米連邦捜査局(FBI)は、FBI公式の「ic.fbi.gov」ドメインから大量の偽メールが送信された件について、「Law Enforcement Enterprise Portal(LEEP)」プラットフォームの設定ミスが原因と説明した。
提供:Dzelat/Shutterstock
「LEEPは、州や地方の法執行パートナーとのコミュニケーションに使われるFBIのITインフラだ。不正なメールはFBIが運営するサーバーから配信されたが、これはLEEPのプッシュ通知専用のサーバーで、FBI自体の電子メールサービスからは独立している。FBIのネットワーク上にあるデータや、個人を特定できる情報にアクセスしたり侵害したりすることは不可能だった」とFBIは述べた。
FBIは、まず「影響を受けたハードウェア」をすぐオフラインにし、その後「ソフトウェアの脆弱性」をすばやく修正してネットワークの整合性を確認したという。
スパムメール対策の国際組織Spamhausは、大規模なスパムメール送信が2回あったとツイートしている。
セキュリティ情報サイトを運営するBrian Krebs氏は、今回の事件の犯人を名乗る人物から連絡を受けたとして、FBIのサーバーからメールを送信する手口を説明している。サイト上からアカウント作成を申請すると、申請者は「eims@ic.fbi.gov」からワンタイムパスコードを含む確認の電子メールを受信するが、FBIのウェブサイトのHTMLコードでワンタイムパスコードが漏れていたという。犯人はブラウザーに送られたリクエストの「件名」と「本文」を編集することで、eims@ic.fbi.govから電子メールを送信できた。そして簡単なスクリプトによって偽メールの送信を自動化したという。
こうした設定ミスとソフトウェアの脆弱性は、FBIがポータルを構築するやり方に原因があるようにみえる。非常に恥ずかしい状況であることは間違いない。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)
関連ホワイトペーパー
- マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用
- ISMSとPマーク運用の新たな解決策、企業の負担を減らす実践的サービスの全容
- ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと
- いまこそ活用すべきISMS認証、認証取得までの流れとコンサルティングで得られるメリットを知る
- 情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト
- 取得すれば安泰ではない「ISMS/Pマーク」、認証後の運用負荷を軽減する最適な支援策とは?
- 人気カテゴリ
- 経営
- セキュリティ
- クラウドコンピューティング
- 仮想化
- ビジネスアプリケーション
- モバイル
特集
- 流通テック最前線
- 「GIGAスクール構想」で進化する教育現場
- 持続可能な地域社会を目指す「地域DX」
- 松岡功の「今週の明言」
- 「働く」を変える、HRテックの今
- 技術者視点で見るメインフレームの進化と深化
- カーボンニュートラル(脱炭素)
- 松岡功の一言もの申す
- 「責任あるAI」--AIに倫理感を持たせるには
- トップインタビュー
- PDF Report at ZDNET Japan
- プロダクトの力でビジネスを推進する
- さまざまなLinuxディストリビューションの世界
- 対応必須化の波が到来したSBOM動向
- デジタルジャーニーの歩き方
- 中国ビジネス四方山話
- 企業セキュリティの歩き方
- ラズパイをより身近に
- CIO・情シス部長が知っておきたい「データクラウド」の基本と構造
- ICT来し方行く末
- Linuxノウハウ
- デジタル岡目八目
- 官民連携時代のセキュリティリーダーシップと重要インフラ保護
- AIコミュニケーションツールの最新事情
- Ziddyちゃんの「私を社食に連れてって」
- デジタルツインとXRが新たにする製品開発の未来
- 新潮流Device as a Serviceの世界
- デジタルで変わるスポーツの未来
- かんばんを使って進捗管理
- 「ChatGPT」利用のヒント
