IPhoneとかAndroidで使っていた『BlueMail』というメーラーが怪しかった件

こんにちはHITS代表の原田です。

今回は個人の携帯(Android)でかなり長く使っていたBlueMailというメーラーをやめた話です。
ことの発端は仕事を始めるにあたり構築したメールサーバのログを見ていた時に、変なIPがすんなりと認証されてログインしていることを発見したことです。

Jun  4 17:41:58 mail dovecot: imap-login: Login: user=<sales@harada-its.com>, method=PLAIN, rip=34.197.140.199, lip=xxx.xxx.xxx.xxx, mpid=1161, TLS, session=<5aYvdHuKoggixYzH>
Jun  4 17:41:59 mail dovecot: imap-login: Login: user=<takaha@harada-its.com>, method=PLAIN, rip=34.197.140.199, lip=xxx.xxx.xxx.xxx, mpid=1166, TLS, session=<Vao4dHuKScAixYzH>
Jun  4 17:41:59 mail dovecot: imap-login: Login: user=<support@harada-its.com>, method=PLAIN, rip=34.197.140.199, lip=xxx.xxx.xxx.xxx, mpid=1167, TLS, session=<w+g9dHuKqJcixYzH>
Jun  4 17:42:00 mail dovecot: imap-login: Login: user=<info@harada-its.com>, method=PLAIN, rip=34.197.140.199, lip=xxx.xxx.xxx.xxx, mpid=1173, TLS, session=<RMRIdHuKHzIixYzH>

そのIPとは『34.197.140.199』で、whois情報で調べると

OrgName:        Amazon Technologies Inc.
OrgName:        Amazon Technologies Inc.
OrgId:          AT-88-Z
Address:        410 Terry Ave N.
City:           Seattle
StateProv:      WA
PostalCode:     98109
Country:        US   → (アメリカ合衆国)
RegDate:        2011-12-08
Updated:        2017-01-28

こんな情報が。。。
amazonが私のメールサーバにログインしてきてしかもなぜかパスワードも知っている。。。

なんじゃこりゃぁ

ということで調べてみたところ、下記のような情報が。
https://www.wyae.de/volker.tanger/vuln/iphone_bluemail_account_theft/
他を調べてみても上記のサイトしかヒットしなかったから情報としては少ないですが、
ログインされたメールアドレスはBlueMailとOutlookにしか登録していないので、ほぼ間違いなくBlueMailから漏れたみたい。

ひとまずメールのパスワード変更とBlueMailのアンインストールをすることにしました。
インストールするときに一応情報収集したり変な動作してないかなどは調べているのですが、登録した情報を漏らされてるんじゃ、なんの対策も立てられないですね。

Follow me!

IPhoneとかAndroidで使っていた『BlueMail』というメーラーが怪しかった件” に対して1件のコメントがあります。

  1. 通りすがり より:

    設定画面の日本語が少しおかしかったので、調べてみました。
    やっぱり怪しいのですね、ありがとうございます。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です