HOME >> 情報セキュリティ >> 脆弱性対策 >> 知っていますか?脆弱性 (ぜいじゃくせい) >> 10. メール不正中継

10. メール不正中継

2007年7月12日 掲載

イントロダクション

F社はペットフード、ペット用品の販売会社です。
自社のウェブサイトで商品の販売をしていました。

M氏
「ウェブサイトのおかげで売上も好調だし、せっかくだからお客様の声も聞いてみたいな。」
「お客様の声を聞くために問合わせのページを設置しよう。」
「問合わせページを設置したぞ。」
「これでお客様の声を集めて、サービスの向上にも役立てられるだろう。」

A子さん 「今日もメールチェックしようっと。」

迷惑メールが並んでいるイメージ

A子さん 「もうっ、なんなのよ!」
「どうしてF社から、こんなにたくさんの迷惑メールが来るの?」

M氏 「最近、メール送信の量が多くなっているのはなぜだろう?」
「ウェブサイトの運営に支障が出てきているわけではないが、悪用されていたら困るな…。」

A子さん 「あなたの会社から迷惑メールがたくさん送られて来るのよ!なんとかしてよ!」

M氏 「ええっ!」
「困ったな。研究所の博士に聞いてみよう。」
「博士、一体どうしてこんなことになってしまったのですか?」

博士 「これはメールの不正中継みたいだのう。」
「迷惑メールを発信する踏み台として悪用されておる。」
「ウェブサイトに新しく設けた、問合わせページに問題があったようじゃ。」

M氏 「問合わせページから送られるメールは、管理者である私にしか送られないはずなのに、どうしてですか?」


メール不正中継とは?

博士 「問合わせページなどのウェブアプリケーションでは、このように設定済の宛先だけにメールが送られるのじゃが、」

固定のあて先にメールが飛んでいくイメージ

博士 「ウェブアプリケーションの実装に問題があった場合には、」

不特定多数のあて先にメールを送信されてしまうイメージ

“spam”=迷惑メールのこと

博士 「問題のあるウェブサイトを中継してメールを不正に送信させられてしまうのじゃ。」


メール不正中継の具体的な攻撃例

M氏 「悪用されてしまって会社にはどんな被害があるんでしょうか…。」

博士
「悪質な迷惑メールのせいで会社の信用は低下してしまうじゃろうな。」
「それよりも、そのウェブサイトに関わりのない一般のユーザにも、被害を与えてしまうことが重要な問題じゃ。」
「この問題を悪用されると、自分の会社が間接的な加害者になってしまうことを覚えておくのじゃ。」

博士 「対策は、IPAのウェブサイトの脆弱性ごとの対策ページを参照するのじゃ。」