これは私が経験した「セキュリティ対策って本当に大事なんだな」と身に染みた話です。
結論から言えば、フレームワークの脆弱性を突かれ、メールサーバーを悪用されてしまったという内容です。
事の発端は突如届いたメールサーバーの利用停止通知から始まりました。
メールのバウンス率が問題になり、利用停止に
問題は突然起こりました。
サーバーから「バウンス率が10%を超えているため、改善しないと利用停止します」という旨のメールが届きました。
当時正常に動作しているときは1日多くて1500件ほどのメール送信、バウンス率は1%未満だったのに、その時は一度に6000件を超えるメールが送信されており、一番の問題はバウンス率が10%以上だったことです。
とにかく早い復旧のため、その時は認証鍵を更新したり、ポート制限したりなど目先でできる対応をして、対応内容を返答しました。
しかしそれから1週間後ぐらいに再度同様のボリュームでメールがあり、あっという間にメールサーバーが利用停止になってしまいました。
調査開始
本格的な調査は最初の通知をもらって以降、継続して進めていましたが明らかな原因を見つけることはできませんでした。
・各企業のメール設定
・メールサーバーの送信履歴
・サーバー内のプロセス確認
・サーバーへの過去のログイン履歴確認
上記対応など思い当たることはすべて確認しましたが、はっきりとした原因はわからず。
しかしメールサーバーで実際に送信したメールのタイトルや内容、送信先、送信日時を確認すると、企業がそもそも送ることができないような内容でメールを送信していることがわかりました。
原因特定
次に利用しているフレームワークの脆弱性について調べました。
バージョンもまあまあ古いからと思いつついろいろ調べると、1つ引っかかるものを発見。
設定ファイルの設定によっては中のデータを抜き出せたりできるような内容でした。
急ぎ修正し、再度復旧申請をすることで3日後無事復旧することができ、それからは1度も起こってないないです。
初めて停止されてから最終的に対策を打てるところまで2か月かかりました。
今回の件での振り返り
3~4年ほど前にエンジニア転職をした私は正直セキュリティ対策を少し軽んじていました。
大きいサービスにしか攻撃とかしないでしょなんて甘すぎる考えを持っていました。
しかしバウンス率が10%を超え、メール送信の機能が滞り、サービス全体に迷惑がかかっていたあの時は常に考えてしまうぐらい気が休まりませんでした。
当たり前の話かもしれませんが、安全にサーバーを運用できる幸せとセキュリティ対策の大切さを思い知らされました。
今回は「セキュリティ対策って本当に大事」ということを学んだ経験を今後の私の戒めになるよう書きましたが、もし当時の私のようなセキュリティ対策を軽んじている方がいましたら、ほんの少しでもこの怖さが届いて、ほんの少しでも意識が変わってくれると嬉しいです。
(もはやメールサーバー悪用して大量のメール送信程度で済んでよかった、、、)