>第二報についてはこちらを確認ください
>第三報についてはこちらを確認ください
>最終報についてはこちらを確認ください
SBテクノロジー(以下当社)は、当社が構築及び管理を行う自治体情報セキュリティクラウドのメール中継システムにおいて、障害対応メンテナンス時の設定変更不備により不正中継(オープンリレー)可能な状態になり、悪意のある第三者にメール送信に利用されたことを確認しました。これにより大量のメールを送信する結果となり、受信拒否リストに登録され各自治体のメール送信ができない事象が発生しました。それを受けて、不正中継が可能な状態を解消した後、各受信拒否リスト管理団体に解除申請を行ったところ、3月20日20時07分に主要な受信拒否リストの解除を確認しました。
また、不正に送信されたメールの総数は912,299件となっており、うち国内ドメイン向け(.jp)は2,467件、国外ドメイン向け(それ以外)は909,832件になっております。
お客様をはじめ多くの関係者の皆様に多大なるご心配とご迷惑おかけいたしますことを、深くお詫び申し上げます。
現在も調査および対応を続けておりますが、本事象により個人情報を含む各自治体内の情報が漏洩したことは認められておりません。
確認できた事実関係の概要は次の通りです。
1.対応の経緯
| 3月18日(金) | 14:43 | メール中継システムにおいて送信障害が発生。 |
|---|---|---|
| 14:50 | 送信障害の原因特定のための調査を開始。 | |
| 15:58 | 通信を制御するためのリスト(以下ACL)の緊急メンテナンスを実施し、送信障害を解消。 | |
| 18:40 | メール中継システムの異常を検知し、調査を開始。 調査の結果、15:58の実施内容に不備があり、①不正中継が可能な状態になっていることが判明。 |
|
| 18:55 | 当該不備を修正し、①不正中継状態を解消。 | |
| 21:30 | メール中継システムが②受信拒否リストに登録されていることを確認。解除に向けた対応開始。 | |
| 3月19日(土) | 19:00~ | ログ解析により、不正中継が発生した自治体、不正送信メール数および送信時刻を確認。県担当者に順次報告。 |
| 3月20日(日) | 20:07 | ②主要な受信拒否リストの解除を確認。不通となっていた業務上必要なメールアドレスへの送信が可能となる。 |
| 3月21日(月) | 18:00~ | 各県担当者へ不正送信メールの総数および国内ドメイン向け(.jp)送信数を報告。 |
2.原因
メール中継システムにおいて、ACLのメンテナンスを実施しましたが、この設定に不備があったため、不正中継が可能な状態となりました。
本来、設定変更し有効化を行う際は、設定を実施した者と別の者が変更内容に問題ないか二重チェックを行うことになっています。しかし、今回の緊急メンテナンスにおいては、二重チェックが不十分なものとなり、不正中継を許す結果となりました。
また、設定変更後の不正中継テストを実施していなかったため、早期発見をすることができませんでした。
3.影響範囲
(1)不正中継により送信されたメールの件数:912,299件
(2)不正中継に使用されたと思われるメールアドレス
インターネット上で入手可能なメールアドレスから使用されたと考えられます。
(3)一部メール送信ができない状態が発生
当社管理のメール中継システムの設定変更を行った際、不備があったため不正中継可能な状態となり、悪意のある第三者のメール送信に利用されました。そして、大量のメールが送信されることとなり結果的に受信拒否リストに登録され、自治体の一部のメールが送信できない事象が発生することとなりました。
4.再発防止策
・二重チェック
二重チェックの徹底を目的に作業内容を記録します。作業時は設定内容を読み上げ、音声および映像で記録します。また録画データをチェックする第三者も配置し、二重チェックが確実に行われていることを確認します。これらを運用ルールに組み込みます。
・不正中継チェック
設定の確認以外に、別途不正中継チェックツールを用いた検査を徹底します。
今後は、このような事態が発生しないよう再発防止策の徹底に努めてまいります。
本件に関する問い合わせ先
●SBテクノロジー株式会社 コーポレートコミュニケーショングループ 吉田、馬場
E-mail:sbt-pr@tech.softbank.co.jp
