Backscatter一覧

後方散乱メール攻撃で撃沈された件

純全帯公です。

忘れもしない2017年11月25日(土)。ルミカのメールサーバーが後方散乱(Backscatter)メール攻撃を受けました。

しかも攻撃対象はなんと純全帯公自身でした。なんと一時間に一万通を超えるスパムメールが送られてきて、メールサーバーの処理能力が追い付かなくなった、というわけです。グループウェアを開いてみると、送信した覚えのない宛先不明のリターンメールがとめどなく流れ込んできていて、何もできない状態となっていました。

ちょっと難しいですが、後方散乱メールというのは、

  1. 「どこかの誰か」が、送り主を「純全帯公」と偽って、「別のどこかの誰か」に勝手にメールを送信する。
  2. 「別のどこかの誰か」、が存在しない場合、メールは宛先不明となって送り主の「純全帯公」宛に戻ってくる。

というパターンで送られてくるリターンメールです。

例えば、ハガキを出すときに、差出人のところに実在する他人の名前と住所、宛先に実在しない名前と住所を書くと、ハガキを出した本人ではなく差出人のところに書かれたお宅に宛先不明のはがきが送られてくる、という仕組みと同じです。

ちなみに「後方散乱」とは物理学の用語です。

後方散乱

物理学において、後方散乱backscatter, backscattering) はや粒子もしくは信号の、来た方向への反射をいう。散乱に起因する拡散反射であり、鏡面反射とは異なる。天文学写真超音波検査の分野で応用上重要である。

出展:ウィキペディア

言い得て妙ですね。

メールサーバーにログインしてみるととんでもないことになっていて、大急ぎでネットで修復方法を調べ、対策プログラムを書いて実行。土日に徹夜してなんとか月曜日の朝までに十数万通のスパムメールの駆除を終わらせました。

そのとき、社内に流した回覧がこれ。

もちろん、こんなことが起こりにくくする方法はあって、ICT情報のメルマガにも載っていたのですが、ついつい忙しさに紛れて対策をさぼっていたバチが当たったというわけですね。

あ、もちろん今は、メールサーバーの正当性を主張するSPFレコードとGoogleの認証用テキストレコードをDNSに追加記述して認証をもらっているので、社内でメールで使用しているドメインは概ね大丈夫です。

通信関係のセキュリティというやつは常に最新技術情報を仕入れて前倒しで対策するのが原則、とわかっていながらこの有様です。深く反省してます。

ちなみに、GoogleやMSN、Yahooなどの大手はまず大丈夫ですが、中小のプロバイダなどのメールサーバーでは未対策のところがあるらしいので注意してくださいね。例えば、

な感じで短時間に大量のリターンメールが入り始めたら要注意です。メールアカウントのパスワードを乗っ取られてスパムメール送信の踏み台にされているか、後方散乱メール攻撃を受けているかのどちらかです。

前者の場合は、メールアカウントのパスワードを変更すればOK。それでもリターンメールが入り続ける場合は後方散乱メール攻撃だということになりますが、この場合はメールアドレスとメールアカウントの両方を変えなければ攻撃は防げません。

ご注意くださいね。