Eximにセキュリティホールが見つかりました。

影響は深刻で、リンクもとの記事によると約520万台のサーバに影響があるそうです。バージョンも対策が完了していない、過去すべてのバージョンに影響し、root権限乗っ取りまでありえるそうなので、規模の大きさといい、深刻度合いといい、２０１９年一番の大きなセキュリティホールといっても過言ではないかもしれません。

japan.zdnet.com

ただし日本ではEximは人気がありません。LinuxではDebianが標準で採用していますが、日本でMTAサーバを運用する場合はeximを削除しpostfixを利用するのではないでしょうか？なので日本で話題になることは少ないと思います。

Eximは6月にも下記の通りExim経由で拡散するLinuxワームに対しても対策の呼びかけが行われております。

japan.zdnet.com

 ただ考えてほしいのは、本当に520万台のサーバすべてがすぐに対策を行うのでしょうか？Debian標準の状態でインストールされている場合、 

 のように、パッケージに搭載されているコマンドを実行するだけでアップデートできます。

ですが、サーバで利用者が多い場合にはサーバを止めるだけでも調整が必要になりますし、万が一アップデートに失敗したら業務やサービスが中断します。業務に影響が出た場合の機会損失を考えたら・・・・「簡単に対応できるかぁ！」と考える管理者がほとんどだと思います。

 通常のメールやり取りを行うために起動しているメールサーバは。現在ではウィルス対策・SPAM対策・標的型攻撃メール対策を「シマンテック .cloud（https://www.cybernet.co.jp/symantec/products/cloud/cloud.html）」のようにクラウドシステムで対策を行うか、トレンドマイクロ　InterScan Messaging Security（https://www.trendmicro.com/ja_jp/business/products/user-protection/sps/email-and-collaboration/interscan-messaging.html）」のような社内ソリューションを利用でしているはずですので、直接eximを利用してメール受信をおこなっているサーバ管理者はもっと少なく、通常のメールやり取りで利用していると可能性は低いので日本でのeximセキュリティーホールの影響は少ないでしょう。

上記のようにシステム管理者が分かっており、管理者が計画を立てて対策を行えばよいのですが、考えられる最悪のパターンは

～～～～～～～～～～～～～～～～～～～～～

・Debianを使った開発が必要（要求仕様や要件で慣れないOSに決まってしまった）

 ・開発環境をクラウド上に構築した（インターネット上に公開されている）

・ファイアウォールの設定は開発に関係ないので、サービス自体を起動しないように設定した

・必要なソフトをインストールし、telnetなどの不要なっサービスは停止したがメールについては業務要件でメール送信を行うので停止させていない

・（最後に）開発が終了して保守に移行しても、サーバはそのまま起動させている

～～～～～～～～～～～～～～～～～～～～～

のように、誰も気づかない状態でセキュリティーホールが放置され起動しっぱなしのサーバです。このようなサーバは考えている以上に多いはずです。

昔は直接MTAでメールを受信していることも多かったです。いまはMicrosoft／office365やgoogle／G Suiteのようにクラウドサービスがありますので、できればこれらのサービスを利用して、社内で運用しているメールサーバは利用しない方向にしたほうが良いと考えます。特に社員の人数が500人以下であれば、積極的に検討する余地があります。このようなサービスは「通信費」でサービス料を経費で落とせますので、財務的にも考慮の余地が発生します。（資産としてソフトやハードを保有しない）

情報システム室の本来の業務は「システムの保守管理」ですが、それ以外にもクラウドサービスを利用した場合の業務に与える影響を調査し、業務改善（生産性の向上）につながるなら、積極的に経営者（役員や責任者）にシステム改善提案を行うことです。

業務改善の結果、今回のEximのような騒ぎが起きても安心することが出来る環境が構築されることにもつながります。