非常事態対策
― 乗っ取り攻撃や不正利用への対応 ―

現実社会と同様、インターネットにも油断のならない悪漢たちが存在するおかげで、ある日突然あなたに大きな災厄が訪れ、あなたやあなたの組織が大小の損失をこうむる事態が訪れないとも限りません。このメモは、そうならないために、また万一そうなってしまった場合のために用意したものです。

非常事態発生!!

XMail の運用において以下の事態が生じた場合、あなたの XMail が乗っ取られる可能性、または乗っ取られた可能性、あるいは不正に利用されている可能性があります。迅速で適切な対応が必要です。

POP3/SMAIL/SMTP の各アクセスログのサイズが異常に大きい場合([アクセスログ]メニューで確認)
SMTP ログにおいて、送信元が 127.0.0.1 である大量アクセスがある場合
"フィルタ処理のログ1(XMailCFG)" のログが同様の場合([アクセスログ]メニューで確認)
XMail のプロセスが異常に高負荷になった場合(Windowsならタスクマネージャ等で確認)
短時間に大量の凍結メッセージが保存される場合([オプション]メニューで確認)
正規アカウントによるメッセージ送受信で大幅な遅延または不達が発生するようになった場合
XMail のポストマスターあてに大量のエラーレポートが届く場合
サーバ本体のパフォーマンスが目立って低下した場合
サーバのネットワークアダプタの LED が長時間にわたって切れ目なく点滅している場合
自他の組織の技術担当者からメールシステムに関する異常事態について警告等があった場合
あなたのサーバから送信される正規メッセージがなぜか相手先サーバから受け取りを拒否されるようになった場合

前掲の一つ以上の事態が観察される場合、あなたの XMail が不正利用を受けている可能性があります。 XMail は高速かつ安定した動作が期待できるので、数百万通のスパムを短時間に自動送信したいスパマーにとって魅力的な存在なのです。

あわてないで!!

あなたの XMail が非常事態であると見られるときは以下のように対応しましょう。

まず冷静になりましょう。冷静でなければ状況を正しく把握できず、間違った対応のために事態をさらに深刻にしてしまうかもしれません。次には、顔の見えない何者かと闘う覚悟を決めましょう。事態を解決できるのはあなただけかもしれません。
乗っ取りや不正利用の徴候を感じた場合、[緊急事態の観察・発見] メニューを見れば、どのローカルアカウントが危機にさらされているかを発見できる可能性があります。そこから該当アカウントを直ちに停止できます。
アカウント乗っ取り攻撃等によりローカルアカウントが盗まれ、あなたの XMail がスパム送信サーバになっている最中であれば [アンチ・スパム]-[SMTP認証接続数制限] 機能を短時間オンにするだけで乗っ取られたアカウントが判明する可能性があります。この間は XMail サービスを停止しないでください。同ページを適切に設定すれば、該当アカウントの自動停止も可能です。
短時間に問題を解決できず、総合的にみて本当に深刻な状況と思われるときは、とにかく XMail のサービスを一時停止しましょう。許されるなら、ネットワークケーブルも抜いてしまいましょう。XMail の停止により事態が改善する場合、XMail で何かが起きたことは確実です。
XMail の動作環境が適切か確認してください。[セキュリティ] メニュー内の [SMTPホワイトリスト(IP/ドメイン)]、[SMTPリレー]、[SMTP認証]、[CTRLアクセス許可] などです。
POP3 ログや SMTP ログを見てアカウント乗っ取り攻撃と思われるものがあればそのアクセス元 IP アドレスを不正アクセスホストとして登録してください。アカウント乗っ取り攻撃を含む不正アクセスは XMailCFG ではログ行が赤色背景で表示されます。赤色の行が数百行以上にわたって連続する場合、その多くは乗っ取りの失敗を意味します。なお、すでに乗っ取りが完了している場合や正規アカウント所有者が XMail を不正利用している場合、あるいはサーバ上の他のサービスが XMail を不正に利用している場合はログが赤色表示にならないことに注意が必要です。ただし、この場合は [緊急事態の観察・発見] メニューや [アンチ・スパム]-[SMTP認証接続数制限] を利用することができます。
SMAIL ログのサイズが異常に大きい場合、あなたの XMail がすでに乗っ取られているか、許可されたユーザがあなたの XMail を不正利用しているか、あるいはサーバ上の他のサービスなどがあなたの XMail を不正に利用している可能性があります。
乗っ取りや不正利用の場合に XMail/XMailCFG でできる直接的な対抗措置としては、(1) 乗っ取られた、または不正利用されている XMail アカウントを特定して停止すること、(2) 不正アクセス元 IP アドレスを特定して不正アクセスホスト登録メニュー等に登録すること、(3) 不正利用の兆候を察知して自動的に接続拒否処理を行うこと、などがあります。
- (1) については、アカウント数が多い場合は短時間に結論を出すことは難しい場合がありますが、[緊急事態の観察・発見] メニューを利用すれば突出した SMTP 利用を行っているアカウントを特定できる可能性があります。また、[アンチ・スパム]-[SMTP認証接続数制限] 機能を短時間オンにするだけで乗っ取られたアカウントを停止できる可能性があります。試してみる価値があります。SMTP アクセスログも参考にできます。同一の MAIL FROM で短時間に大量のログがある場合、そのアカウントに対して SMTP アクセスを一時停止してみることをすすめます(XMail が停止中なら一時それ起動し、XMailCFG のユーザの管理を利用してください)。
- (2) についても SMTP アクセスログが参考になります。ログ詳細を閲覧し、同一 IP アドレスからの大量接続があれば、そしてその接続が手作業では不可能な頻度であるなら、それは不正利用の可能性があります。この場合、その IP アドレスを不正アクセスホストとして登録してください。127.0.0.1 アドレスがアクセス元である場合は前項を参考にしてください。
- (3) については、[アンチ・スパム]-[SMTP 接続数制限] メニューを利用することができます。(1)、(2) は異常事態になってからの対応ですが、(3) は異常事態を事前に防ぐのに役立ちます。ただし、機能の実行自体に一定の負荷がかかること、機械的な強制処理であるという点に注意が必要です。
XMailCFG の [セキュリティ]-[POP/SMTP不正アクセス統計] メニューを利用すれば、特定のアクセス元 IP アドレスからどのような不正アクセスがあるかを統計的に知ることができます。不正アクセスと判断した場合、そのまま該当 IP を不正アクセスホストとして登録することができます。
XMailCFG の [セキュリティ]-[SMTP正規アクセス統計] メニューを利用すれば、特定のアクセス元 IP アドレスからの正規アクセスの状況を観察できます。正規ユーザによる不正利用やアカウント乗っ取り完了後の不正利用は XMail では正規アクセスとしてログが残るので、もし異常なアクセスがあればその IP アドレスを不正アクセスホストとして登録してください。

足元 127.0.0.1 からの脅威も

ローカルループバックアドレス(127.0.0.1など127.0.0.0/8)を [SMTPホワイトリスト(IPベース)] や [SMTPリレー] に登録している場合で、あなたのサーバ上で Web サービスなど他のサービスも行っている場合、そこからあなたの XMail が不正利用を受ける場合があります。XMail/XMailCFG/K4/kml に何も問題がないように見えるのに 127.0.0.1 からの大量アクセスが観察される場合、その可能性を疑ってください。メールサーバ管理者の守備範囲を超えてしまうのかもしれませんが。

たとえば、あなたのサーバを外部ユーザに公開し、そこで WordPress やその他の CMS (Contents Management System) を利用可能にしている場合など CGI/PHP が利用可能な環境で、もし自動実行可能なメール送信フォーム等がどこかのサイトにアップロードされた場合、そこからのスパム送信は XMail にとっては 127.0.0.1 からのものであるため認証を求められることがなく、アクセスフリーです。

対策としては [SMTPリレー] や [SMTPホワイトリスト(IPベース)] から 127.0.0.1 を削除すればよいのですが、これは環境によっては困ったことになります。たとえば K4 からのメッセージ送信が不可能になります。他の正規ツール等も使えなくなるかもしれません。127.0.0.1 を残す場合、決定的な不正利用対策はないので、ひとまず以下の緊急対策を行い、その後は毎日のメンテナンスを継続することになります。

XMail 以外の既知のサービスがサーバ上にある場合、そこからのアクセス状況を調査します。ウェブサービスは特に注意が必要です。アクセスログが参考になります。
OS によるスケジューラ(プログラム自動実行を管理、タスク/cron) に不正なプログラムやスクリプトが登録されていないか確認し、不明なものを停止・削除します。プロセス状況やネットワーク状況を監視するコマンド等を活用すればシステム状況の詳細を知ることができます。Windows の場合、タスクマネージャで不明なプロセスがないか確認してください。システムにマルウェアがインストールされていないか、対策ソフトウェアでスキャンをすることも重要です。
既知の正規のサービスをすべて停止しても不明なローカルアクセスが続く場合、不正にインストールされたプログラム・スクリプトが利用されている可能性があります。
短時間で原因が分からず異常アクセスが続く場合、ひとまず [SMTPレー許可] と [SMTPホワイトリストの管理(IPベース)] から "127.0.0.1" の登録を削除します。
WordPress など CGI/PHP で運用するシステムが並存する環境の場合、PHP 等を許可しているサイト内を検索し、ファイルアップロードスクリプトやメール送信スクリプト等が不正にインストールされていないか確認します。スクリプトは発見しにくい場所に、たとえば image フォルダなど意外な場所に置かれることがあります。また周辺のファイルと違和感のない名前にされることが少なくありません。スクリプトが本当に不正なものかはエディタなどでそれらを開いてみないと実際には分からないことが多く、とにかく高度な注意と忍耐が必要です。
WordPress などの脆弱性が利用された可能性がある場合、それらを最新バージョンにアップデートします。
ウェブサーバの設定で、本当に必要なサイト(ディレクトリ)だけ CGI/PHP の実行を許可します。
以上の対策を行って 127.0.0.1 を再許可し、XMail の SMTP ログを観察します。引き続き不正アクセスが観察される場合は前項の捜索を徹底的に行ってください。最終的に不正アクセスが観察されなくなるまで根気よく続けてください。
どうしても不正アクセスを止められない場合、127.0.0.1 を不許可にするか、残念なことですが XMail サービスの一時停止を検討しましょう。
不正アクセス対策に成功した場合、引き続き長期にわたって SMTP ログを観察し、他の公開サイトの動向を監視します。

喜ぶのはまだ……

[スプール内の大掃除] 緊急事態を脱して XMail のサービスを再開する前に、そのスプール (MailRoot/spool) 内に残っている待機状態の未送信スパムメッセージをできるだけ削除する必要があります。そうしないと、引き続きスパムが順次送信されてしまいます。大規模な不正利用の場合、スプール内に非常に多くの、たとえば数十万通以上のスパムメッセージが待機していることもあるでしょう。スプール内メッセージの選択的削除のためには XMailCFG の [オプション]-[スプール内メッセージ閲覧・強制削除] が利用できます。削除するメッセージファイルは万一のために退避(コピー)することができます。また、MailRoot/spool 内に無意味な履歴ファイルが大量に残っている可能性があるので、[オプション]-[スプール内メッセージ] の "スプール内無効ファイル削除" で一括削除します。

ただし、スプール内メッセージが明らかにすべて不要であると判断できる場合、それらを問答無用で一括削除する方法もあります。以下のようにしてください。
1. XMail サービスを停止します。
2. MailRoot/spool 内の数字で始まるフォルダを下位のものも含めてすべて一括削除します。
3. XMail サービスを開始します。
4. これによりクリーンなスプールサイトが自動的に再構築されます。
または、[オプション]-[XMailスプールの管理] から "[緊急事態限定] XMail スプールを初期化(全ファイルの削除)" を実行することによってもスプールを初期化することができます
[閲覧不能時の対応] XMail が大規模な不正利用を受けた場合など、スプール内メッセージが多過ぎると [スプール内メッセージ閲覧・強制削除] メニューでは表示エラーになることがあります。その場合は [ファイルの管理] メニューから MailRoot/spool にアクセスしてスプール内を直接に操作してください。
[接続拒否への緊急対応、SMTP フォワーダの利用] あなたの XMail が大規模な不正利用を受けた場合、ほぼ確実にあなたの XMail (の IP アドレス)がインターネットのブラックリストデータベースに登録されてしまうと思ってください。そうなると、特定のあて先ドメインへの接続が例外なく相手先サーバから拒否されるようになります。たとえば世界最大のメールアカウントドメインである GMAIL あてのメッセージが受け取ってもらえなくなります。あなたの XMail の用途によっては深刻な事態です。ブラックリストからの削除はすぐにはできない場合もあります。

その場合、もしあなたが他の安全なメールサーバを利用できるなら、[オプション]-[SMTP フォワーダ] を利用し、あなたの XMail からそのサーバへメッセージを振り向ける設定を行ってください。そうすればあなたのローカルユーザへの迷惑は限定的なものになります。その間にブラックリストデータベースからの登録を削除する努力をしてください(後述)。

パスワード更新の呼びかけ

アカウント乗っ取りによって XMail が不正利用されることを防ぐためには、何よりも個々のアカウントのパスワードを強度の高いものにする必要があります。折々、あなたの XMail ユーザに対してパスワードの更新をアナウンスしてください。そのさい、以下の点を強調してください。

一般に長いパスワードほど安全であること。
アルファベットの大文字と小文字、数字、記号文字をすべて含むパスワードがより安全であること。
辞書に載っている単語をパスワードにするのは危険であること。
同じパスワードを長期にわたって使い続けるのは危険であること。
他のシステムで使用しているパスワードを使い回すのは危険であること。

XMail ユーザの現在のパスワードが強固かどうかの判断には、[セキュリティ]-[POPパスワードチェック] を参考にしてください。また、ユーザ自身によるパスワードの更新は K4 を利用できます。

ブラックリストデータベースからの削除手続き

あなたの XMail が実際に大規模な不正利用を受けた場合、あなたが使用しているグローバル IP アドレスがインターネットのブラックリストデータベースに登録されると思ってください。その場合、あなたの XMail を利用して外部へ送るメッセージの一部が相手先サーバから受け取りを拒否されるようになります。あなたの XMail が安全になったとしても登録は自動解除されません。

拒否メッセージに "ブラックリストデータベースに登録されているから拒否する" と正直に応答してくれるサーバばかりではないので、当初は判断に困るかもしれませんが、特定のあて先へのメッセージが例外なく拒否されるようになった場合は、やはりそのことが原因の一つになっていると考えるべきでしょう。

その場合、それぞれのデータベースを運用している組織によるウェブサイトへ行き、登録解除の手続きを行うことになります。どのデータベースに登録されたか不明の場合は、著名なサイトから順にそれぞれの案内ページへ行けば、そこのデータベースに登録されているかどうかをチェックするフォームを開設していることが多いので、それを利用してください。

データベースからの登録を削除する方法はそれぞれのサイトに案内があるはずです。

本当に大変な時代になりました。いったい誰のせい? あなたの健闘を祈ります。
XMailCFG の作者はメールサーバ管理者の苦労に共感し、日々のその努力を賞賛します!!

XMailCFG