パスワード別送の危険性と「電子証明書」の必要性
添付ファイルを開くためのパスワード別送、この方法での運用を義務付けている企業は本当に安全な電子メール環境を実現できているのでしょうか。想像以上に簡単に復元できてしまう「パスワード別送」の落とし穴と、それに替わる安価で安全な方法をご紹介します。 添付ファイルを開くためのパスワード別送に意味はあるのか? パスワードを別送で通知する運用を義務付けている企業の落とし穴 重要なファイルをメールで送ることが必要になった時、暗号化してパスワードを別のメールで通知するといった運用を行っている企業は少なくありません。企業によっては社員やスタッフなどそこで働く人たちに、このようなルールを義務付けているところもあります。 しかしPCに詳しい人ほど「この運用方法で本当にセキュリティ的に意味があるのか」と疑問を持っている人は少なくありません。事実、ファイルを添付したメールはもちろん、パスワードが記載されたメールを盗
XSSとSQLインジェクションの両方が可能なRFC5322適合のメールアドレス
メールアドレスの「ルール」に関する話題が盛り上がっていますね。 「メールアドレスのルール」系まとめがそろって間違ってるのでご注意を 「メールアドレスのルール」なんて使ってはいけない3つの理由 これらのエントリに異論があるわけでありません。メールアドレスに関するルールというとRFC5322などがあるものの、現実の運用では簡易的な仕様を用いている場合が大半である…という事情は、私も以前ブログに書きました。、 本稿では、「空前のメールアドレスのルールブーム(?)」に便乗する形で、RFC5322に準拠したメールアドレスで、XSSやSQLインジェクションの攻撃ができることを紹介します。と言っても、SQLインジェクションについては、過去に書きましたので、本稿では、RFC5322バリッドなメールアドレスでSQLインジェクションとXSSの両方ができるメールアドレスを紹介します。 まず、攻撃対象として、以下
再び注目され始めた「送信ドメイン認証」
今から6~7年前、メールが正しいアドレスから送られてきたかどうかをチェックする「送信ドメイン認証」技術が注目されたことがあった。フィッシングや迷惑メール対策として有効との考えからだ。しかし、今に至るも送信ドメイン認証はさほど普及していない。しかしここにきて、再び送信ドメイン認証に注目が集まり始めている。友人/知人をかたるメールから始まる標的型攻撃への対抗策としてである。 標的型攻撃の始まりにはさまざまなパターンがあるが、典型的なのは、実在の人物を騙って偽のメールを送り付けてくる手法だ(写真)。攻撃者はターゲットとなる企業の担当者の情報を事前に収集するなどして、友人や知人、あるいは関係する業界団体などになりすましてメールを送りつける。そしてそこに、罠を仕掛ける。 具体的には、ウイルスが自動的にダウンロードされるようなWebページへのリンクを記述したり、ウイルスが仕込まれたファイルを添付したり
トランスウエア、大量メール一斉配信はBccに自動変換、情報流出対策の新版
トランスウエア(松田賢代表取締役)は、メール誤送信防止ソフトの最新版で、宛先を強制的にBccに変換できる機能などを付加した新版「Active! gate 1.1」を発売した。 「Active! gate」は、メールの誤送信による情報漏えいを未然に防ぐソフト。新版では、「Bcc強制変換機能」を新搭載した。宛先に大量のメールアドレスを設定した際、強制的に「Bcc」に自動変換する。一斉配信する際に発生しがちな、「To」や「Cc」にメールアドレスを設定することによるメールアドレスの流出を防止できる。 設定したサイズ以上の添付ファイルを、自動的にZIP暗号化したり、ウェブダウンロードに変換する機能を搭載した。税別価格は、スタンダードライセンス(企業向け)が50ユーザーで27万円から、アカデミックライセンス(文教向け)が同18万円から。 トランスウエア=http://www.transware.co.
@IT Special PR:NTTPCのメールセキュリティSaaSで電子メールの誤送信を根絶しよう
ビジネスシーンでは、重要書類を添付した電子メールのやり取りが発生する。そのとき、メールアドレスや添付ファイルを間違えてしまったら、企業は大きな損失を生じるだろう。「うっかりミスなんて」とあなどることなかれ! 情報漏えい事故の原因として、2004年度に過半数を占めていた「紛失」や「盗難」は2008年度には3割程度となり、それらに代わって「誤操作」が36%で1位となっている(JNSA調べ)。法人向け電子メールセキュリティSaaS(ホスティングサービス)の「Mail Luck!」が、新機能として添付ファイル付き電子メールの誤配信を防止する「添付ファイルの誤送信防止機能」を提供する。これまでの業務プロセスに負担を掛けずに、セキュアな添付ファイル付き電子メールのやり取りをどのように実現するのだろうか? 暗号化しても添付ファイルそのものの添付間違いは防げない NTTPCコミュニケーションズのメールセキ
これじゃぁまるでフィッシング詐欺――業務委託メールに専門家が警告
セキュリティ組織の米SANS Instituteは2008年2月25日、公式ブログにおいて、企業が顧客にメールを送る際の注意点を、具体例を挙げて解説した。不用意なメールは、フィッシング詐欺などに間違われる恐れがあるからだ。 SANSでは、顧客あてのメール送信を外部の業者に委託している企業や組織は、十分注意する必要があるとしている。メールの送信者アドレスや、メールで誘導するWebサイトのドメイン名が、企業/組織のものではなく業者のものだと、顧客はフィッシング詐欺と区別が付かないからだ。 実際、そういったメールを複数確認しているという。SANSのスタッフが2008年2月初めに受け取ったメールもその一つ。米国の鉄道会社(公社)である「アムトラック(Amtrak)」が送ったとするもの。同社のWebサイト「Amtrak.com」の登録者に向けて、登録情報の確認を促すメールだ(図)。 ところが、メール
[ThinkIT] 第2回:メール事故の傾向と、今取りうる対策 (1/3)
個人情報保護法が施行されて1年半が経過しようとしていますが、いまだに情報漏洩事故はとまっていません。メールからの情報漏洩事故も増えています。 "情報漏洩"やお詫び"といったキーワードでGoogleをたどると多くのお詫び文を見つけることができます。それらの中には比較的最近のものも散見されます。
IIJ、メール関連のセキュリティ機能を統合的に提供するASPサービス
株式会社インターネットイニシアティブ(IIJ)は9月5日、「IIJセキュアMXサービス」を発表した。10月1日より提供を開始する。 IIJセキュアMXサービスは、企業のリスク管理で必要とされるさまざまなメール関連のセキュリティ機能を統合的に提供するASPサービス。企業のメールシステムとインターネットの間に設置した同社のゲートウェイサーバーを介してサービスが提供されるため、既存のメールシステムを変更せずに利用することができる。 提供されるサービスは、送信ドメイン認証、迷惑メールフィルタ、アンチウイルス、経路暗号化、配送保留、ログ/統計情報のダウンロード。そのほか、オプションで、メールアーカイブやメール監査などのサービスも提供される。 ■ URL 株式会社インターネットイニシアティブ http://www.iij.ad.jp/ プレスリリース http://www.iij.ad.jp/pres
「突然メールが送れなくなる!?」迷惑メール対策のOP25Bとは
迷惑メール対策として、OP25Bを実施するプロバイダーが増えてきた。すでにメールの設定変更などで悩まされたユーザーも少なくないと思うが、導入に向けて対策しているユーザーや、導入に気づいていないユーザーもいるだろう。OP25Bとは何なのか、そしてその対策についてまとめた。 ■ OP25Bが導入されると何が起きるか はじめに、OP25Bの仕組みを説明しておこう。OP25Bとは「Outbound Port25 Blocking」の略称で、メールの送信に使われる25番ポートをブロックし、特定の条件下においてメールの送信を不可能とする仕組み。主に迷惑メール対策として導入されている。 通常、一般的なユーザーがメールを送信する場合にはプロバイダーのSMTPサーバーを利用するが、迷惑メール配信事業者の場合は独自のSMTPサーバーを用意してメール配信を行なうケースが多い。OP25Bにより、プロバイダーのSM
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
404|サイバートラスト 認証・セキュリティサイト|サイバートラスト