前提
-
弊社は中小企業であり、少人数で情シスをしている
-
弊社は以下の流れでメールの登録方法を統一している
Outlook⇔セキュリティソフト⇔メールサーバー
勿論、登録は情報システム側で行っている
事件発生
12月の最終週月曜日の朝、Outlookでメールを受け取れないという問い合わせをユーザー部門から受けた
1人だけならよかったのだが、複数人から同様の問い合わせがあった
1日目
問い合わせがあった方々のOutlookの設定を見直したが、異常はなかった
社内にあるPCのOutlookを調査していたら、調べているうちにエラーは解消されていた
ユーザー部門の人が解決した?と思い、その日はそれ以降問い合わせもなくなった
2日目
朝、前日と同様のエラーが発生した
原因はOutlookのほかにあると考え、メールサーバーに問い合わせをしてみた結果、以下の内容が分かった
-
弊社IPから誤ったSMTP認証のリクエストが飛ばれており、それが原因で一時的な制限がかかっている
-
認証に失敗しているメールアドレス(以降、"アドレスA"とする)
アドレスAを使用している従業員のPCを調査するため(勤務先と別の場所にあるため)車で移動し、Outlookの設定を確認した結果、特に異常はなく、問題なく疎通が取れた
このとき、どうやら移動中にエラーが解消されていたのだが、疎通が取れて暫く様子を見て再度疎通を試みた結果、疎通が取れなくなった
弊社のIPからリクエストが飛んでいることから、社内のいずれかの端末、もしくはWiFiを介してサーバーにアクセスしていると考えたので、以下を試みた
-
他の端末でアドレスAを使ったかの聴取
-
他の従業員の端末にアドレスAを使用していないか確認
以上2点を試したが、どちらからも成果は得られなかった
3日目
当然エラーは改善されていなかった
流石にお手上げだったため、上長にも確認を取ったが、改善する予兆はなかった
午後、メールの送受信が問題なく行われていたのを確認し、2日目に調査したアドレスAが登録されている唯一の端末の電源を別部署の方にお願いし、電源を付けていただいた
結果、電源を入れて5分ほどでメールが使用不可になった
つまり、アドレスAを登録している端末が原因だということがほぼ間違いないということがわかった
(このとき知ったのだが、前日も自分が帰った後、アドレスAを使用している端末が使われているときもメールが使用不可だったという)
4日目
もう一度該当の端末を調査しに出向いた
ネットワークから切り離し、メールサーバーへアクセス出来ないようにしたうえで設定を見直した
結果、WindowsにプリインストールされているMicrosoft Store アプリのメールに誤ったパスワードで登録されたものを見つけ出すことができた
恐らくアドレスAを使っていた方が誤ってこのメーラーを開き
、自力で登録を試みたのだと思われる
該当の情報を削除したうえでネットワークに接続した結果、エラーは全て解決された
反省点・振り返り
-
ユーザー部門側が誤ってメーラーを開かないようにセットアップ段階で削除しておくべきだった
-
考えていた範囲が狭く、解決に余計な時間を要した
その他細かいツッコミどころはたくさんあるが、解決できたことはよいことであり、同様のことが発生したときに考えられる選択肢が増えたよい機会となった
本件を生かし、別のインシデントに対応できる力を備えたいと思う
ご精読ありがとうございました