誰、私?またもや「誰、私?」へようこそ。Reg読者の皆様には、今週も私たちが特集する技術者たちの週よりも良い週になるよう祈りながら始めてください。
今週は、「ダミアン」を紹介します。彼の物語は、セキュリティの不具合を実証する際に自信過剰にならないようにという警告です。
ダミアンの話は、彼がヨーロッパ地域でサーバー バックアップ ソフトウェアを保守する管理者として働いていた頃のことです。
「当時はBackupExecを使っていました」と彼は言います。「このソフトウェアには、バックアップジョブが成功/失敗/保留中などの場合に、特定の受信者にメールを送信する機能がありました。」
これを設定しているときに、ダミアンは文書化されていない機能、つまりセキュリティ上の欠陥に遭遇しました。
「基本的に、電子メール機能を設定するときは、[送信元] フィールドにアドレスを手動で入力する必要がありました」と彼は語りました。
「通常は、サーバー名の後に @<companyname>.com を付けるだけで、受信者がメールを受け取ったときに、メールが該当するサーバーから送信されたものであることがわかります。」
しかし、ダミアンは、このフィールドに任意の電子メール アドレスを入力すると、そのアドレスが自分から送信されたように見えることに気付きました。これは明らかに、悪意のある人物やいたずら者によって悪用される可能性があります。
大量メールの初期実験は、オフィスを駆け抜けてメールゲートウェイを外すという狂乱で終了した。
続きを読む
このことを米国の同僚 (ここでは Joe Bloggs と呼ぶ) に伝えると、Damian は問題を実演するよう求められました。
「それで、受信者名を『[email protected]』と入力し、件名欄には『昇給をお願いします』と入力しました」とダミアンは言います。「そして、差出人欄にはCEOのメールアドレスを入力してしまったんです」
すべてうまくいくはずだったのですが、送信ボタンを押した後、ジョーはメールを受け取りませんでした。
「よく調べてみたら、ジョーのメールアドレスにタイプミスがあったんです」とダミアンさんは思い出した。
もちろん、この頃には電子メール技術の歯車は動き始めていました。
「メールサーバーは本来の動作をし、『アドレスが見つかりません』というメッセージとともにメールを元の送信者に返送した」とダミアン氏は語った。
「言うまでもなく、私はCEOのメールアドレスをタイプミスしていませんでした…そのため、彼はすぐに件名に「昇給をお願いします」と書かれたメールを受け取りました!」
そして、スペルミスがあったとはいえ、失敗したメールには非常に決定的な証拠があった。そして、Reg の読者ならご存知のとおり、CEO が関与している以上、誰かが責められるはずだ。
「CEO が上級 IT 担当者に電話すると、メールはジョー宛てだと判断され、ジョーが呼び出されました」とダミアン氏は語った。
ジョーはプレッシャーに耐えかねて折れてしまったが、ダミアンがソフトウェアのセキュリティ問題を説明していたことを指摘し、同僚の首が飛ぶのを防いだ。
「叱られたけど、仕事は続けられた」とダミアンは言った。「人生でこんなに汗をかいたことはない!」
最近、眉をひそめている出来事は何ですか?セキュリティデモをやりすぎてしまった時のことを、ぜひこちらまでメールでお聞かせください。®