概要 2024年2月から、Googleからメール送信のガイドラインが更新されるとのことで、SPF・DKIM・DMARC・ARCの設定を推奨するような内容だったので、 改めてそれぞれの調査とpostfixへの設定をしてみたのでメモ メールの送受信に関わる設定ですので、記載内容を鵜呑みにするのではなく、其々の組織やグループのポリシに合わせて設定することが重要です。それぞれの設定項目の意味や影響範囲などを正しく理解した上で設定を行い、十分に検証を行ってください。その際に、もしこの記事の内容が参考になれば幸いです。 私自身100％分かっているかと言われると怪しいので SPF（Sender Policy Framework） SPFはメール送信元ドメインが正当な経路からメールを送信しているかを検証するための仕組みです。 一般的に、組織は特定のメールサーバーを通じてメールを送信します。たとえば、自社の

ITmedia NEWSでセキュリティインシデントを日々伝えていると、記事に対して「そんなずさんな情報管理があり得るのか！」という驚きの声が寄せられることがある。 例えば、法令を順守していれば被害を防げたかもしれない場合や、明らかな手抜きがあった場合には「そうはならないだろう」「それはダメだろう」というツッコミもよく入る。ITmedia NEWSの読者が高いITリテラシーを持っていることの現れともいえるかもしれない。 しかし、もう少し踏み込んでみることをすすめるのが、情報セキュリティの専門家・徳丸浩さんだ。 「みなさん『それはダメだよ』と思うことはありますよね。でも『これが現実なんですよ』ということが大事だと思うんですよね。例えば、自分が作れば大丈夫という場合でも、ソフトウェアを発注して完成品を受け取ってみたら問題があったなんてことは十分あることです」 “そうはならんやろコード”はどうやっ

概要 アカウントを乗っ取る攻撃が私の中で話題だったので、理解しようと努めましたという記事です。 その元記事はこちら↓ とのことなので、有名サイトでもこの脆弱性を抱えていることになります。 この記事に出てくる攻撃方法は 5つ あり、文章だとピンと来なかったのでシーケンス図に書き出してみました。 乗っ取りはすごい怖いですね... RDSの本番DBをtruncateしていくよりも下手したら損害が出る可能性もあるのでは？と思ってしまいます。 さて、本記事はこんなことかな？とふんわり書いているので、間違っていたら指摘していただけると嬉しいです Classic-Federated Merge Attack 攻撃者が被害者のメールアドレスを使い、先回りしてサービスのアカウントを作成しておく。被害者が「Googleでログイン」などでそのサービスにログインした場合にアドレスが統合されるため乗っ取りが成功する

（語り手）JILIS副理事長 高木 浩光 （聞き手）JILIS出版部 編集長 小泉 真由子 （撮影）宇壽山 貴久子 この1年、過去の海外文献を調査していたという高木浩光さん。これまでの研究の一部は情報法制レポート創刊号の特集として掲載されましたが、高木さんに言わせると「あれはまだ序の口」とのこと。本日お伺いする内容は近々高木さん自身が論文にされる予定とのことですが、まだ時間がかかりそうということで、急ぎ、インタビューとしてお話しいただくことになりました。なお、このインタビューは大変長くなっております。ぜひ、最後までお付き合いいただければと思いますが、時間のない方は、目次を参照していただき、気になるトピックからお読みください。 —— 今日は、高木さんがどうしても今すぐみなさんに伝えたいことがあるとのことで、インタビューでお話を聞くことになりました。 高木： はい、よろしくお願いします。話はと

Amazon Web Services (以下AWS)の利用開始時にやるべき設定作業を解説します。AWSの利用開始とは、AWSアカウントの開設を意味しますが、より安全に利用するため、AWSアカウント開設直後にやるべき設定がいくつかあります。この連載ではその設定内容を説明します。 AWS Organizationsを使用することで、複数のアカウントに自動的にこういった初期設定を行うことも可能ですが、この連載では新規で1アカウントを作成した場合を前提とします。複数アカウントの場合も、基本的な考え方は同じになります。 設定作業は全１９個あり、作業内容の難しさや必要性に応じて以下３つに分類しています。 少なくともMUSTの作業については実施するようにしましょう。 MUST ：アカウント開設後に必ず実施すべき作業 SHOULD ：設定内容の検討または利用方法を決定のうえ、可能な限り実施すべき作業 B

徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。 https://t.co/F0kveu1nJM

目的は何で、誰が責任を持ってコントロールするのか――アプリ以前のスキームが定まらないまま進んだ感のある新型コロナウイルス感染症（COVID-19）接触確認アプリの是非を、鈴木正朝、高木浩光、板倉陽一郎、山本一郎の4人が適度な距離を保って議論した。※本稿は2020年6月10日に収録したオンラインセミナーの内容に加筆修正を加えたものです

『MarkeZine』が主催するマーケティング・イベント『MarkeZine Day』『MarkeZine Academy』『MarkeZine プレミアムセミナー』の 最新情報をはじめ、様々なイベント情報をまとめてご紹介します。 MarkeZine Day

プログラム 詳細が決まり次第、更新していきますのでご期待ください！ テーマ：産業サイバーセキュリティを考える　守れ！サプライチェーン

架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策：徳丸浩氏が8つの試練を基に解説（1/3 ページ） ECサイトやWebサービスでセキュリティインシデントを起こさないためには何をすればいいのか。2019年12月に開かれた「PHP Conference Japan 2019」で徳丸浩氏が、架空企業で起きたセキュリティインシデントを例に、その対策方法を紹介した。 ECサイトやWebサービスを提供する会社で発生したセキュリティインシデントに関するさまざまなニュースが後を絶たない。どうすればこうしたインシデントは防げるのだろうか。 『体系的に学ぶ安全なWebアプリケーションの作り方』（通称：徳丸本）の筆者として知られる徳丸浩氏（EGセキュアソリューションズ　代表取締役）は、2019年12月に開かれた「PHP Conference Japan 2019」のセッション「オニギリペイのセキュリ

ファーストサーバ社データ消失事故の教訓（４）ユーザー自身が学習しなければ、サービス品質の向上は望めない　―NPO法人情報セキュリティ研究所・上原 哲太郎氏 2012.11.08 Updated by Satoshi Watanabe on November 8, 2012, 17:30 pm JST ファーストサーバの事故は、システムの構成、運用体制の不備、人的なミスといった複数の要因が重なったことで大きなものとなった。それぞれの要因は軽微なものであったかもしれないが、それがいくつも重なったことは、果たして"不運"で済まして良いことなのだろうか。今後さらに、クラウドというシステムに、事業が大きく依存していくことが確実ななかで、ユーザー企業側はいったい何に気をつけるべきなのか。一方の事業者側および業界側は、どのように信用を担保していくべきなのか。NPO法人情報セキュリティ研究所の上原哲太郎氏

エグゼクティブサマリ 2018年に公表されたウェブサイトからのクレジットカード情報漏えい事件をまとめた。同年6月1日に改正割賦販売法が施行後も継続してカード情報漏えい事件は発生しており、カード情報「非保持」に対応した攻撃が目立つ結果となった。 事件の一覧 下表に、本年（2018年）に公表されたウェブサイトからのクレジットカード情報漏えい事件をまとめました。サイト名、漏洩の期間、漏洩件数（最大）、セキュリティコード漏洩の有無、偽決済画面への誘導があったかを記載しています。 サイト名漏洩期間漏洩件数セキュリティコード偽決済画面誘導 C.O.U.オンラインショップ2017/8/5～2017/9/15335漏洩 パレタス オンラインショップ2017/4/27～2017/7/18821漏洩 健康食品通販サイト （森永乳業株式会社）2015/1/7～2017/10/1629,773 A－Web 倶楽部

2018年10月4日、JPタワー　ホール＆カンファレンスにて開催された「Security Days Fall 2018」において、キヤノンITソリューションズによる講演「サイバー攻撃の最新動向」が行われました。当セッションでは、マルウェアの解析を担うアナリストの池上氏より、解析者の視点からみた最新のサイバー攻撃事例とその対策について語られました。本記事ではその全容をお送りします。 最新のサイバー攻撃手法と、その対策 池上雅人氏：みなさん、おはようございます。本日は、朝早くからお越しいただき、誠にありがとうございます。キヤノンITソリューションズ株式会社の池上と申します。 私は「マルウェアアナリスト」という肩書きのとおり、ふだんはマルウェアの解析を仕事にしています。本日は解析者の視点から最新のサイバー攻撃についてお話ししたいと思います。本セミナーでは非常に多くのテーマを取り扱います。ぜひキー

Facebookのユーザー情報8700万人分が、Facebook社の知らないうちに不正利用されていたいわゆる「Cambridge Analyticaスキャンダル」問題をめぐり、マーク・ザッカーバーグCEOは4月10日と11日、米連邦議会の2つの公聴会で合わせて約10時間にわたって質問攻めにされました。 用意周到で頭脳明晰（めいせき）なザッカーバーグ氏はほとんどほころびを見せなかったので、株価は下がるどころか上昇し、取りあえずは乗り切ったようです。 今後、公的な規制が厳しくなる可能性はありますが、ザッカーバーグ氏ならそれを切り抜けて今のビジネスモデルでやっていけそうです。 このスキャンダルは、約20億人のユーザーが自分のプライバシーについてあらためて考えるきっかけになるかもしれないと思ったのですが、Facebookのグローバルマーケティングソリューション担当副社長、キャロリン・エヴァーソン氏

「分からない」としか言えないリーダーはいらない――「サイバー攻撃対処」における問題の本質 基調講演では、「今まさに、昨日夜から感染を広げている新しいランサムウェアの対策支援を行っている」と述べたPwCサイバーサービスの最高技術顧問、名和利男氏が「サイバー攻撃対処に必要な「（体制ではない）態勢」、及びそれを実現する「能力」獲得について」と題して講演を行い、これからの脅威に備えた対策のポイントを語った。 子どもがコピペでランサムウェアを作って攻撃 名和氏は、「WannaCry」などのランサムウェアの登場によって、「多くの経営者がITシステムのPCと設備機械のPCの違いを意識していないことが明らかになった。ITシステムのPCならば何らかの対策を導入できるが、設備機械のPCは、委託業者が納品物として導入しており、安定稼働を第一としている。そのため多くの場合、適切なタイミングでパッチを適用できないこ

UEHARA, TetsutaroProfessor at Colledge of Information Science and Engineering, Ritsumeikan University

This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.

「日本年金機構の情報漏えい事件から得られる教訓」公開のお知らせ 2015年6月 9日　|　お知らせ 2015年6月1日に日本年金機構が発表した、基礎年金番号を含む個人情報が漏えいした事件に関して、背景や想定される原因を、当社が知り得た範囲で整理し、対処方針など他山の石として学ぶべきことを提言するものです。 日本年金機構は、何らかの目的をもって攻撃を繰り返す犯罪者により、個人情報の窃取という被害を受けました。攻撃は執拗かつ巧妙であると見られ、その手法は標的型サイバー攻撃という、狙いをさだめた攻撃対象に対して特化された電子メールやウイルスを仕込んで行われたものでした。 本来は情報系システムとは切り離された基幹系システムで管理されている個人情報が窃取された原因は、日本年金機構内で行われていた業務手順により、情報系システムに個人情報がコピーされていたためでした。 情報を守るために切り離された２つの

パーソナルデータに関する検討会の下に設置された技術検討ワーキングWG報告書が2103年12月10日に公表された。そこでは一般的な匿名化が不可能であることが示された一方、ケースバイケースな対応は可能と書かれているが、その詳細は書かれていない。ここでは、k-匿名化が有効なのは極めて限定されたケースであることを示す。また、もう一つの重要な要素であるセンシティブ情報が、実は非常に定義しにくいことも示した。最期に、パーソナルデータの利活用にあたってはk-匿名化に頼るより、自己情報コントロール権の実効性のある実装と「同意」を組み合わせるほうが有望ではないかという論点を提示する。