものでもありません。
任意設定ではなく、ランダムに自動設定されるため、他サイトへの使い回しもありえません。
(個別のメールパスワードは自由設定です)

XREAにログインされてしまっているなら、 sfrenatezze.com のメールアカウントひとつだけでなく、全メールアドレス及びレンタルウェブスペースをすべて自由に出来てしまうわけで、そういうことをされた形跡はありません。

おそらく、私が非常に脆弱なパスワード(最悪パスなし)のメールアドレスを公然と公開していた、ということが原因ではないか、と推定します。

他に、私のPCが何らかのウィルス・マルウェアに感染してメール送信を行っている線も、そもそも私のPC内に問題のアドレスでの送信設定が存在していないことから、ありえないように思います。

SPAMが送信されている間に起きたこと

特に何もありませんでした。

SPAMを送っている間、送信に失敗してエラーメールが返されれば、それが私のアドレスに転送されてきて受信ボックスが溢れ返る……というような事態が起こるかとおもいきや、そういうことはまったくありませんでした。
Fromを偽装するなどして、エラーメールは別のところに返るようにしていたのかと思います。

パスワードが破れている他人のメールアカウントなんて多くは手に入らないでしょうから、持ち主に気づかれないように使うのは当然のことかもしれません。

事後策について

当該メールアドレスのパスワードは、管理会社に変更されました。
念のため自分でも確認しましたが、長いランダム文字列でした。

更にXREAおよびドメイン管理会社のログインパスワードも、念のため変更しました。もちろん最大長のランダム文字列です。

私は3年前に、パスワードを要求されるサービスはすべて、それぞれ異なる、できるだけ長いランダム文字列のものに変更しています。
何らかのパスワードが流出していたとしても、他に波及する余地はないはずです。
アカウントがあることを忘れているようなサービスに、かつて使いまわしていたパスワードがあるとは思いますが、今使っているサービスは違うパスワードになっています。

一応パスワード変更は仮の処置として、メールアドレス自体の使用を停止しようかと考えています。

最後に

私のアドレスから送られたSPAMを受け取った方には、お詫び申し上げます。

私もさっぱり意識が向いていなかったのですが、レンタルサーバーで作成できるメールアドレスは、アカウント名とSMTPサーバー名はメールアドレスから容易に推定できてしまいます。
あとはパスワードだけなので、総当りや辞書攻撃で簡単に破れるようなものに設定していると、破られます。

ちなみに、XREAのメールパスワード設定の仕様を確認したところ、少なくとも今は、パスワードなしの設定は不可能でした。
過去には可能だったかもしれず、また、現在でもわずか3文字のパスワードでも有効になるようです。

Gmailのほうが、パスワードへのアタックがあったらアラートがくるだろうし、二段階認証があるなど、色々とセキュアかもしれませんね。

 

 


コメントを残す

コメントは管理者の承認後に表示されます。


名前: