著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。
今回は自治体の問い合わせフォームを悪用した不正メール送信と、ポータルサイトlivedoorへの不正ログインの2件を取り上げる。
利用者の名前に不正サイトのURLを入力(5月21日)
千葉県船橋市は、同市Webサイトの問い合わせフォームを悪用した不正メールが出回っているとして注意喚起を出した。
問い合わせフォームには、問い合わせを受け付けたことを利用者に知らせる自動メール送信機能がある。問い合わせフォームに入力された利用者の連絡先メールアドレスに「【船橋市】お問い合わせを受け付けました」という件名のメールを自動的に送る。
メールの本文は利用者が入力した名前を基にした「○○様」から始まり、問い合わせを受け付けたこと、2~3週間以内に担当の課から回答することなどが書かれている。
攻撃者はこの機能を悪用。不正メールを送りつけたい相手のメールアドレスを連絡先に指定し、利用者の名前欄に不正なサイトのURLを入力したとみられる。こうすることで、文面の先頭にある「○○様」の○○の部分に不正なサイトのURLが埋め込まれたメールが、指定された連絡先に届くようになる。
自動送信メールが悪用されたのは2020年5月21日午前2時42分から午前9時29分までの7時間弱。この間に大量の不正メールが送信されたという。
この大量の不正メールによって予想外の出来事も発生した。Gmailなどのメールサービスでは、同市から送信された正規のメールの一部が迷惑メールと判定されるようになったのだ。同市が5月22日、注意喚起に追記した。
大量の不正メールによって、同市のメールドメインが迷惑メールの送信元と判定された可能性が高い。同市からメールが届く心当たりがある人は、十分注意したうえで迷惑メールフォルダーを確認するか、担当の課まで連絡するよう呼びかけている。
https://www.city.funabashi.lg.jp/kurashi/osirase/p080658.html
