事故から学ぶ

山口県産業技術センターのメールサーバによる外部メールの不正中継について

事故概要

業種 (地独)山口県産業技術センター
発生時期 2020/04/30-2020/05/13
漏えい人数
事故概要

2020年4月30日(木)から5月13日(水)までの間、山口県産業技術センター(以下「センター」という。)が管理するメールサーバが、外部から第三者に宛てた電子メールを意図せずに中継していたことが判明しました。
1 状況
悪意のある第三者により、センターが管理するメールサーバが利用され、不特定多数に対して、迷惑メールが送信された。
・ 送信数は不明。
・ メールは国外のサーバから発信されており、センターのメールサーバを中継して送信された先は、フリーアドレス(HotmailやGmail等)やアドレス末尾の国別コードがブラジルを示す「.br」が多い。
・ メールの文面は、ポルトガル語により、広告掲載を勧誘する内容が記載されている。
・ 本件によるセンターからの情報漏洩はなし。
・ センターが管理するメールサーバへのウイルス感染はなし。
・ 本件に伴いセンターのIPアドレスが一部の「ブロックリスト(不正中継データベース)」に登録されたため、センターから送信された一部の電子メールが相手に届いていない(現在順次復旧中)

引用元 (地独)山口県産業技術センター

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-1(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?

■ 推奨対策

対策:

原因は 2016年にメールサーバを更新した際に、設定に誤りがあり、外部(特定のグローバルIPアドレス)から第三者に宛てた電子メールが転送可能な状態となっていたためとされている。
多くても2-3人、場合によっては一人で行う設定作業にミスがあると、漏えい事故の発覚に気づきようがない、という事態を引き起こす。今回のケースは設定から4年間にわたり気づかなかったが、他社事例では7年間気づかなかった事例もあるぐらい、ブラックボックスでの事故である。

具体例:

対応として
・外部からの第三者によるメールの不正中継ができないように、メールサーバの設定を修正した。
・関連機器の設定状態について、再度点検し再発防止を図る。
・メールサーバのセキュリティを強化するための改修を行う。
これだけでは、一人や少数の人間によるブラックボックス内の作業ミスを発見できないであろう。
そのためにテストツールなどを用意して点検と監査を行うところまで仕組みを考えるべきである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。