眠たいときの日記

生徒さんに教えるためにブログの練習を始めたんですが
中年パソコン講師のドジ日記に変っちゃってます。
言いたい放題日記

送信元偽造のバックスキャッタ攻撃の対策とエックスサーバー迷惑メール対策に追われた連休明けお疲れドジ講師

2019-05-16 14:31:22 | パソコンと中高年


ドジ講師お仕事用gmailに大量の迷惑メールが入っていた。

後で述べるが、「バックスキャッタ攻撃」(後方散乱メール)なのだ。
gmailだよ。セキュリティのお堅いところに短時間に700件以上も。
なぜだ。

一日にまずはほんの短い間の午前中の時間に400件、次の日は500件 多い日は700件入ってくる。


慌てた私、gmailの迷惑メールの一覧を削除してしまったので別の画像を使用させていただきます。
ビビったドジ講師は大量迷惑メールの一覧をキャプチャーする心の余裕がなかったわけ。(あんた、いつもだろうが・・・

今まで一度もgmailに一日それも短時間に大量の迷惑メールは入ったことはなかった。

1.バックスキャッタ攻撃とは何か?


ドジ講師は元々ドジだが、相手のメールアドレスなどを間違えて打ってしまい、宛先のないところに送ってしまった場合など昔は良くやってた。
郵便屋さんとおんなじで、「宛先不明ですよ。送ることができませんでした。」というメッセージ付きのエラー通知メールが英語で戻ってきます。。

英語のメールが来ると、ギョギョとなります。

郵便屋さんだって、「あて所に尋ねあたりません。Return unknown」ってハンコ押したはがき戻してくるでしょ。

◆バックスキャッタのたとえ話(郵便屋さん編)◆

例えば、とっても悪い人がいて、ドジ講師を困らせてやろうと 1000枚のはがきの宛先に住所なしとか間違った住所を書き、差出人はすべてドジ講師の住所、名前にした。
中身は好き勝手に適当に書く。
もちろんその悪い人はドジ講師の住所、氏名をどこからか手に入れる。(ドジ講師の場合恨んでる人もいるだろうし・・)

で、その悪い人が1000枚のはがきをポストに投函したらどうなる。
しばらくたってから、ドジ講師の家の郵便ポストは宛先不明ですとハンコの押された1000枚のはがきがドジんちの郵便ポストに放り込まれるというか自分が 出したはずのないハガキが戻ってくるわけよ
差出人はあたしになってるんだからね。
ドジ講師は?
なんもやってないよ。なんもやってないのに迷惑を被るわけ。

毎日毎日おんなじことされたら、さーどうする!
ドジ講師は大量のゴミはがきを受け取ることになるし、郵便局側もドジ講師んちのはがきの仕分けで大変。
郵便配達の人も大変。
さらにドジんちの郵便ポストは溢れかえる。
さらにもっと嫌なのが、「ドジ講師さん、あなたは宛先のないところに迷惑なはがきを送りまくってるそうじゃないか!いたずらするな!犯罪だ」ということで郵便屋さんはドジ講師はまともじゃないと判断して、郵便局に拒否される。(郵便の場合こんなことはないと思うけどね。)


◆メールも同じ◆
サーバーもエラー通知メールを送るのに必死!途中の回線もパンパン。ドジ講師用のメールボックスはパンパンに溢れかえる。
使えなくなる。
困るのはドジ講師。
そして、宛先のないところにメールを送りまくったドジ講師は、ネット上で迷惑メール送信者として、マークされドジのアカウントはブロック拒否されるのだ。



2.バックスキャッタ攻撃を受けた経路は?

このgmailはエックスサーバーで持っている同じく仕事用のドメインのメールアカウントから転送されてきたものなのだ。

トップと同じ画像だけど。


大元のアカウントはschool@exmaple.com
こちらに送られてくるメールは迷惑メール含め仕事関係のものが入ってくる。

ここから、エックスサーバー内で作った独自ドメインを@マーク以降につけた複数の従業員何名かに転送されるしくみとなっている。
dojikousi@exmaple.comやothers1@example.comなど。

ちょっとややこしいのだが、imapでどこでも見れるようにと数年後、gmailのアカウントも作ってそれぞれのメンバーに送るように設定した。
本来は積み重ねていくのではなく、転送設定をもっと簡単にするべきだったのだけれど、上のような感じで送っていた。

このアドレスはすべて配布されたものでドジ講師が自分で作ったものではない。
別のメンバーに作成してもらった簡単すぎるメールアドレス自体に大きな問題があった。


だから、dojikousi@gmail.comに大量の送信元偽造メールが入ってきたといえどもgmailに入ってきた可能性が百パーセントとは言えない。
経路を見ないといけない。

数年前に他の人がセッティングしたものだから転送設定を思い出すまでに1日かかっていたというドジ模様!

まず、最初はschool@exmaple.comが攻撃対象となっていたと思っていた。

実は違った。

school@exmaple.comが仮にバックスキャッタ攻撃を受けていたら、転送から転送されるothers2@gmail.comとかothers1@gmail.comも同じように被害を受けているはず。
ところが、ドジの上司(兼先生)のメールアドレスをother2@gmail.comとここではするが、普通の海外からの単発の迷惑メールは同じようにはいっていたが、

「undelivered Mail returned to Sender」のメールは一つも入っていなかったのだのだ。

じゃあ、次の転送メール
赤字で書いているdojikousi@example.comがあやしい。
ここに向けて攻撃をしかけてきたとしたら、dojikousi@gmail.comにもはいってくる可能性がある。


3.今回のバックスキャッタの原因は?



上の図は迷惑メール一覧とする。

gmailはありがたいことに迷惑メールが入ってきた場合、どういうタイプの迷惑メールか どう対処すべきかなど最近は通知してくれるようになっている。
メール一覧からはわからないが、リンクをクリックしないようにして迷惑メールを開けてみると

Aのタイプの迷惑メールとBのタイプの迷惑メールは全然違う。Bがバックスキャッタ。

A.


赤色の帯、個人情報を盗まれる場合があるからリンクをクリックしたりしないようにしてくださいとか個別に指示が出る。
他のメーラーはこんなのでない。gmail
外国のいろいろなところから迷惑メールが入っていて送信元はあやしげな英語でそれぞれ違う。
これは、others2@gmail.comにもothers1@gmail.comにも同じように入ってきて、一定期間で削除している。

B.

最終行の


バックスキャッタを受けたメール。

これが延々と何ページもわたり上で述べたように1日に700件、600件と入ってきていた。


送信元偽造の一瞬で700件入ってきたメールでは「あなたのメールアドレスになりすました偽造メールの自動返信のようです。」と教えてくれている。

英文の内容をわからないとブツブツ言いながら見ていくと、



オレンジで囲んだメールアドレスは実際にはにない宛先メールアドレス。

あたしのアドレスがスパム扱いされる可能性もあるというようなことも書いてる。あほな!
gmailは送信元偽造って判定してくれてるからいいけどね。

さらに送信元となっている ブルーで囲んだアドレスが、school@example.comから転送されてきたdojikousi@example.comということになる

このアドレスを使われていたのだ。悪い奴目。

なんで、このアドレスが使われたか。
他のメンバーのは使われていないのに。

ドジの実際のアドレス載せることは控えるが、ホスト部は、日本で一番多い名字のランキング3位以内にいつでも入っている ●●という名字をローマ字にしただけのホスト名なのだ。
例えばsuzuki@example.com(鈴木利用)、あるいはsato@example.com(佐藤利用)みたいなの。簡単すぎるIDなわけ。

ホームページ関係のマニュアルでも例示用アドレスで必ずといっていいほど出てくるわ。

もともと名字をメンバーのアドレスのホスト部にあてただけのアドレスだからね。
後ろに記号もつけてないし、数字もなし。
ひどいもんよ。
こんなの海外でも平気で使われそうなホスト名だ。
他のメンバーの名字は、使われなかったってわけかあ?

簡単な文字列さらに、よくある名字のホスト部(@マークの前)が利用されてしまったのだろう。


4.解決策はどうしたのよ?

結局、悪用されていたdoukousi@example.comというアカウントを独自ドメインを作ったエックスサーバー内で削除したのである。
Fowarded Message以下 from 英文のメールの送信元は上の絵にもあるようにと特定できている。

◆削除はいいけど、困ることが一つ◆
ドジ講師のdojikousi@gmail.comにschool@example.comからの仕事のメールが転送されなくなるじゃない。

それが、エックスサーバー内の転送設定で調べてみると、何年か前にschool@example.comからのメールが直接dojikousi@gmail.comにも転送されるように設定しなおされていたのだ。

仮にしていなかった場合でも、school@example.comから直接dojikousi@gmail.comに転送するようにエックスサーバー内のメールアカウントを変更すればよい。


◆結論としては、バックスキャッタ攻撃の対処法としてはすっきりさせたい場合、
攻撃されているメールアカウントを変更あるいは削除しなければならないようだ。◆


◆他に メールのログインパスワードなどが盗まれて、バックスキャッタを受ける場合もあるらしい◆
最初、転送されているgmailのIDやパスワードを攻撃者に把握されたのかと思ったドジ講師は最初の段階でdojikousi@gmail.comのパスワードを変更した。
が、変わりなく攻撃されてしまった。パスワード変更は意味なし。

gmailの場合別のデバイスからログインすると、アクティビティの確認をメールで受け取る仕組みになっている。(再設定用のメールにも来る)







バックスキャッタをかけてきた人が仮にドジ講師のメールアドレスの中にログインしようとすると、違うパソコン、デバイスだから当然ドジ講師にお知らせがくるようになっている。
来なかった。
不正なログインは行われていないから、中に入って攻撃をかけてきたわけではない


gmailのアカウントのほうは、削除しなくてもよい話ということだった。


思い出したら、そのあとレンタルサーバーの「エックスサーバー」内で追加した迷惑メール対策もまたお話しします。(思い出せるのお?)


話はびょーんと飛ぶが、オリンピックのサイトの申し込み ひまかかりますねえ。
いろいろ制限があるし、あのサイトなんとか、もっとわかりやすく 親切に作り替えできなのかな?ホームページ作成は愛が必要。とドジのくせに偉そうなことを言っております。
だが 海外からも応募があるので セキュリティと転売防止で大変なのはわかる。

年配の人やネットショッピングなどをしない人は慣れている若い方に頼るか あるいは 料金は高いが、オフィシャルパートナーを利用するかというようなことをテレビで言ってたけど。
それができない人は オリンピックは行くなって話かい? 不公平だい。(また、怒られそうなことを言ってしまった。)


ガンダムが宇宙空間から東京2020大会を応援!東京大学&JAXAと特別コラボ「G-SATELLITE 宇宙へ」始動!
ガンダムだけじゃなくてサンリオが海外にも誇る人気キャラ グデタマも宇宙に連れてってあげてくださいと希望。(以前JAXAとコラボしてたし。)



師匠とドジ講師がいる、教室はこちら。
http://www.kishima-sys.com/


兵庫県ランキング


コメント   この記事についてブログを書く
« win8.1「問題が発生したためP... | トップ | 9年前のデルXPSノート17wins7... »
最近の画像もっと見る

コメントを投稿

ブログ作成者から承認されるまでコメントは反映されません。

パソコンと中高年」カテゴリの最新記事