【対応完了】【SPFレコード】沖縄タイムスから迷惑メールが飛んできた…?

シェアする

Voiced by Amazon Polly
以下の記載は過去の記録です。今後修正の見込みです。
一次対応として当該迷惑メールを発信していたホストがSoftFailとして登録(~ip4:13.113.208.214)されたことを確認しています。
広告



自分の管理下にないIPアドレスまでSPFレコードに!

includeに記載されたspf.bserver.jpのSPFレコードは次の通りです。

v=spf1 include:spf01.bserver.jp include:spf02.bserver.jp include:spf03.bserver.jp include:spf04.bserver.jp include:spf05.bserver.jp ~all

spf[01-05].bserver.jpに委譲されていることがわかります。SPFレコードを分けるのは普通ではあります。ですが、この次に問題がありました。
次に記載したのは上記のincludeに記載されたSPFレコードです。

spf01.bserver.jp - v=spf1 ip4:13.112.0.0/17 ip4:202.222.21.42/29 ip4:202.222.24.4/30 ip4:202.222.24.72/29 ip4:210.140.160.191/32 ip4:210.140.160.192/26 ip4:210.140.161.12/30 ip4:210.140.162.238/32 ip4:210.140.162.41/32 ip4:210.140.163.0/24 ip4:210.140.164.0/23 ip4:210.140.168.34/32 ip4:210.140.168.58/32 ip4:210.140.174.111/32 ip4:210.140.175.126/32 ip4:210.140.181.128/26 ip4:210.140.66.120/32 ip4:210.140.68.192/26 ip4:210.140.68.127/32 ip4:210.140.68.63/32 ip4:210.140.68.68/32 ~all
spf02.bserver.jp - v=spf1 ip4:210.140.69.8/30 ip4:210.140.70.10/29 ip4:210.140.70.20/31 ip4:210.140.70.24/32 ip4:210.140.77.252/32 ip4:210.188.233.160/32 ip4:210.188.233.196/30 ip4:210.188.233.217/32 ip4:210.188.236.3/32 ip4:210.188.236.4/30 ip4:210.188.236.53/32 ip4:210.188.236.64/26 ip4:210.188.248.64/24 ip4:210.188.249.162/32 ip4:210.188.249.206/32 ip4:210.188.249.216/30 ip4:210.188.250.153/30 ip4:210.188.250.182/32 ip4:210.188.250.184/30 ip4:210.188.250.192/26 ~all
spf03.bserver.jp - v=spf1 ip4:52.192.0.0/15 ip4:52.196.0.0/15 ip4:52.198.0.0/15 ip4:52.69.0.0/15 ip4:54.178.0.0/16 ip4:54.199.0.0/16 ip4:54.238.0.0/16 ip4:54.249.0.0/16 ip4:54.250.128.0/17 ip4:54.64.0.0/15 ip4:54.92.0.0/17 ip4:59.106.107.11/32 ip4:59.106.107.64/28 ip4:59.106.140.128/25 ip4:59.106.144.0/27 ip4:59.106.152.0/26 ip4:59.106.170.128/25 ip4:59.106.192.12/25 ip4:59.106.29.52/29 ip4:59.106.29.80/30 ip4:59.106.50.0/25 ~all
spf04.bserver.jp - v=spf1 ip4:59.106.72.225/32 ip4:59.106.83.66/28 ip4:59.106.95.0/25 ip4:59.106.98.31/32 ip4:59.106.98.73/30 ip4:61.211.234.75/26 ip4:61.211.237.38/25 ip4:210.140.69.0/29 ip4:210.188.254.64/30 ip4:59.106.72.192/27 ip4:13.112.0.0/14 ip4:18.182.112.60/32 ip4:13.230.71.105/32 ip4:18.182.243.36/32 ip4:18.182.225.86/32 ~all
spf05.bserver.jp - v=spf1 ip4:210.140.0.0/16 ip4:210.140.177.64/26 ip4:52.192.0.0/15 ip4:52.196.0.0/15 ip4:52.198.0.0/15 ip4:13.112.0.0/14 ip4:52.68.116.186/32 ip4:18.179.128.60/32 ip4:52.194.179.166/32 ip4:13.115.205.62/32 ip4:54.168.62.54/32 ip4:52.194.59.29/32 ip4:52.196.85.162/32 ip4:54.95.133.116/32 ip4:52.194.59.224/32 ip4:52.194.80.30/32 ip4:52.194.153.253/32 ip4:52.194.167.61/32 ip4:18.179.97.179/32 ip4:13.231.50.167/32 ~all

何やら大量にIPアドレスが範囲指定されています。ピンと来た人はいるかもしれません。このIPアドレスの範囲の少なくとも一部が、パブリッククラウド(EC2)に割り当てられたIPアドレスの範囲を丸ごと指定しています。
1個1個IPアドレスを指定するのが面倒になったのでしょう。確かにIPアドレスを個別に指定するのはめんどくさいです。しかし、セキュリティ上そのような設定は危険です。

パブリッククラウドのIPアドレスの割り当ては変更されることがあります。また、IPアドレスが1つだけ違っていても、それは赤の別人が所有していることもしばしばあります。
例えば、203.0.113.50があなたのサーバーに割り当てられていても、前後の203.0.113.49や203.0.113.51があなたのものであるとは限りません。

あなたがマンションの404号室に住んでいるとして、隣の部屋の403号室や405号室はあなたのものとは限らないことと同じです。

今回のケースではこの穴が突かれました。沖縄タイムスはspf.bserver.jp→spf04.bserver.jpおよびspf05.bserver.jpにSPFレコードを委譲しており、そのSPFレコードに自分のものでないIPアドレスが含まれていたため、攻撃者がそのIPアドレス(13.113.208.214)を狙ってEC2インスタンスを立ち上げ、沖縄タイムスを装って迷惑メールを配信したのです。
ネットワークアドレスを計算すればわかるはずですが、13.113.208.214は13.112.0.0/14に含まれます。