現在では,一般誌/紙やテレビといったマスメディアでもインターネットのセキュリティを取り上げている。1998年ごろからセキュリティに関する記事を書いている筆者にとっては隔世の感がある。しかしながら,筆者が考えているほど,セキュリティは向上していないのかもしれない。というのも,「何で今さら・・・」と思われるインターネット上の事件が相次いでいるからだ。

 例えば,3月のはじめには,公開用サーバーに重要な情報を置いておいたために,第三者に閲覧を許した事件が起きた。これについては「大事な情報を“公開”していませんか?」で書いた。

 もう一つは,メール・マガジンによるウイルスの誤配信である。IT Proでは「福井県の観光情報サイトがウイルス・メールを誤配信」および「武蔵野市がウイルス・メールを誤配信,感染報告はゼロ」といった記事を掲載した。

 思い返すと,IT Proでは同様の事件を過去にも報じている。2000年には「東証のメール・マガジンにウイルス,サイトに不正侵入し約8000人に送信」,2003年には「ミニストップがウイルス感染メールを5483人に送信」という記事を掲載した。

 過去の2件は他の記者が執筆しており,筆者自身は取材していないので軽はずみなことは言えない。ただ,記事を読む限りでは,先日報じた福井県や武蔵野市のケースと,原因は同じではないだろうかと思った。

 実際には同じような事件がもっと起きている。検索サイトで「メール・マガジン」と「ウイルス」などをキーワードにして調べてみた。すると,出るわ出るわ。特に多かったのが2001年だった。ただ,それらのほとんどについて,当事者(ウイルス・メールを誤配信した企業/組織)がWebで公開していたお詫びのページなどは,ほとんどが消去されてしまっている。このため,ここで列挙するのは控えたい。

ウイルス・チェックは不可欠

 いずれの場合も,原因は福井県/武蔵野市のケースと同じようだった。メーリング・リストのようなシステムをメール・マガジンの配信に利用しており,特定のメール・アドレスから送られてきたメールだけを,登録者全員に配信するという設定にしていた。そして,その特定のアドレスからウイルス添付メールが送られてきたために,そのウイルス・メールが登録者全員に配信されてしまった。

 何がまずかったのか。まず第一に言えるのは,配信するメールのウイルス・チェックをしていなかったことがまずい。ネット上でこのようなQ&Aを読んだことがある。質問は「このメール・マガジンにウイルスが感染することはないでしょうか」というもの。これは,「ウイルスが添付されたメールが,このメール・マガジンの登録者に配信される恐れはないか」という意味だろう。

 これに対する答えが,「現在流行しているウイルスのほとんどはWindowsをターゲットにしている。このメール・マガジンを配信するシステムはUNIXなので感染する心配はない」だった。この答えのどこがおかしいのかは,IT Pro読者の皆さまならお分かりだろう。

 ウイルス・メールの配信を防ぐには,ゲートウエイ型ウイルス対策ソフトを設置して,受信メールばかりではなく送信メールもすべてチェックするようにするのが有効だ。

 メール・サーバーにウイルス対策ソフトをインストールしておくという方法も考えられる。リアルタイム検出を有効にしておけば,そのメール・サーバーに担当者からウイルス・メールが送られてきた時点,つまり,サーバー上にコピーされた時点で検出できる可能性がある。ただ,メールに添付されているウイルスはエンコードされた状態にある。このため,サーバー上でその添付ファイルを開けば,対策ソフトはまず確実に検出するだろうが,添付ファイルのまま,つまりエンコードされたままで中継した場合には,検出できない可能性がある。やはり,ゲートウエイでのウイルス・チェックが確実だ。

 また,テキスト情報しか送らないメール・マガジンだったら,添付ファイルをすべて削除する設定にしておけば,より確実だろう。

送信者アドレスでは認証にならない

 そして,もう1点。「特定のアドレスから送られてきたメールは,登録者全員に配信する」という設定も,とてもまずい。送信者アドレスを使って,そのメールの送信者がメール・マガジンの担当者かどうかをチェックしているつもりなのだろうが,当然チェックになっていない。ご存じのように,送信者アドレスはメール本文の一部なので,いくらでも詐称できるし,担当者のアドレスは,送られてきたメール・マガジンのどこか(例えばヘッダー)に記載されている可能性が高い。このためこのようなシステムでは,担当者になりすまして,ウイルス・メールや嘘のメールを配信することは容易だ。

 また,メールで感染を広げるウイルスのほとんどは送信者アドレスを詐称する。ウイルスが実行されると,そのパソコンに保存されているファイル中のメール・アドレスを収集し,送信者および受信者アドレスに使用する。メール・マガジンの登録者がそういったウイルスに感染すれば,そのメール・マガジンの担当者アドレスへウイルス添付メールが送信される可能性は極めて高い。

 実際,「ウイルス・メールの誤配信」のケースのほとんどは,ウイルスによるものではないかと筆者は考えている。もちろん,そのアドレスを狙って,悪人がウイルス添付メールを配信した可能性は否定できないものの,そんなことをわざわざするだろうか。悪人としては,嘘の情報を書いたメールやスパム・メールを配信するほうが,容易だし興味深いと思うがいかがだろうか。

 以上のように,送信者アドレスで担当者かどうかの認証を行うのは危険,いや,無謀とも言える。認証になっていない。もっときちんとした認証(例えば,IPアドレスによる認証)が不可欠だ。

メルマガのリスクを認識すべき

 担当者からすれば,メール・マガジンの原稿をどこからでも送信できるので,送信者アドレスを使った認証は便利だろうが,メール・マガジンの配信が便利である必要があるだろうか。ウイルス・メールを誤配信すれば企業/組織の信用を失うことになる。メール・マガジンの配信にはもっと慎重になるべきだ。

 そもそも,「メーリング・リストの仕組みをメール・マガジンの配信に使うべきではない」とする専門家は少なくない。担当者を認証するための仕組みを備えた,専用のシステムを利用すべきという意見は各所で聞かれる。メーリング・リストの仕組みを使うくらいなら,登録者名をすべてBCCに列挙して,通常のメールと同じように送信したほうがまだマシとする声もある。

 メール・マガジンは企業/組織にとって便利な半面,とてもリスキーだ。今回のようなウイルス騒動はもちろんのこと,変な内容のメールを送ってしまわないよう,細心の注意を払う必要もある。弊社でも複数のメール・マガジンを専用のシステムを使って配信している。その担当者のひとりは言う。「(メール・マガジンを配信する)システムの『配信』ボタンを押すのは,何度やってもドキドキする」。事故などを起こすと,担当者だけの責任にはとどまらない。メール・マガジンのリスクを認識した上で,もう一度,システムや運用を再点検することをお勧めしたい。

(勝村 幸博=IT Pro)