こんばんは。ラックの情報セキュリティインシデントレポートの続きについて書こうかと思いましたが、タイトルの内容について気になったので、予定を変更してこちらの方について書いてみることにします。Twitter上では既に多くの方々が様々な視点からコメントされていますので、個々のツイートを御参照下さい。

　この記事をざっと読んでいて気になったのは、「セキュリティ面的対応に関する記述が見当たらない」という点でしょうか。確かに立ち上げるだけなら10分で完了するんでしょう。ええ。そんなことがありましたので、「サファリパークに自転車でケンタッキーフライドチキンをぶら下げて突っ込んで行くようなもの」と表現しました。あまりにも無防備な印象を受けましたので、それを伝えようとしてふと思いついた表現でした。

　実はこのブログに目を通していて、何か既視感がありました。「なんだろう？この感覚は？」と気になっていました。

　もう20年近く前になりますでしょうか。素人がメールサーバをデフォルト設定のまま立ち上げて、思いっきりspamメールの踏み台にされてしまった事例が頻発していたことを思い出しました。当時はMTAが事実上sendmail一択だったと記憶しています。なんとなくメールサーバを立ち上げるのがイケてるみたいな空気があったようで、よく分からずOSインストール後そのまま利用していて被害に遭ったケースが多かったようです。

　ここでもご多分に漏れず、「sendmail.cf？何それ？」みたいな人も少なくなかったようです。sendmailの(オープンリレーとなってしまう)セキュリティホールを突かれた形でしたので、sendmail-8.9.1がリリースされました。難解なsendmail.cfを作りやすくするために、WIDE CFを使ってsendmail.cfを作る方法がweb上で複数アップされていました。

 当時はインターネットの普及率が低く、現在のようにインフラ化していませんでした。大学では一部研究者が研究目的で使っていたというような背景もあります。ですので、今ほど騒がれたことはなかったと記憶しています。

 ただ、インターネットがここまで普及して、生活の一部となりインフラ化している現状を考えると、ほぼ裸のまま放り出すような真似はあまりにも危険ではないかという風に感じました。不必要なポートをフィルタリングするとか、OSのアップデートやら、ApacheやPHPやWordPressのアップデート等のセキュリティ対策もありますし、コスト面(利用料)の問題もあろうかと思います。

 「踏み台にされるようなことなく、きちんと管理出来る」という覚悟があるなら敢えて止めませんが、そうでなければ大人しくレンタルサーバを契約しておく方が財布的にも精神衛生上もいいんじゃないかと昔の記憶を手繰りながらふと思ったのでした。(^^;;

(追記：鍵ペアのことを書き忘れてました。)