001って書いてるけどたぶん続かない...続いたら困る。
(SIRはSecurit Incident Report)
今日の昼に昼食のため一時帰宅してメールチェックをしていたら、レンタルサーバを借りてるさくらからメールが。
要約すると
- とあるメールアドレスがハッキングされてるぞ
- 接続元は他でも悪さをやらかしてるやつらだぞ
- とてつもなくやばいのでハックされたメールアドレスのパスワード強制変更したぞ
ってことらしい。
そういえば昔、spamを回避するため用途別にいくつもメールアドレス作ってたっけ。
(今はメインのをgmailに転送してspam抹殺してるからそんなことはしなくなった)
ハッキングされたアドレスは、ダウンロードにアカウント登録が必要な技術系掲示板(フォーラム)のもので、AndroidのカスタムROMか何かを探してたときに作ったような気がする。
で、そのメールアドレスのボックスをのぞいてみると、なんと2013年7月に1通だけメールが届いている。
登録アドレスはフォーラムに表示されない仕様だったので、当然送り主はフォーラム管理者だ。
内容はというと
- このアドレスでフォーラムに登録してるから送ってるよ
- フォーラムがハッキングされて「ユーザー名、メールアドレス、暗号化されたパスワード」が漏れたよ
- もしメールアドレスやパスワードを使い回してたら急いで変えてね(もちろん、使い回さないのが一番よいのでそうするべき)
といった感じ。
...なるほど。つまりこういうことだ。
- フォーラムからファイルをDLしたいのになんかアカウント登録必要(怒)
- えーい捨てアドレス作っちゃえ、どうせ捨てだしSMTPパスワードは2文字で
- フォーラムからメールアドレスが漏れる(パスワードも漏れてるけど、これはフォーラムのなので関係ない)
- 何らかの理由で@以下のドメインにSMTP接続して不正利用できるか試行される
- SMTPパスワード英字2文字なので一瞬で割れる(総当たりしても最大676回だし、そもそも...)
- 正規のアドレスとパスワードでSMTP認証突破、迷惑メール送り放題
- さくらの調査で発覚
oops。
しかもこれ、フォーラムからの流出はあくまでドメインが注目されるきっかけでしかなく、決定的なのはインターネットに公開されてるシステムに英字2文字なんてアホパス設定した行為。
もう恥ついでに言ってしまうと、なんとメールアドレスの@より前とSMTPパスワードがたぶん同じだったはず。デデーン!アウト!タイキック!!(※元ネタの番組は見たことがない)
記事タイトルは「見過ごされたハッキング」とつけてるけど、いやそもそもハッキング関係なくそんなザルパス設定したらそりゃセキュリティインシデント発生するよ...。
今度から捨てアドレスでもSecureRandom.urlsafe_base64でパスワード生成しよう...。(どうせ忘れても、さくらのレンタルサーバ コントロールパネルからノーパスで開けるし)