.NETセキュリティ .NET Frameworkに潜む脆弱性「SMTPコマンド・インジェクション」とその対処法 NTTコミュニケーションズ、セキュリティ・オペレーション・センター(SOC) 佐名木 智貴 2011/01/21 JISコードでエンコードされたメールを.NET Frameworkを用いて送信する際には、メール本文の作成にAlternateViewクラス(System.Net.Mail名前空間)を使う(.NET Framework 2.0以降で利用可能)。しかし、このAlternateViewクラスを使ったメール送信機能には、「SMTPコマンド・インジェクション(SMTP Command Injection)」の脆弱(ぜいじゃく)性が潜んでいることが判明したので、その内容と対策を解説する。 なお、本稿の内容は、2011年1月11日にNTTコミュニケーションズが公表した「.NET