セキュリティニュース

奈良女子大学のSMTPサーバが迷惑メール踏み台に—設定不備で約17.9万件を不正送信

奈良女子大学(奈良市)は2026年3月30日、同大学が運用するSMTPサーバの設定不備が原因で、2月21日から24日にかけて第三者に踏み台として悪用され、迷惑メールが外部へ大量送信されていたと発表した。送信件数は計17万8,782件にのぼる。

3行要約

何が起きた:奈良女子大学の部局管理SMTPサーバが認証・中継制御の設定不備により、第三者に踏み台として悪用され、約17.9万件の迷惑メールが送信された。

影響:差出人には同大教員のメールアドレスを含む無関係なアドレスが使用された。全学共通メールシステムへの波及はなく、個人情報の漏えいも確認されていない。

対応:設定を是正済み。送信ログ監視の強化と異常検知の仕組みを導入し、部局運用サーバを含むセキュリティ管理体制を見直した。

わかっていること/わかっていないこと

わかっていること

・発生期間は2026年2月21日〜24日の4日間。

・送信件数は17万8,782件。

・差出人アドレスは同大教員のものおよび同大と無関係なものが混在。学生アドレスは含まれない。

・原因はSMTPサーバの認証および中継制御設定の不備(いわゆるオープンリレー状態)。

・外部からの不正侵入およびアカウントの不正取得は確認されていない。

・個人情報・内部情報の漏えいは確認されていない。

・当該サーバは全学共通メール基盤(奈良女メール)とは別系統の、部局が独自に管理するシステム。

・外部機関からの通報を契機に発覚した。

わかっていないこと

・通報元の外部機関の詳細。

・踏み台として悪用した第三者の特定状況。

・当該サーバが何年・何カ月にわたってオープンリレー状態にあったか。

・送信されたメールの内容・種別(フィッシング、広告など)。

設定不備の内容——「オープンリレー」状態が招いた大量送信

同大によると、問題のSMTPサーバは認証を経ずに外部からメールを受け付け、さらに外部宛に転送できる「オープンリレー」に近い状態にあった。本来、正規の送信者であることを検証する認証機能と、許可されたネットワーク以外からの中継を遮断する制御が不可欠だが、これらの設定が不十分だった。攻撃者はこの状態を利用し、大学のSMTPサーバを経由して迷惑メールを大量配信した。

オープンリレーは1990年代から続くメールセキュリティの古典的な脆弱性だ。スパム送信者にとっては「出所を隠す」「評判の良いIPアドレスを悪用する」手段として依然として狙われやすく、設定漏れが発覚すると短時間で大規模な送信に使われる。今回も4日間で約17.9万件に達した事実がその危険性を示す。

全学共通システムへの波及はなし——部局サーバ管理の課題

同大が強調するのは、被害を受けたサーバが「部局独自管理」のシステムであり、全学共通の「奈良女メール」とは別系統だという点だ。全学共通システムへの影響は確認されていないとする。

一方で、この構図は大学組織特有のリスクを浮き彫りにする。中央のIT部門が管理する共通基盤とは別に、各部局が独自にサーバを運用するケースでは、セキュリティポリシーの適用や監査が行き届きにくい。今回も外部からの通報があって初めて発覚しており、部局サーバを含めた統一的な管理体制の構築が課題として残る。

再発防止策——監視体制の強化と管理体制見直し

同大は事案発覚後、当該SMTPサーバの認証設定と中継制御を是正し、現在は適切に運用されていると説明する。あわせて、メール送信ログの常時監視と異常送信の早期検知の仕組みを導入した。さらに、部局運用サーバを含む情報セキュリティ管理体制の見直しに着手したとしている。

タイムライン

2026年2月21日:SMTPサーバへの第三者による不正中継が開始(推定)

2026年2月24日:不正送信が終了(設定是正または自然停止、詳細不明)

2026年2月21日〜24日:計17万8,782件の迷惑メールが外部へ送信

時期不明:外部機関から奈良女子大学へ通報、調査開始

2026年3月30日:奈良女子大学が公式発表を公開

問い合わせ先

奈良女子大学 情報基盤センター(pcroom[@]cc.nara-wu.ac.jp)

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,,