IPhoneとかAndroidで使っていた『BlueMail』というメーラーが怪しかった件
こんにちはHITS代表の原田です。
今回は個人の携帯(Android)でかなり長く使っていたBlueMailというメーラーをやめた話です。
ことの発端は仕事を始めるにあたり構築したメールサーバのログを見ていた時に、変なIPがすんなりと認証されてログインしていることを発見したことです。
Jun 4 17:41:58 mail dovecot: imap-login: Login: user=<sales@harada-its.com>, method=PLAIN, rip=34.197.140.199, lip=xxx.xxx.xxx.xxx, mpid=1161, TLS, session=<5aYvdHuKoggixYzH>
Jun 4 17:41:59 mail dovecot: imap-login: Login: user=<takaha@harada-its.com>, method=PLAIN, rip=34.197.140.199, lip=xxx.xxx.xxx.xxx, mpid=1166, TLS, session=<Vao4dHuKScAixYzH>
Jun 4 17:41:59 mail dovecot: imap-login: Login: user=<support@harada-its.com>, method=PLAIN, rip=34.197.140.199, lip=xxx.xxx.xxx.xxx, mpid=1167, TLS, session=<w+g9dHuKqJcixYzH>
Jun 4 17:42:00 mail dovecot: imap-login: Login: user=<info@harada-its.com>, method=PLAIN, rip=34.197.140.199, lip=xxx.xxx.xxx.xxx, mpid=1173, TLS, session=<RMRIdHuKHzIixYzH>
そのIPとは『34.197.140.199』で、whois情報で調べると
OrgName: Amazon Technologies Inc.
OrgName: Amazon Technologies Inc.
OrgId: AT-88-Z
Address: 410 Terry Ave N.
City: Seattle
StateProv: WA
PostalCode: 98109
Country: US → (アメリカ合衆国)
RegDate: 2011-12-08
Updated: 2017-01-28
こんな情報が。。。
amazonが私のメールサーバにログインしてきてしかもなぜかパスワードも知っている。。。
なんじゃこりゃぁ
ということで調べてみたところ、下記のような情報が。
https://www.wyae.de/volker.tanger/vuln/iphone_bluemail_account_theft/
他を調べてみても上記のサイトしかヒットしなかったから情報としては少ないですが、
ログインされたメールアドレスはBlueMailとOutlookにしか登録していないので、ほぼ間違いなくBlueMailから漏れたみたい。
ひとまずメールのパスワード変更とBlueMailのアンインストールをすることにしました。
インストールするときに一応情報収集したり変な動作してないかなどは調べているのですが、登録した情報を漏らされてるんじゃ、なんの対策も立てられないですね。
設定画面の日本語が少しおかしかったので、調べてみました。
やっぱり怪しいのですね、ありがとうございます。
情報ありがとうございます。新規にchrome bookを導入したので、そのメーラとして最高に評判の良かったbluemailを入れてみましたが、入れた後に不安になり、ちょっと調べたら、こちらのページにたどり着きました。
私の方でも海外の情報を調べたのですが、登録したメールのアカウント、パスワード等の情報が外部に出ているのは間違えないようですね。
https://benbloggt.wordpress.com/2018/03/11/is-blue-mail-really-spying/
沢山のメアドを登録してしまった為、今から全部変えます。。。ありがとうございました。