財団法人日本産業協会のメールサーバ不正中継問題(2002.8.6)

　Scan Incident Report は、スパムメール取締りの法人として指定を受けている財団法人日本産業協会のメールサーバに外部の第三者（スパム業者等）がサーバを利用してメールを送信できる問題（不正中継問題）を確認した。

>> 概要

　経済産業省の特定商取引法および特定商取引法施行規則（省令）において、情報収集、調査、大臣への報告を行う法人として指定されている財団法人日本産業協会のメールサーバに、不正中継が可能な問題が存在した。
　不正中継とは、外部の第三者がメールサーバを利用してメールを送信することができる状態を指す。そのため、スパムメール業者などに悪用されることが多い。不正中継可能なメールサーバはデータベース（ORDB、RBLなど世界的なデータベースが複数存在する）に登録され、当該メールサーバの受信を受け付けないよう設定されることもある。
　同財団のメールサーバは、こうしたスパムメール業者が利用可能な状態となっていた。

>> 問題の影響範囲

　同財団のメールサーバには、後述の方法で不正中継が可能な問題が存在していた。悪意の第三者が既知の方法で自由に同財団のメールサーバを経由してメールを送信することが可能な状態となっていた。
　同財団のメールサーバを利用するために必要な技術的知識はきわめて低いレベルで十分である。

>> 問題の詳細
　下記の方法による不正中継が可能と考えられる。
　　・"!"を使ったpathing
　　・"From"フィード偽装

>> 問題の回避方法

　この問題を防ぐには、メールサーバに適切な設定を行うことである。
　それよりも効果的な対策は、送信時に認証を行う機構（SMTP Authentication、POP before SMTP など）を取り入れればよい。すでに、コンシュマー向けのISPにおいてもこの機構をとりいれているところも少なくない。　同財団でもこの機構をとりいれていれば、問題はおこならなかった。

>> 当該組織の対応状況

　現在、財団法人日本産業協会のメールサーバは、対処を完了し、不正中継の問題が存在しない旨、経済産業省より連絡を受けている。対処内容の詳細については不明である。

7月16日
　匿名の第三者の方から、弊社に、財団法人日本産業協会のメールサーバの不正中継可能性を指摘する英文のメールが、当該団体のメールサーバ経由で届く。不正中継可能性について、可能な範囲での事実確認を行う。

7月17日
　早朝に、財団法人日本産業協会を指定法人として指定している経済産業省にメールにより連絡。
　同日夜に、経済産業省より、調査、点検を実施するとの連絡をいただく。

7月25日
　1週間経過、WEB上で連絡先などの変更が告知されていたため、弊社より経済産業省に再度連絡を行うことにする。弊社より、経済産業省に再度連絡を行い、弊社としてお手伝いできることがあれば協力する旨を申し出た。

7月26日
　経済産業省より、消費者からの情報提供を受ける窓口の再開を最優先とし、メールアドレスを再開したこと、「不正中継問題」が事実としてあったのかどうかという点を含め、システム回りについて調査を継続している旨の連絡をいただく。
　同日、弊社より経済産業省に、事実確認に時間がかかりすぎていることと、必要があれば弊社が協力し事実確認のためのテストを実施したい旨、返信。

7月30日
　弊社より経済産業省に、事実確認に時間がかかりすぎていることと、弊社以外にも本件情報が流れている可能性あるため、記事として発表したい旨、連絡を行う。
　あわせて、8月5日以降記事として発表する予定であることと、コメントがあれば掲載する旨を連絡。
　同日、経済産業省より弊社に対処の経緯などの連絡をいただく。「経済産業省よりの原稿」を参照。
　同日、弊社より経済産業省に、掲載予定記事を送付。

7月31日
　弊社より経済産業省に、前日に送付した記事が本件記事ではなかったことが判明。正しい記事を送付。あわせて、対処の内容の確認と弊社での不正中継テスト実施の許可のお願いを行う。

8月1日
　経済産業省より弊社に、記事修正の依頼がくる。事実の誤りについては修正。付加的に掲載希望の個所については、別途、そのまま掲載することとする。

　本件に関しては、経済産業省に、事実確認などにおいて、多大なご協力を賜りました。誌面を借りてお礼申し上げます。

>> 経済産業省よりご提供いただいた原稿　7月30日

　同日、経済産業省より次の連絡をいただく。『貴社からの情報提供後、直ちにmailagain@nissankyo.jpのアドレスをいったん閉じた上で調査を開始したこと、また、その後、消費者からの情報提供を受けることを優先する観点からmailagain@nissankyo.jpを再度設ける措置を講じた旨連絡をしたところですが、かかる措置を講ずる上で、日本産業協会から許可を受けていない者が当該メールアドレスを発信者とするメールを送信することができないように、あらかじめ措置を施しています。

　また、システム回りについて、日本産業協会から許可を受けていない者が不正にアクセスを行っていないのかどうかという点を含め、調査を行い、このために時間を要していましたが、この調査については、本日午前をもって終了しています。（この調査は、mailagain@nissankyo.jpを用いた日本産業協会から許可を受けていない者が行うメール送信の可能性の調査とは直接には関係のない調査ですが、システム全体の万全を期する上で、この機会に調査をすることとしたものです。）　なお、これまでの調査の結果では、mailagain@nissankyo.jpをfrom欄に掲げるメールがscan staff@vagabond.ne.jp 宛に送信されているケースが１件ありましたが、これ以外に、mailagain@nissankyo.jpをfrom欄に掲げるメールが送信された形跡は全くないことが確認されたとの報告を日本産業協会より受けております。』

編集部　注
　なお、ここに記載されている"vagabond.ne.jp"ドメインのメールアドレスは、現在は、情報提供用のアドレスには使用されて下りません。情報提供の際は、 scan@vagabond.co.jp 宛てにお送りください。
　また、この原稿は、経済産業省からいただきました内容をそのまま転載したものです。内容に関して編集部では関知しておりません。

>> 関連情報

不正中継とスパムメールに関する記事
https://www.netsecurity.ne.jp/article/1/6016.html

自分の利用しているサーバの状況を確認する方法　不正中継確認(2002.8.5)
https://www.netsecurity.ne.jp/article/1/6212.html

財団法人日本産業協会
http://www.nissankyo.or.jp/

経済産業省　電子メールによる一方的な商業広告の送りつけに関する新たな表示義務について
http://www.meti.go.jp/policy/consumer/warehouse/tokushoho/spammail/spammail.html

Scan Incident Report
http://vagabond.co.jp/c2/