国内のセキュリティ組織JPCERTコーディネーションセンター(JPCERT/CC)は2012年6月7日、インターネットサービスプロバイダー(ISP)が提供するメールサービスのアカウント情報(アカウント名やパスワード)が盗まれて、迷惑メールの送信などに悪用されるケースが相次いでいるとして注意を呼びかけた。

 JPCERT/CCによれば、国内の複数のISPにおいて、大量の迷惑メール(スパム)が不正に送信されているという。迷惑メールの送信者は、正規ユーザーのアカウント情報を何らかの方法で入手し、そのユーザーになりすましてISPのメールサーバーに接続。そのメールサーバーを使って、迷惑メールを送信している。

 国内のISPや通信事業者によって組織される日本データ通信協会 テレコム・アイザック推進会議(Telecom-ISAC Japan)も、2011年12月に同様の呼びかけをしている。Telecom-ISAC Japanでは、2011年8月以降、正規ユーザーのアカウントを悪用した大量のメール送信を確認しているという。

 メールの送信元になっているパソコン、すなわち、ISPのメールサーバーに接続しているパソコンは、海外の不特定多数のパソコンだという。Telecom-ISAC Japanによれば、それらのパソコンは、ボットネットの一部である可能性が高いという。

 これまでJPCERT/CCには、アカウント情報の不正取得に関するさまざまな情報が提供されている。例えば、アカウント情報を盗もうとするウイルス(マルウエア)や、フィッシング詐欺、ISPのメールサーバーに対する総当たり攻撃(ブルートフォース攻撃)に関する情報が提供されている。

 しかしながら今回の件については、アカウント情報がどのように入手されたのかを特定できていないとしている。

 Telecom-ISAC Japanでは、次のような状況になった場合には、自分のメールアカウントが悪用されている恐れがあると警告している。

・大量のエラーメールを受信するようになった
・メールをそれほど利用していないのに、「メールサーバーの送信数上限を超過した」といったメッセージを受信した
・ISPから「迷惑メールの送信元になっている」といった通知を受けた

 以上のような場合には、メール用のパスワードをすぐに変更するとともに、メールを利用するパソコンのセキュリティ対策(ウイルス対策など)を確認するよう勧めている。

 また、JPCERT/CCでは、被害の拡大を抑止するために、アカウントを乗っ取られたユーザーに対して、情報を提供してほしいとしている。