2018年8月23日木曜日

パスワード流出と思われる不正アクセス事件

数日前から出してもいないメールの中継エラーメールが
G Suiteアカウントにやけに多数届くようになりました。
返信メールにbase64でエンコードされた元メールデータがついており、
一応中身を見てみるとキリル文字だったこと、
同時期にdmarcのレポートメールが届いており、
この種のものはこれまでも時々受け取っていたことから無視していたのですが、
バースト的に鬱陶しく届くようになったので中身をよく見て、
血の気が引いてしまいました。これやばいやつでした。

インターネットはそもそも性善説から出発したこともあり、
メールの発信元は簡単に偽装できます。
歴史的にはこれを何とかしようと後付けでいろいろ対処しており、
最新はDMARCになるのでしょうか。
まあ構造上消極的な対策となります。

さて今回受け取った送信エラーメール。
そのいくつかはスパムメール扱いされただとか、
受信者のメールボックスがいっぱいで送信できないとかいうもので、
第三者が私の名を騙って大量に送信しているんだろうと思っていたのですが、
送信メールのヘッダ情報など眺めていると、
Googleの正規のメールサーバから送信され、
SPFもDKIMも正常に確認されているようにみえます。
こんなメール送ってもないのにどういうこと?
不可解ながらもふと思いつきGmailの[送信済みメール]を見ると
そこには結構な量のキリル文字のメールがorz
つまり送信元偽装メール事件ではなく不正アクセス事件なのでした。
それらメールを確認していくと本文が
<メールアドレス>:<メールアドレス>:<パスワード>:smtp.gmail.com:587
とかなってるものが散見されます。
完全にパスワード流出です。
おそらくどこかがおもらししたもので
パスワードリスト攻撃されたのでしょう。

こうなれば兎にも角にもパスワードを変更しなければなりません。
Gmailにログインし、ユーザーアイコンの[Googleアカウント]から
[Googleへのログイン]を辿って[パスワードとログイン方法]で
パスワードが変更できます。
管理コンソールにログインして
[ユーザー]メニューから個別のアカウントを指定して
[パスワードを再設定]することもできます。
なお、管理コンソールの私のアカウントには
*****さんは、送信メールの固有の外部の宛先数が多すぎるため、Gmail の送信の制限を超えました。
ご利用の再開までには最長で ** 時間ほどかかります。
なる烙印を押されていました。

今回は運良く不正アクセスだけでハイジャックはされていませんでしたが、
特権管理者アカウントがハイジャックされるとまずいので
この際一般ユーザーから不必要な特権を取り除いておくことに。
[管理コンソール]の[ユーザー]メニューからユーザーを選択し、
[管理者の役割と権限]で[特権管理者]を"OFF"にして[保存]すれば完了です。

ちなみに今回の反省点としては、
  • どこかからの警告を無視しない
  • 送信済みメールはときどき確認する
  • パスワードは使いまわししない
  • 権限は不必要に盛らない
ぐらいでしょうか。
IPAの高度試験多種合格者なのにこんな基本的なこと…
皆さんも気をつけましょう。

0 件のコメント:

コメントを投稿