タイプミスが生む情報漏洩リスク:米軍(.MIL)に宛てたつもりのEメール数百万通がマリ共和国のドメイン(.ML)へ送られる | Codebook|Security News
Codebook|Security News > Articles > Threat Report > タイプミスが生む情報漏洩リスク:米軍(.MIL)に宛てたつもりのEメール数百万通がマリ共和国のドメイン(.ML)へ送られる

Threat Report

Silobreaker-CyberAlert

タイプミスが生む情報漏洩リスク:米軍(.MIL)に宛てたつもりのEメール数百万通がマリ共和国のドメイン(.ML)へ送られる

山口 Tacos

山口 Tacos

2023.07.18

米軍(.MIL)に宛てたつもりのEメール数百万通がマリ共和国のドメイン(.ML)へ送られる

フィナンシャル・タイムズ紙の報道によると、米軍のアドレス宛に送ることを意図したEメール数百万通が、少なくともおよそ10年以上にわたってメールアドレスのタイプミスによりマリ共和国のドメインへと送られていたという。これは、本来「.MIL」とすべきメールアドレスの末尾を、誤ってマリのドメインである「.ML」と入力したことによる誤送信。

誤ってマリ宛となったメールの大半はスパムメールだとされるが、中には軍関係者や請負業者、およびその家族などに関する機微な情報を含んだメールもあるという。

発覚はおよそ10年前

この誤送信問題を最初に発見したのは、マリ共和国のドメイン管理を請け負うオランダ企業Mali Diliの取締役社長であるJohannes Zuurbier氏。2013年、Zuurbier氏は「army.ml」や「navy.ml」など、実在しないマリのドメインへのDNSリクエストが多いことに気づき、これらのアドレス宛てのメールをキャッチするシステムを立ち上げた。しかしシステムにより収集されるメールの多さに圧倒され、一旦収集を打ち切ったのだという。そして2014年と2015年に米国政府へこの問題について繰り返し報告しようとしたものの、この試みは失敗に終わる。

今年だけで約11万7,000通のEメールがマリのドメインへ

Zuurbier氏は、再度米国への注意喚起を行うため、2023年1月から誤送信メールの収集を再開。すると、今年だけで約11万7,000通のEメールが集まったという。

米軍へ送るはずがタイプミスによりマリ宛となったメールには、米軍関係者や請負業者、およびその家族などに関する以下のような情報を含むものがあったとされる:X線写真、医療データ、身分証明書情報、船舶の乗組員名簿、基地の職員名簿、施設の地図、基地の写真、海軍の検査報告書、契約書、職員に対する刑事告訴状、いじめに関する内部調査の情報、公式の旅程、予約情報、税金や財務の記録など。

また、あるEメールには、5月にインドネシア訪問を予定していたジェームズ・マコンヴィル米陸軍大将の旅程やホテルの部屋番号、そしてルームキーの回収に関する情報までもが記載されていたという。

現実的なリスク

Zuurbier氏がマリ政府との間で交わしているドメイン管理契約は今週で満了となり、その後ドメインの管理権はマリの軍事政権の手にわたる。そうなれば、本来米軍へ送ることを意図して誤送信されたメールを、マリ政府が自ら収集できるようになるということ。同政府がロシアと密接なつながりを有していることを踏まえれば、これは米国にとって由々しき事態だと考えられる。

また、先ほど触れた「army.ml」や「navy.ml」といったドメインは実在していないものの、今後悪意ある人物や組織などが米軍の「.MIL」を末尾に持つアドレスに対応する似通った「.ML」ドメインを新たに登録し、誤ってそのドメイン宛に送られたメールを入手しようと試みる可能性もある。Zuurbier氏も指摘しているように、こういったリスクは現実的なものであり、この問題は米国の敵対者によって悪用される恐れが十分にある。

米国防総省の対策には限界が

米国防総省はThe Register紙の取材に対し、この問題を認識していると答え、同省のシステムからマリのドメイン宛に送られるEメールを、システム外へ出る前にブロックするという技術的な対策を講じていると伝えた。ただし、国防総省のシステムからではなく、個人のメールアカウントや外部のアカウントから宛先の「.MIL」を「.ML」と打ち間違えたメールが送信されてしまうようなケースは防ぎようがなく、同省の担当者も「できることは限られている」と述べているとのこと。

 

(情報源:Financial Times “Typo leaks millions of US military emails to Mali web operator”、The Register “Typo watch: ‘Millions of emails’ for US military sent to .ml addresses in error”)

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ