○○○○年○月○月
○○さま
本日XX:XX頃、○○○サーバに設定していた監視エージェントによって メール不正中継の兆候を検知しました。 サーバに緊急アクセスし、不正利用の様子をログなどからリアルタイムに調査したところ、一連のメール不正中継につながる原因を確認しました。
原因は"***user"というユーザアカウントを不正に利用し、メール送信の認証を通過させたことと思われます。メール認証が通過されるとスパム配信者は好きなだけメールの発送が可能です。
このサーバのユーザアカウントはOS用とメール認証用に分かれております。通常はメール認証用のセキュアなアカウントが使用されますが、利用者がOutlook等の古いバージョンのメーラを使用した場合に限り、OS用のユーザアカウントが使用される仕様になっています。ハッカーはこの仕組みを悪用してメールクライアントとして古いOutlookを偽装したものと思われます。
さらに、この"***user"というアカウント名がハッカーにとって推測しやすい名前だったこととパスワードに推測されやすいものが設定されていたと思われます。
これらの複数要因が重なって不正利用につながったと思われます。
緊急対処として***userアカウントを削除し、もう一つ****userという アカウントについても念のため削除させていただきました。 Webサービスに直接影響は及ばないかと思いますが、問題がありましたら ご連絡ください。
コメント