メインコンテンツに移動

メールサーバが攻撃を受けている

12月6日~7日にかけて、4000回を超えるメールサーバへのログイン試行がされていた。
トライしているユーザ名(メールアカウント)は辞書を使ったもののようで、17秒間隔で実施されていた。
同じユーザ名で複数トライしては次のユーザ名でトライしていることから、明らかに総当たり攻撃であると判断。

12月12日になると、メールサーバのドメイン情報などから特定の単語に絞って、時間をあけてトライしているのを確認。
今も攻撃は継続されているようである。

とりあえず、ログを見る限りではログインは成功しないであろうと考えてはいる。
根拠としては、まず、ユーザ名は8文字までしか想定していないようであること、そして、パスワードはプレーンテキストでトライしている点で我が家のメールサーバの設定では絶対にログインはできない。
そもそも、ログイン可能クライアントを自宅のIPアドレスだけに限定してあるので、いくらクライアントIPアドレスを変更してトライしても、拒否され続けるであろう。

それよりも気になるのが次の2点である。

疑問点1.なぜ標的にされてしまったのか?
疑問点2.総当り攻撃で失敗しているのになぜこのサーバに執着しているのか?
 

推測すると、ブログに記載している内容が標的にされた理由のように思う。
可能性のあるのが「WoT」、「Pandorasaga」、「Lineage」に関連する記事と考えられる。

WoTでアカウントハックをするメリットはないとはいえないがハイリスク・ローリターンだと考えられるため、PandorasagaかLineageが怪しい。
特にPandorasagaに関しては、休止する旨をブログに記載したため狙われる可能性が高く思う。
辞書を使用した総当り攻撃ののちしばらく日数をあけ今度はサーバ情報などから入手した単語を使っていることから、攻撃者の執着心を感じる。
これらから、今回の攻撃はゲームのアカウントハックが目的であると判断した。

ゲームをプレイするには、まず、アカウント登録が必要で、登録には必ずアカウントに対してメールアドレスが1つ必要である。
ゲームに限らずほとんどのインターネットを利用したサービスが、登録されているメールは本人しか見ることができないことを前提にしているため、このメールアドレスで受信するメールが本人以外に見られてしまうということは、本人になりすましが可能であるということである。

ゲーム用アカウントに登録されているメールのユーザ名とパスワードを入手すれば、そのメールアドレスで受信したメールを見ることができてしまう。
実際には、メールサーバ名、ユーザ名、パスワード、セキュリティに関する項目についての情報が必要になるが、ユーザ名とパスワード以外の情報はそれほど入手は困難ではない。
最近ではメール設定を簡素化するためにユーザ名とパスワード以外はメールクライアントで設定を自動で行ってくれるものがあるためである。

本人の知らない間にメールアドレス変更やセキュリティパスワードなどの再発行手続きをすれば、ゲームのアカウントを乗っ取ることが可能になる。

この時期に準備をすすめ、年末年始の休暇中に帰省や旅行で留守をする可能性が高い時期に行動を起こすのかと考える。
メールを確認したり、ゲームにログインしたりする機会が減るため、本人が異常に気がつくのが遅れる可能性が高く被害にあいやすい。

とりあえず、攻撃の痕跡は今も記録してあるので、然るべきところに相談し被害届をだすか検討中である。
また、対策としてもログインに失敗した接続元のIPをIPフィルターで自動で拒否するように設定した。
※毎回IPアドレスは変更してきているので手動では対応不可
さらに、念のため、いくつかのサービスポートを閉じるように設定した。

 

カテゴリ