千葉大学ウェブサイト経由し約 6 万件の迷惑メール送信
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・発生したインシデントの概要
・セキュリティ対策
今回の解説ニュース
Webサイトが悪用され、迷惑メールが大量に送信されてしまったということです。今回発生したインシデントの概要と、その対策について説明します。
今回のインシデントは、大学のWebサイトを公開するために運用していたWebサーバが、約6万件の迷惑メールの送信に利用されたというものです。Webサーバのホスティングサービス事業者から、当該サーバから迷惑メールが配信されていたことが確認されたため、発覚しました。原因として、Webサイトのコンテンツ領域に保存されていたサイト更新用ソフトウェアのスクリプトファイルが攻撃者に悪用されたことが挙げられています。
対策として、Webサーバ上のすべてのファイルにアクセスできないよう措置を行いました。再発防止策として、Webサーバ上のファイルを走査し、不正に改ざんまたは設置されたファイルを削除するなど、サイトの復旧に向けて対応するとともに、公開しているWebサイト以外にも同様の攻撃が行われていないか調査するということです。
発生したインシデントの概要
今回のインシデントは、コンテンツ領域に保存されていたサイト更新用ソフトウェアのスクリプトファイルが攻撃者に悪用されたと公表されていますので、そこから推測される具体的な手口について説明します。
まず、Webサイトを利用した迷惑メールを送信する手口として、脆弱性を悪用した攻撃が挙げられます。具体的には、Webサイト上にお問い合わせフォームなど、メールを送信する機能があり、その宛先が任意に設定できるような脆弱性があった場合、攻撃者が迷惑メールを送信するための踏み台として利用できる可能性があります。
また、攻撃者がWebサーバー上で任意のコードを実行できる場合、迷惑メールの送信が行われる可能性があります。具体的には、Webサイトをブラウザから更新するためには、Webサーバ上で一定のコマンドを実行できる必要がありますが、ここに任意のコマンドが実行できる脆弱性が存在すると、迷惑メールを送信するコマンドが実行される可能性があります。
なお、サイト更新用ソフトウェアの認証が正しく行われていないと、その機能を利用して悪意のあるスクリプトが設置される可能性もありますので、注意が必要です。