【マンスリーレポート2003/09】ガートナージャパンMLのスパム混入とその後

──────────────────────────────〔Info〕─
Scan Monthly Report　Best Worst
http://shop.vagabond.co.jp/p-sbw01.shtml

ネットワークセキュリティ・インシデント年鑑2003
http://www.vagabond.co.jp/c2/shop/books/p-inc02.html
───────────────────────────────────

>> だれもが投稿可能状態となっていた初歩的な設定ミスの放置が原因
　〜ガートナージャパンMLのスパム混入とその後〜

　ガートナージャパン（以下「ガートナー」と略）の無料メールマガジン「Gartner News」の配信用アドレスからスパムメールが配信された。その後、設定が変更され、もう現在はその心配はない。
　今回のインシデントに対し、ガートナーへコメントを求めたが、残念ながら「回答できません」という返答であった。そこで、すでにガートナーのWebサイトで公開されている報告、日経BPサイト「BizTech」に掲載されたニュース（ http://biztech.nikkeibp.co.jp/wcs/leaf/CID/onair/biztech/inet/267998 ）を元に、発生から対応までの経緯をまとめ、また考察を加えてみた。

■発生から対応までの経緯

　問題となった「Gartner News」は毎月15日と末日の月2回の配信で、ガートナーのWebサイト（ http://www.gartner.co.jp/ ）から購読申し込みができる。

>> スパムメール中継の発覚から対応までの主な経緯

9月21日（日）
・午前3:06
　　外部の第三者（中国の通販事業者）がGartner News配信に使用しているメーリングリスト用メールアドレス宛てに、中国語のHTML形式のスパムメールが送信され、購読者全員に配信される。
・午前11時頃〜（設定変更されるまでの間）
　　複数の購読者から当該メールアドレス宛に返信・問い合わせされたメッセージが購読者全員に配信される。これにより送信者のアドレスやメッセージ内容が購読者全員に開示されてしまった。
・午後14:30
　　ガートナーの情報システム部門が対策を開始
・午後22:00
　　同部門による、ガートナーがメーリングリスト用アプリケーションの設定処理を終了
9月22日（月）
　　ガートナーは「Gartner News配信用メールアドレス宛のスパムメールについてのお詫び」をサイトに掲載。ここで購読者のメールアドレス漏洩やウイルス感染の危険がないことも調査・確認したことも報告。
　（ http://www.gartner.co.jp/gn/information.html ）
9月30日（火）
　　ガートナーは「Gartner Newsメーリングリストにおいて発生したセキュリティ・インシデントに関するご報告」をサイトに掲載。原因や社内専門家のシステム監査を受け、各種システムの見直しを継続していることも報告。
　（ http://www.gartner.co.jp/gn/report.html ）

>> 原因は初歩的な設定ミスの見落とし

　メーリングリストを運用する場合、メールマガジンなど配信専用に使うアドレスに対しては、運営側のみから投稿可能とし、それ以外からの投稿は拒否（遮断）するように設定される。鉄則ともいえる極めて基本的な設定だ。この部分の設定に見落としがあったため、今回の事件が起こった。

　日経BPの記事（URLは上記参照）によれば、ガートナーが2003年3月頃に実施したメール・サーバのアプリケーション入れ替え時に設定を誤ったとのこと。つまり、設定の見直しや再チェックが何らされることもなく放置され、たまたま今回のスパムメール騒動により、そのミスが明らかになったことになる。

【執筆：井上きよみ（アイドゥ）】

（詳しくはScan Security Managementをご覧ください）
http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?ssm01_netsec