メール送信者認証技術 SPF/Sender ID についてお勉強
お勉強の背景に関しては 「迷惑メール対策 OP25B(Outbound Port25 Blocking)についてお勉強」 に書いたとおりですが、迷惑メール対策としての SPF/Sender ID についてもいろいろ勉強したのでそのまとめです。(DomainKeys については思いのほかエントリが長くなったのでまた別の機会で・・・)まずは参考になったサイトの紹介から。 Sender Policy Framework (SPF) for Authorizing Use of Domains in E-Mail, Version 1 Sender ID: Authenticating E-Mail DNS関連技術の最新動向 - SPF/DomainKeysとは Sendmail 社 - 送信者認証技術の導入におけるレコメンデーション メール送信者認証の仕組みを探る(2/2):スペシャル - ZD
DNS AMP Check
ネームサーバ診断 「DNSの再帰的な問合せを使ったDDoS攻撃」の踏み台になる可能性に関する診断です。 好ましくない設定(キャッシュを応答する)のサーバは毒入れに対しても脆弱となります。 放っておくと、大変なことになりますよ。 あなたのお使いの機器をチェックします。(IPv6未対応 mOm) 調べたいドメインがあればどうぞ (サブドメインも可ですが一部手抜きで診断できないかもしれません)。 その権威サーバが問題のある設定でキャッシュサーバを兼ねているとNGとなります。 ドメイン名 (診断に時間のかかる場合があります) 大量のドメインのチェックを行うとアクセス制限をさせて頂くかもしれません。ご利用は控えめに ;-) Lame Delegation など総合的な診断はDNS健全性チェッカーをどうぞ 参考: DNS の再帰的な問合せを使った DDoS 攻撃に関する注意喚起 DNS の再帰的な問合
古くて新しい、電子メール暗号化対応とその手法 ― @IT
最終回 古くて新しい、電子メール暗号化対応とその手法 藤澤 英治 株式会社CSK Winテクノロジ 2008/2/1 今回は、どのように電子メールの暗号化を行うかについて解説します。また、電子メールに関するトレンドについても触れてみましょう。 電子メールの暗号化方式――手間をかけない方法の模索 情報漏えいというとまず暗号化を思い浮かべる人が多いのではないでしょうか。歴史を見ても、情報を暗号化することの重要性は誰もが認めるところだと思います。 メールの暗号化についてはベンダ各社からさまざまな製品やソリューションが提供されています。その方法例をいくつか紹介していきましょう。 ゲートウェイでの電子メール本体の暗号化 この方式では、いままでエンドユーザー個人が行っていた暗号化・復号の作業をゲートウェイ上で実現します。鍵の管理もサーバ上で一元管理します。PGPやS/MIMEなどがこの方法で先駆けとし
4-2. Perl の危険な関数
Perlには他のプログラムを起動したり,文字列で与えられた式を実行時に解釈実行する機能を持つ関数が用意されている。こうした関数に与える引数は,十分に吟味しないと,悪用されて意図しないコマンドを実行させられる。 Perlには外部プログラムとの連携機能が複数組み込まれている。Perlは連携機能を実現するため内部的にUnixシェルを起動する(注1)。そのため連携機能をユーザ入力データなどの外部から与えられるデータと組み合わせて使用する場合,外部からシェルコマンドを混入され実行されてしまう可能性がある。次の関数はこのような問題につながる注意すべき関数や構文である。 open system, exec, ``(backticks) <>(fileglob),glob C言語などのコンパイル系言語と異なりPerlはスクリプト系言語である。Perlは実行時にプログラムを解釈して実行する。eval
DNS、管理者として見るか? 攻撃者として見るか? ― @IT
今回は、前回取り上げたSendmailに代表されるMTA(メール配送エージェント、メールサーバ)とサーバ内に同居させることの多い、DNSのセキュリティ設定について紹介させていただく。紹介するDNSは最もシェアが高いと思われるBIND(Berkeley Internet Name Domain)である。 DNSのバナー情報はいつ表示されるのか まずは、本連載ではお決まりの(?)バナー情報から紹介しよう。 BINDの場合では、接続が確立したときやコマンドを実行したときにバナーが表示されるのではなく、発行したクエリーの応答の中にBINDのバージョンが表示される。以下は、「dig」コマンドを用いてバージョン取得を行った結果の例である。 【digの実行結果】 ; <<>> DiG 9.2.4 <<>> @xxx.xxx.xxx.xxx version.bind chaos txt ; (1 serv
オレオレ証明書の警告に「セキュリティ上の問題はございません」と解説する銀行が登場 | スラド
フィッシング詐欺が騒がれるようになって久しいですが、11/17の高木浩光@自宅の日記によると、2つの実在する日本の地方銀行が、「アクセス時に表示される警告メッセージについて」という解説を出しているそうです(武蔵野銀行のもの、北越銀行のもの)。解説の内容は、 本サイトにアクセスする際、ブラウザの仕様により次の警告メッセージが表示されますが、セキュリティ上の問題はございませんので、安心して・・・をご利用ください。 というものですが、その警告メッセージというのは、IE7なら「詐欺や・・・情報を盗み取る意図が示唆されている場合があります」というもの。それに対して銀行が次のように解説するという、なんだか凄まじいことになっています。 以下の画面(ページ)が表示されましたら、「このサイトの閲覧を続行する(推奨されません)」を選択(クリック)してください。 IE7.0で本サイトにアクセスされますと、アドレ
ワンクリック詐欺対策の『無視』が通用しない危険な例*ホームページを作る人のネタ帳
ワンクリック請求詐欺。 ワンクリック詐欺とは、基本的にワンクリックで成立するわけではありません。 自ら、相手の業者に対して、自分の情報を伝えなければ、何もおきないと言う情報がもっとも流布しています。 荻上式BLOG - 騙しサイトで表示される「個人情報を取得しました」画像を集めてみた こちらで紹介されているような、様々な方法で、ユーザーが自ら連絡をしてしまい、はめられるというケースが多いのがワンクリック詐欺。 今回は、このワンクリック詐欺の手法のうち、もっともエグイ、ワンクリックウェアについて参考までに書いておきます。追加メッセージ よく文章を見ると、ダウンロードも完全に無視すれば良い、という結論に達する記事であることに今更ながら気がつきました。タイトルが誤解を招く結果になっている事を深くお詫び申し上げます。 ワンクリック詐欺の基礎 先ほど紹介した 騙しサイトで表示される「個人情報を取得し
「リモートアクセス」と「セキュリティ対策」の両立に挑戦した企業たち
セキュリティの観点から、社外から社内ネットワークへのリモートアクセスを禁止する企業が増えている。実際にリモートアクセス環境を構築した企業が試行錯誤の軌跡を語った。 セキュリティ重視か、それとも業務効率の重視か――。 最近、ノート型PCの紛失や不注意などによる情報漏えいを恐れ、社外から社内ネットワークへのリモートアクセスを禁止する企業が増えている。しかし、外出先から必要な情報にアクセスできなくなると、ユーザーの利便性や作業効率の低下を招く。 重要だからアクセス禁止の発想はダメ Interop Tokyo 2007で開催された講演「リモートアクセスへの挑戦:危機対応vs情報管理」の冒頭で、電通国際情報サービスの熊谷誠治氏は、リモートアクセスを禁止するのは「重要書類だから金庫にしまってしまうのと同じ。情報の分類能力が問われる発想」だと一笑に付した。 「例えば大型地震が発生して交通機関が麻痺したと
Webアプリケーションを作る前に知るべき10の脆弱性 ― @IT
Webアプリケーションが攻撃者に付け込まれる脆弱性の多くは、設計者や開発者のレベルで排除することができます。実装に忙しい方も、最近よく狙われる脆弱性のトップ10を知ることで手っ取り早く概要を知り、開発の際にその存在を意識してセキュアなWebアプリケーションにしていただければ幸いです。 Webの世界を脅かす脆弱性を順位付け OWASP(Open Web Application Security Project)は、主にWebアプリケーションのセキュリティ向上を目的としたコミュニティで、そこでの調査や開発の成果物を誰でも利用できるように公開しています。 その中の「OWASP Top Ten Project」というプロジェクトでは、年に1回Webアプリケーションの脆弱性トップ10を掲載しています。2004年版は日本語を含む各国語版が提供されていますが、2007年版は現在のところ英語版のみが提供さ
隠されていたSQLインジェクション ― @IT
星野君は赤坂さんと一緒にお客さんのWebアプリケーションの検査をすることになった。辛うじて「不必要情報」の脆弱性を見つけたものの、赤坂さんは不満げだ。 「だって、これ、ほかにもっと危険な脆弱性あるよ……」。 赤坂さん 「ってことで、今回は50点ってとこかな」 星野君 「うわっ。厳しいですね……。一応脆弱性は見つけたんだからもう少し……」 赤坂さん 「え。だって、これ、ほかにもっと危険な脆弱性あるよ」 星野君 「(ほかにも脆弱性あるっていってもなぁ……)」 赤坂さんに「ほかにもっと危険な脆弱性あるよ」と指摘されたにもかかわらず、星野君にはサッパリ見当が付かなかった。不必要情報(Unnecessary Information)の脆弱性に気付くまでの作業で、一通り思い付くことはやりつくしていた。 そうこうしているうちに時間は過ぎ、結局ほかの脆弱性を見つけられないまま、お客さんと約束した時間になっ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
総務省|掲載期間終了につき転送します。
<<< JPCERT/CC Alert 2007-06-14 >>> ID やパスワードを聞き出そうとする電話に関する注意喚起