Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

撤退プランが重要

大阪府。万博決定のおめでたいニュースの裏側に、気になるニュースを見つけました。

www.security-next.com

大阪府は、新婚世帯や結婚予定のカップルを支援する事業で使用していたサーバが不正アクセスを受け、メールアカウントが迷惑メール送信の踏み台に悪用されたことを明らかにした。

同府によれば、元委託先が「おおさか結婚縁ジョイパス事業」で使用していたサーバが、10月10日から同月16日にかけて不正アクセスを受け、メールアカウントが乗っ取られたもの。

10月16日、総務省より迷惑メールに関する情報提供があり問題が判明。委託先へ連絡し、問題のメールアカウントを廃止した。今回の不正アクセスを通じて約2万4000件の迷惑メールが送信されたという。

同事業を委託していた事業者との委託契約は3月31日に終了していたが委託事業者は不要になったメールアカウントを廃止していなかった不正アクセスによる情報流出については否定している。

(Security Next記事より引用)

◆キタきつねの所感

おおさか結婚縁ジョイパス・・・なかなか大阪らしいネーミングですが、2017年10月から始めた新婚あるいは結婚を考えているカップル向けに特典があるサービスのようです。

f:id:foxcafelate:20181124162814j:plain

 

そして、そういった公的サービスであっても不正アクセスを受ける。ここまでも、最近ではよく聞く話です。では何が問題かと言えば、2017年10月~3月末まで委託していた業者の保有する(公式)メールアカウントが、ハッキングされ2.4万件の迷惑メール配信の踏み台とされたところです。

業者の責任以上に、私は大阪市側の管理責任が問われる事件だったように思えます。

 

おおさか結婚縁ジョイパスのホームページを見ると、まだサービスは継続しているようです。URLは、『https://www.osakaenjoypass.jp/』なので、

f:id:foxcafelate:20181124163624j:plain

今回の問題を受け、同府では4月1日以降に「support@osakaenjoypass.jp」から送信されたメールについては開かず削除し、本文に記載されたURLへアクセスしたり、メールへ返信しないよう注意を呼びかけている。

(Security Next記事より引用)

ドメイン変更があった訳ではなく、公式メールアドレスとして『support@osakaenjoypass.jp』を使わなくなったという事なのかと思います。だとすれば、大阪市は何故当該メールアドレスの削除あるいは、メールサーバの停止を業者にさせなかったのか?

サービス停止に際する撤退プラン(停止する時の取り決め)、海外のプロジェクトではよく出てくるのですが、サービス開始時に撤退計画をどうするのか書いておくのは当然です。

大阪市は、業者サービスを切る際(撤退時)の、指示(責任)の曖昧さを外部のハッカーに突かれた、そんな背景が浮き上がってきます。

 

談合のイラスト

 

更新履歴

  • 2018年11月24日PM(予約投稿)