Scan編集部が8月に行った、国内 co.jp ドメインで公開されているサーバの実態調査( https://www.netsecurity.ne.jp/article/1/6809.html )。その中で注目すべき事実として明るみになったのが、スパムメール業者等の温床となりかねない、不正中継を許すサーバの多さ。 約20万件のドメインの内、じつに8,833件が不正中継データベースに登録されていた。 今回は、レンタルしていたサーバに不正中継の可能性があったKDDIへ赴き、話を伺った。>> 迅速かつ克明な、報告者へのレスポンス 事業者別(IP保有者別)に不正中継データベース登録状況を集計すると、上位10位のレンタルサーバ事業者だけで、実に7,696件。co.jpドメインで今回不正中継データベースに登録されていることが明らかになった総数の、87%を占めている現状が浮き彫りになった。 つまり企業側に落ち度がなくとも、アウトソースしているレンタルサーバ如何によっては不正中継されてしまいかねない状況なのである。 編集部ではそれぞれのレンタルサーバ事業者にその旨を報告。早急に対処する、と返答するところや、報告に対してなんらレスポンスを返さない企業など、他のネットワークインシデントと同じく“企業によってさまざま”ではあったが、そのなかで最も速く、対処の進捗等のレスポンスがあった企業がKDDIである。4,012件のサーバが不正中継されうる状況にあったことそのものは問題であるが、実際にお会いして話を訊くと、大規模な対応を推し進めていることが判った。 >>【 進捗 】〜9月中に決済を取り、サーバ規模を約1.5倍に 編集部からKDDIへ第一報報告をしたのは9月24日。同日に至急調査するとの返答をもらった。その後、10月1日に組織的な対応を進めているという旨の返答をもらっている。そして実際に取材に赴いたのは10月の16日。この頃にはもう既に着手が始まっていた。KDDIコメント:『今回の件に関しましては、ご指摘いただく前から対策が必要だと社内的には準備を進めていました。9月にはサーバ増設に関する社内決済を済ませまして、現段階では技術部門による基本的な設計が始まっています』 KDDIでは、予算が発生する案件に関しては社内のコンセンサスを取った後に商品開発部が決済を取り、それぞれの部門が実際の対応を行うことになっている。この「決済」に至るまでの稟議でもたつき、その後の対応が立ち遅れてしまう企業もあるなかで、非常に早い時期での決断であった。 本件も同様で、実際の対応はホスティングサービスのグループが主眼となり、技術、CS、セキュリティそれぞれの部門が関わっている。ホスティング部門の中にもセキュリティ担当者は居るのだが、本件の規模を考慮してセキュリティ部門の人員もスタッフに加わる。技術部門に関してはグループリーダー含め社内7名が中心となり、委託業者とで対応していくとのことだ。>>【 技術的な対応 】〜POP before SMTPでの対応 通常、不正中継させないためにはオープンリレー状態の是正(無効化)、設定を変更してメール送信機能の制限をかける、メール送信時に認証を必要とさせる、といった手段が考えられる。KDDIではどのような対応をするのか――KDDIコメント:『他の事業者さんでもやっていることと思いますが、私共では、本来ユーザ認証を必要としない smtp に擬似的にパスワード認証をつける、つまりPOP before SMTPでの対応に向けてプロジェクトが進んでいます』※POP before SMTP メールを送信(SMTP)する前に、認証が必要となる受信(POP)をさせる方式。 取材前に編集部が立てていた予測は、不正中継の可能性を孕むドメイン4,012件においてIPアドレスをみると、それぞれまとまったレンジに入っていたため、1台のサーバに格納されているのではないか、だとすれば設定を変えればそれで事は済むのではないか、と考えていたのだが――――[ Prisoner DAMLAK ] (詳しくはScan Incident Reportをご覧ください)http://shop.vagabond.co.jp/m-sir01.shtml
