メールアカウント乗っ取りの体験談とセキュリティの重要性

レンタルサーバーを選ぶ際には、セキュリティ関連の機能についても意識する必要があります。とくに企業・法人向けのサーバーを検討している場合、非常に重要なポイントです。

しかしセキュリティ面というのは、実際に被害にあった経験がないとその大切さがなかなか分かりにくいものです。そこで少しでも重要性を伝えるために、管理人自身の昔の体験談を紹介してみたいと思います。

心当たりのないエラーメール

管理人は複数のレンタルサーバーを使用しています。個人で運営しているサイトのためのサーバーも幾つかあれば、あるいは会社のコーポレートサイトを公開しているビジネスサーバーもあります。

名前は伏せさせていただきますが、当時使っていた個人向けサーバーのなかの一つにおいてメールアカウントの乗っ取り事件に遭遇しました。
※この体験談は私の管理ミスという影響が大きく、レンタルサーバー側に手落ちがあったわけではないためサービス名称は非公開としています。

まずある日メールチェックをしていると、ニ通のエラーメールが届いていました。いわゆる「宛先不明」で返ってきてしまったタイプのメールで、「Undelivered Mail Returned to Sender」という件名になっていました。

しかしそのアカウントではメール送信を行うことはほとんどなく、また記載されていた宛先についてもまったく心当たりのないものでした。そこで思い当たったのが「メールアカウントを乗っ取られたのでは」ということです。

なお、たんに「Undelivered Mail Returned to Sender」という件名のメールを受信しただけであれば、宛先不明を装ったなりすまし迷惑メールの可能性もありました。
ただ、このときは受信メールをGmailに自動転送する設定を行っていたのですが、Gmail側には転送されていませんでした。つまり自分のアカウント自身が送信した上で、宛先不明になって返ってきた可能性が高い、と判断しました。

念のために、この時点で即座にサーバーの管理画面にログインし、該当アカウントをはじめとするメールアドレスのパスワードをすべて変更しました。

パスワードクラックが発覚

その後サポートセンターにメールを送って問い合わせたところ、メールサーバーの送信ログを調べてくれました。そしてログによると、そのメール送信時の接続元は「モルドバ共和国」となっており、第三者がメールアカウントを不正に使っていたことが発覚しました。

幸いにしてすぐにパスワードを変更したために不正利用は一日以下の時間で止まっていましたが、それでも一時的に第三者に乗っ取られたというのはかなりの驚きでした。

原因として考えられるのはパスワードでした。このアカウントでは当時は比較的単純なパスワードを使用しており、おそらくはそれがパスワードの総当り攻撃(ブルートフォースアタック)によって分かってしまい、そこからクラッキングされたと思われます。

その他ウイルス等の可能性もありますが、少なくとも市販のウイルス対策ソフトは一切反応しませんでしたし、またパスワード変更後はぴたりと不正利用は止みました。

予防策とセキュリティについて

重要なのは再発防止策ですが、(今回のメール乗っ取りに関してのみ言えば)ユーザー側でできることとしてはパスワードをなるべく長く、また記号などを含む複雑なものにすることが挙げられます。実際、こうした対処を行ってからは、一度も前述のようなトラブルは起こっていません。

なお現在利用しているエックスサーバーでは、「SMTP認証の国外アクセス制限」という機能が初期設定で有効になっています。これは(攻撃元は海外からが多いため)国外のIPアドレスからの接続があった場合にはメール送信ができないようにする機能です。

そのほか一部の法人向けサービスでは、メール送信ができるIPアドレス自体を指定できる機能を提供している場合もあります(WebArena SuiteXなど)。ただ、こうした機能は、IPアドレスが固定されている企業向けと言えます。

また実際にはセキュリティ面のリスクはメールだけにとどまらず、大量の通信によるサービス停止を狙った攻撃、またウェブサイト上の脆弱性を利用して悪意あるプログラムを動作させる方法など、さまざまなものが存在します。

こうした問題に対処するため、セキュリティ面に気を配ったビジネス向けサーバーでは、様々な対策を施しています。たとえば不正侵入を検知するIDS、さらに検知したあとに自動で防御まで行うIPSと呼ばれるシステム、また脆弱性を突いた攻撃に対処できるWAF(ウェブアプリケーションファイアウォール)といった機能があります。

たとえば当サイトの法人向けレンタルサーバーランキングに掲載しているサービスで言えば、シックスコアはIDSとWAFの併用、WebArena SuiteXはIPS、カゴヤはIPSとWAFの併用といった対策がいずれもとられています。

企業や法人においてレンタルサーバーを利用する場合には、セキュリティの面から考慮しても、やはりビジネス向けサーバーを利用することを強くおすすめします。