発生から対応までの経緯

問題となった「Gartner News」は毎月15日と末日の月2回の配信で、ガートナーのWebサイトから購読申し込みができる。

スパムメール中継の発覚から対応までの主な経緯

9月21日

• 外部の第三者(中国の通販事業者)がGartner News配信に使用しているメーリングリスト用メールアドレス宛てに、中国語のHTML形式のスパムメールが送信され、購読者全員に配信される。


• (設定変更されるまでの間)複数の購読者から当該メールアドレス宛に返信・問い合わせされたメッセージが購読者全員に配信される。これにより送信者のアドレスやメッセージ内容が購読者全員に開示されてしまった。


• ガートナーの情報システム部門が対策を開始


• 同部門による、ガートナーがメーリングリスト用アプリケーションの設定処理を終了

9月22日

• ガートナーは「News配信用メールアドレス宛のスパムメールについてのお詫び」をサイトに掲載。
• 購読者のメールアドレス漏洩やウイルス感染の危険がないことも調査・確認したことも報告。

9月30日

• ガートナーは「Gartner Newsメーリングリストにおいて発生したセキュリティ・インシデントに関するご報告」をサイトに掲載。
• 原因や社内専門家のシステム監査を受け、各種システムの見直しを継続していることも報告。

原因は初歩的な設定ミスの見落とし

メーリングリストを運用する場合、メールマガジンなど配信専用に使うアドレスに対しては、運営側のみから投稿可能とし、それ以外からの投稿は拒否(遮断)するように設定される。鉄則ともいえる極めて基本的な設定だ。この部分の設定に見落としがあったため、今回の事件が起こった。

日経BPの記事によれば、ガートナーが2003年3月頃に実施したメール・サーバのアプリケーション入れ替え時に設定を誤ったとのこと。
つまり、設定の見直しや再チェックが何らされることもなく放置され、たまたま今回のスパムメール騒動により、そのミスが明らかになったことになる。

配信用アドレスの落とし穴

見落としの原因として、メール中継されてしまった、その配信専用アドレスが多少くせ者であったことが挙げられるだろう。現在配信されている「Gartner News」のヘッダ情報を見ると、

9月30日付けガートナーの報告では、Gartner News配信用宛先に指定するアドレスには、第三者の使用を防止するアクセス制限がかかっていたが、スパムメールの発信に悪用された当該メールアドレスは、メーリングリスト・アプリケーションから送信制御用として生成されるシステム内部のメールアドレスであり、これに対しての設定を怠っていた、と記されている。

つまり、「ggnews@gartner.co.jp」には制限が設けられていたが、上記の2つの内部アドレスのいずれか、もしくはその両方が手つかずになっていたと考えられる。

スパムメールはこれらの内部アドレスを直接指定したものと思われる。そしてスパムメールにはReply-Toが指定されていなかったので、購読者からの返信が直接、内部アドレスに向かい、そのまま配信されたのであろう。

啓蒙側企業が犯してしまった過ちの波紋

発生当日に対策を講じ、翌日にはサイト上でお詫びが掲載されたことを差し引いても、メーリングリスト運用の基本的な設定が、今までおろそかにされていたことに対し、筆者の周囲からも「お粗末」という声が聞かれる。

まして、ガートナーといえばIT系のコンサルティングやリサーチで名高い企業である。もちろん電子メールのセキュリティに対しての調査・レポート等も多い。被害こそ軽微であったものの「人災」的感が強い今回の事件に関して、冷ややかな見方をする人もいるだろう。

そして、もう一つ気になったことがある。それは、ガートナーWeb上に掲載されている「ガートナー　オンライン・プライバシー・ポリシー」だ。細かくは記されているが、最後に 「これは、Gartner Online Privacy Policyの日本語訳です。」とある。個人情報保護法が成立し、国内企業の多くがこれに対応した記述に書き換えているのに対し、未だ日本語訳のみとは心許ない。日本支社とはいえ、ガートナー ジャパン株式会社という独立した法人である。独自の姿勢をもっと見せてほしい。