今、お問い合わせフォーム(メールフォーム)が危ない! 不正アクセスの増加と対処方法 | さくらのナレッジ
メールフォームへの不正アクセスが急激に増えてきています この半年~1年の間に、メールフォームを悪用した迷惑メール送信の被害が相次いでいます。これはどのような事かというと、まずメールフォームには、記入した内容を記入者にメールで自動返信する機能が備わっていることが多いです。このとき、メールフォームのメールアドレス欄には記入者自身のアドレスを入力するのが正しい操作ですが、悪意のある第三者がこれを利用し、メールアドレス欄に他人のアドレスを入力して迷惑メールを送信するという攻撃手法です。(参考記事: サイトの「問い合わせフォーム」を悪用する攻撃に警戒を) 少なければ一日に5~10件、多いケースでは一日に数千件の迷惑メールが送信される事がありますが、このような問題が起こると他人に迷惑がかかるだけではなく、サーバが持つIPアドレスの評価が下がったりブラックリストに登録されたりしてしまいます。IPアドレス
大塚商会は4月19日、メール誤送信により顧客2687人分の個人情報が漏えいしたと発表した。顧客の個人名が含まれるファイルを、社外の特定の1人に送信したという。 個人情報漏えいが発生したのは同社社員が2月14日に送信したメールで、当該社員の事後確認により2月19日に誤送信が判明した。業務上必要なファイルをメールで送信する際に、手入力した宛先のメールアドレスに誤りがあった。 ファイルに含まれていた個人情報は顧客2687人の氏名(住所、電話番号、メールアドレス、取引内容の記載はなし)。4月19日時点で送信先からの返信はなく、削除確認は取れていない。 同社は漏えいの原因について、社員がファイルに個人情報を記載したシートが含まれていると気付かなかったこと、メールアドレスの誤入力、そして送信前に宛先の確認を怠ったことだと説明。再発防止に努めるとしている。 なお、当該顧客に対してはメールおよび郵送にて個
Sendgrid Event Webhook + Lambda + RDS Proxy + RDSでバウンスメール撲滅&メール開封率計測をする - ユアマイスター株式会社エンジニアブログ
どうも。ユアマイスター星(@inase17000)です。 このブログもしばらくイベントやニュースの告知だけになってしまっていました。。。 今回は久しぶりの技術記事。先日から利用をしているSendgridとAWSの機能紹介と、恥ずかしながらハマったところをシェアします。 それでは行ってみましょう! 前提条件 ユアマイスターではシステムからメールを送信するときに、Sendgridというメール配信サービスを利用しています。 ユーザがご自身でフォームに入力したメールアドレスに対して、メールを送信するのですが、どうしても誤字脱字の記入ミスや、他のいろいろな理由により、メールが届かないことがあります。 その結果、ユーザへの連絡に気づいてもらえなかったり、システムのフローにおいて支障をきたすことになるので、定期的にお問い合わせの発生やトラブルの原因となるリスクを孕んでいました。 システムからSendgr
月間数百万通のメール送信サービスをIPウォームアップしつつ切り替えたら到達率が向上した話 - commmune Engineer Blog
はじめに こんにちは。コミューンでスクラムマスターをしているまつむらと申します。 今回はコミューンで私が取り組んだ技術課題のなかから「メール送信システムのリプレース」について記載させていただこうと思います。 はじめに 背景 IPウォームアップとは? 移行計画のための準備 メールの開封率 ドメイン乖離度合 メール送信数 実装 要件 ソースコード データベース 工夫ポイント その1: データ全件取得 その2: 乱数生成器を外部から注入 その3: キャッシュ有効期限のコントロール 結果 やらかし まとめ 背景 コミューンは、BtoBおよびBtoC向けにコミュニティを作成できるプロダクト「commmune」を提供しています。 commmune ではメール送信のために SendGrid という SaaS を利用しているのですが、 2022年5月頃、事情により SendGrid のアカウントを変更する
米Google(グーグル)が2024年2月以降、迷惑メール(なりすましメール)対策を大幅に強化した「メール送信者のガイドライン(Email sender guidelines)」を適用すると発表し、メールに携わるIT業界関係者に衝撃が走った。 メールの送信者がこのガイドラインの要件を満たしていない場合、世界最大規模のメールサービス「Gmail」にメールを送れなくなる恐れがあるためだ。具体的には送信したメールが拒否されたり、受信者の迷惑メールフォルダーに配信されたりする可能性がある。 メール配信事業者や企業のメールサーバー管理者などは、2024年2月の適用開始までに対策を施す必要がある。なお通信事業者やISP(インターネットサービス事業者)のほとんどは対応済みなので、それらが割り当てたメールアドレスのユーザーは影響を受けない。 1日5000通以上の送信者は特に注意 同社が2023年10月3日
不正メール80万件送信か 4県システムに不正アクセス 2022年03月20日21時02分 秋田県庁舎=2020年8月20日 秋田県は20日、運営するメールシステムに不正アクセスがあり、秋田市を装った不正メールが約42万件、外部に送信されたと発表した。委託業者の設定ミスが原因という。 最恐ウイルス「エモテット」猛威◆再燃の裏側とロシアの影 県によると、青森、福島、新潟各県でも同様の手口で計約38万件の不正送信が確認された。東北6県と新潟県は来年度に向け、同一のクラウドサービスを導入する準備をしていた。 不正送信があったのは18日午後5~7時ごろ。秋田県によると、委託先のSBテクノロジー(東京)によるメールシステムの移行作業中、アクセス制御設定に不備があり、外部から侵入可能になっていた。19日未明に対策を施し、現時点で情報漏えいや被害の報告はない。 送信元アドレスには、秋田市や青森県八戸市、福
こんにちは、セキュリティエンジニアの岩田です。今回はSmartHRで先月から導入したメールセキュリティ機能のBIMI(Brand Indicators for Message Identification)についてご紹介します。 BIMIとは? BIMIは、送信者ドメイン認証の仕組みであるDMARC(Domain-based Message Authentication, Reporting, and Conformance)により認証されたメールに対して送信元企業のロゴを表示することで、なりすましではない正規のメールであることを視覚的に判別できるようにするための仕組みです。 DMARCでは、SPF(Sender Policy Framework) または DKIM(DomainKeys Identified Mail) で認証されたメールの送信元ドメインと、メールヘッダの差出人(From
さくらのレンタルサーバ ライト スタンダード プレミアム ビジネス ビジネスプロ マネージド メールボックス このマニュアルでは、DKIM署名およびDMARCの設定についてご案内しています。 ※「さくらのマネージドサーバ」のOSがFreeBSD9.1のサーバーは、OSの仕様により対象外となります。対象外のサーバーは、リプレースによるOSアップデート後に対応いたします。
GitHub - rung/messaging-security-2020: The State of Messaging Security 2020: メールおよびメッセージングアプリのセキュリティプロトコルの現在
2013年のスノーデン事件以降、PrivacyおよびSecurityは、インターネットの基盤として最重要視されるようになった。無償でTLS証明書を発行するLet's Encryptが設立され、Mozilla、Googleなどのブラウザベンダ、各大手CDNがスポンサーとなった。そういった活動などにより、日本を含む世界で、Webにおいては暗号化(HTTPS)の普及が一気に進んだ。 しかしながら、メールに関連する暗号化やセキュリティについては、特に日本において、エンドユーザ目線からの議論が十分に行われているとは言い難い。 Googleの公開する透明性レポートにおいて、メールにおけるTLS暗号化の普及率が、世界的には2014年の約30%から2020年には約90%に増加した。しかし、2020年10月時点でGmailなどから外部に送信されたメールドメインのうち、暗号化されず平文で送信されたメールのTo
2022年8月25日に、DuckDuckGoが開発している広告トラッカーを削除するメール保護機能「DuckDuckGoメールプロテクション(DuckDuckGo Email Protection)」のベータ版が、スマートフォンアプリやブラウザの拡張機能で利用可能になりました。 DuckDuckGo Email | Email Protection Requires DuckDuckGo https://duckduckgo.com/email/ Protect Your Inbox: DuckDuckGo Email Protection Beta Now Open to All! https://spreadprivacy.com/protect-your-inbox-with-duckduckgo-email-protection/ DuckDuckGoは2021年に、メールサービスを
橋下徹元大阪市長と職員との個人間メールについて、不存在を理由に再び非公開にすることを伝える市の通知書(2018年12月25日付)のコピー=大阪市内で2022年1月13日午後6時1分、芝村侑美撮影 橋下徹元大阪市長が在職中に市職員と個別に交わした庁内メールを非公開とした市の決定を巡り、民事裁判で市側の敗訴が確定したにもかかわらず公開しないのは不当だとして、大阪弁護士会所属の服部崇博弁護士が市に200万円の賠償を求める訴訟を大阪地裁に起こした。原告側は「故意または過失により、存在したはずのメールが廃棄された」と主張。14日に第1回口頭弁論が開かれ、市側は争う姿勢を示した。 訴状によると、服部弁護士は2013年4月、12年11月から1カ月分のメール開示を市に請求した。衆院選(12年12月)の期間中に政党幹部として全国遊説を繰り返していた橋下氏の市長業務を調べる一環だったが、市は「組織で共用した実
アマゾンのCEOジェフ・ベゾス氏が人種差別的なEメールを送ってきた顧客の男性を公の場で叱ったことで、アマゾンでもっと買い物をすると誓う人々が続出している。 ベゾス氏は自身のインスタグラムのアカウントにこのメールのスクリーンショットを投稿した。投稿には何千というコメントが集まり、その多くはベゾス氏の姿勢を称賛している。 「いいね、ジェフ! アマゾンへの注文を2倍に増やすよ」とあるユーザーは書いている。 人種差別的なメッセージを送ってきた客を公の場で叱ったアマゾンのCEOジェフ・ベゾス氏を顧客は称賛している。 ベゾス氏はアマゾンの顧客2人からここ数日以内に送られてきたEメールのスクリーンショットを投稿した。メールは同社が"Black Lives Matter(黒人の命は大切だ)運動"を支持していることを批判するものだった。このうちデイブ(Dave)と名乗る男性が送ってきたメッセージには、下品な
Windows10の無償デスクトップ自動化ツール「Power Automate Desktop」でデータベースの操作を自動化する
[注意] 本稿ではデータを管理するRDBMS(リレーショナルデータベース管理システム)製品として、単一のPCのユーザーのデスクトップ環境で使用できる(煩雑なサーバー構成を必要としない)Microsoft SQL Server Express LocalDBを使用します。 また、今回のサンプルフローで使用するデータベースは、第9回で作成したMAILDBです。抽出対象にマッチするデータがない場合には、以前の記事のサンプルフローを実行するなどして、適宜データベースにデータを追加してください。 対象読者 Excel/PowerPointなど、一般的なツールの操作を理解している人 RPAツールを用いて業務を自動化したい人 データベースアクション(データ参照) 今回は、MAIL_TABLEから、条件を満たすデータを抽出し、ファイルに保存するまでをフロー化します。フロー作成に先立って、あらかじめ条件にマ
Orion Takemura/プロジェクトマネージャー @orisonmedia2 ほんとそう。インラインが失礼だって、誰が言い始めたんだろう🤔 分かりやすいからめっちゃ使っちゃいますけど😅 twitter.com/makosaito214/s… 2021-09-12 00:32:09
はじめに こんにちは、MA部の松岡(@pine0619)です。MA部ではマーケティングオートメーションシステムの開発・運用に従事しています。 ZOZOTOWNでは、マーケティングオートメーションシステム(以下、MAシステム)を使い、メールやLINE、アプリプッシュ通知といったチャネルへのキャンペーンを配信しています。 MA部では、複数のMAシステムが存在しており、MAシステムそれぞれに各チャネルへの配信ロジックが記述されていました。これにより、現状の運用保守ならびに今後の改修コストが高いかつ、使用している外部サービスのレートリミットの一元管理が出来ていないなどの問題を抱えていました。そのため、外部サービスへのリクエスト部分をチャネルごとにモジュールとして切り出し、複数のMAシステムから共通で使える配信基盤を作成しました。 また、社内の他チームの持つシステムからのキャンペーン配信の要望があっ
コマンドラインでメールの内容に基づいた処理をするツールを書いた: letterknife - 詩と創作・思索のひろば
メールに対する jq みたいなやつ……というと強力すぎるけど、そういう感じにメールを入力に受け取って何かしらの処理をした上で出力してくれるツールです。ここでいうメールとは MIME 形式のメール全体。Gmail なら "Show original" で見られるようなもの。 結局ターミナルでメールを読むことにした に書いたとおり最近はターミナルでメールを読むようになりそこそこ快適なんだけど、メールとの接し方がプログラマブルになったからには楽をしたい。だいたい通知のメールのこの部分をクリックするだけ(そして承認したりコメントしたりする)、みたいなパターンが決まってるものには DWIM(do what I mean)的にキー入力一発で対応したいわけです。それをやるためのツールとして書いた。珍しく名前を気に入ってる。 GitHub - motemen/letterknife 使い方 $ cat <
厚生労働省の職員が、省内のメーリングリストに誤ったアドレスを登録し、去年9月以降、岸田総理大臣の国会答弁案や、民間と行政の職員675人分の個人情報などが誤送信されていたことがわかりました。 今のところ情報が悪用されるなどの被害は確認されていないということですが厚生労働省は、再発防止に努めるとしています。 関係者によりますと、去年、厚生労働省老健局の職員が、休日の緊急連絡先として、私用のアドレスを省内のメーリングリストに追加した際、誤ったアドレスを登録したということです。 その後、誤りに気づかないまま、去年9月から1月下旬までのおよそ4か月間にわたってメーリングリストの運用が続けられた結果、岸田総理大臣の国会答弁案や公表前の内部資料に加え、民間や行政機関の職員の氏名や携帯番号、メールアドレスなど、あわせて675人分の個人情報が誤送信されたメールによって流出したということです。 今のところ情報
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
大塚商会、メール誤送信で顧客2687人分の個人情報が漏えい
「Gmail」にメールを送れなくなる恐れ、グーグルによる迷惑メール対策強化の衝撃
不正メール80万件送信か 4県システムに不正アクセス:時事ドットコム
SmartHR、BIMIはじめました - SmartHR Tech Blog
DKIM署名、DMARCを設定したい | さくらのサポート情報
無料の「DuckDuckGoメールプロテクション」が誰でも利用可能に
橋下元大阪市長と職員のメール 「敗訴後の非公開不当」弁護士が提訴 | 毎日新聞
「君のような顧客をぼくは喜んで失う」アマゾンCEO、人種差別的な顧客への対応が称賛される
メールの謎マナー『インラインで失礼します』は未だに何が失礼なのかよくわからない「インラインの方がありがたい」
ZOZOTOWNにおけるマーケティングメール配信基盤の構築 - ZOZO TECH BLOG
ドコモとソフトバンク、迷惑SMSを自動拒否する機能を提供へ
厚労省のMLに誤アドレス登録しメール誤送信 首相答弁案も流出 | NHK