security-literacy

[追記 2008-11-03] Google AppsのメールサービスをPostiniによる Google Message Security & Discovery サービスで運用する場合（Google Apps Premier Edition 推奨）、MXレコードおよびSPFレコードは異なります。
エントリー「Google Apps Premier Edition - Postini - DNS (MX SPF)」
　http://www.osbsd.net/2008/11/google-apps-pre.html

【Postiniを利用しない場合】
IPアドレスベースの送信ドメイン認証の１つ
　SPF（Sender Policy Frameworks）
は、DNSのTXTレコードにSPF情報(レコード)を記述するだけでよい。

悪意がなくても、独自ドメインのメールアカウントのメールを IPアドレスの異なるメールサーバ(smtpサーバ)やセカンダリメールサーバから送信すると、送信先のサーバ側で「なりすましメール」と判断しメール受信を拒否する（エラーを返さない）ことがあるので、SPFレコードの設定を強く推奨します。

MXレコードでセカンダリメールサーバも指定しているとき
DNS
　　　txt @ v=spf1 mx ~all
とすると、プライマリメールサーバと異なるIPアドレスのsmtpサーバであっても pass します。
特に、Xrea.com、CORESERVER.JPでは、複数のMXレコードを作成すると、Gmail とのメール送受信に失敗（送信先がGmailサーバのとき、エラーメールを返さない）することがあり、下記のwebos-goodies.jp さんのブログを参照し、

　txt @ v=spf1 ip4:*.*.*.* ip4:*.*.*.* include:_spf.google.com ~all

で運用しています（Google Apps使用時、include:aspmx.googlemail.com ~all 推奨）。
ip4: に続いて、[プライマリメールサーバのIPアドレス]、 [セカンダリメールサーバのIPアドレス]・・・と必要なIPアドレスを入力。
「SenderID/SPF/DomainKeys Test Server 結果」
SPF-Record-PRA Scope: v=spf1 mx ~all

SPF-Method Result: pass(example.com: domain of
    example.com designates IP4[セカンダリメールサーバ] as permitted sender)

SenderID-MFROM-Method Result: pass(example.com: domain of
    example.com designates IP4アドレス[セカンダリメールサーバ] as permitted sender)

SenderID-PRA-Method Result: pass(example.com: domain of
    example.com designates IP4アドレス[セカンダリメールサーバ] as permitted sender)

[参照ページ]
ITmedia エンタープライズ：送信ドメイン認証の基礎知識
　http://www.itmedia.co.jp/enterprise/articles/0603/24/news006.html

SPF設定後の検証サイト（例)
　SPF: Project Overview
　http://www.openspf.org/

　SenderID/SPF/DomainKeys Test Server
　http://senderid.espcoalition.org/
　senderid.espcoalition.org の利用法は
　WebOS Goodies
　http://webos-goodies.jp/archives/51103006.html
などを参照して下さい。

[追記 2008-11-02]
Google Apps 管理者用 ヘルプ
　　SPF レコードを設定する
　　MX レコード: Domain Direct

上略
ドメインの SPF レコードを設定するには、DNS リソースで次の TXT レコードを発行します。
　v=spf1 include:aspmx.googlemail.com ~all

include:aspmx.googlemail.com の部分がない SPF レコードや、~all ではなく -all を指定した SPF レコードを発行すると、配信に問題が発生する可能性があります。

電子情報の科学捜査 - デジタル・フォレンジック、 コンピュータ・フォレンジックについて

（個人情報漏洩事例）
社員数    6,500人(平成19年3月31日現在)
　http://www.ntt-east.co.jp/aboutus/profile/profile.html
の国内最大手「電気通信事業者」で、ファイル交換ソフトウェアWinny、Share［シェア］による個人情報漏洩事件が相次いで発生した。

顧客情報など
　http://www.ntt-east.co.jp/release/0709/070920a.html
済生会横浜市東部病院患者データなど
　http://www.ntt-east.co.jp/release/0709/070925a.html

Share (ソフトウェア)　出典: フリー百科事典『ウィキペディア（Wikipedia）』
引 用「大容量のファイルの扱い・新しいファイルの素早い配布が得意なShareと、長期間の安定した配布が得意なWinnyの住み分けが行われている。」

元社員、現職員が顧客等の個人情報を事業場以外に持ち出し保管している実態が明らかになった。

権限の"漏洩" (会社内規に従わない、内部不正）による情報漏えいに対して、

参照ページ：
コンピュータフォレンジック［前・後編］
守本正宏　株式会社UBIC　代表取締役
　http://www.atmarkit.co.jp/fsecurity/special/64forensic/forensic01.html
　http://www.atmarkit.co.jp/fsecurity/special/67forensic/forensic01.html
引　用「・・上略・・・コンピュータフォレンジックによりPCを監査することは、社員が使用しているPCのハードディスクのデータを証拠化し、法的措置が取れる体制が企業側にあるということを社員に示すことだ。なおかつ、ハードディスクの中のデータも企業の財産であるという認識を高められる。それが抑止力へとつながっていく。・・・下略・・・」

社員PC管理などを徹底してほしい。

ファイル交換ソフト「ウィニー Winny」で拡散する悪性コード (アンチニー Antinny, 暴露ウイルス)検出駆除 (フリー)ツール
(1) AhnLab, Inc. (アンラボ社) の専用ワクチン・ダウンロードサイト
   » http://www.ahnlab.co.jp/download/vdn_view.asp?num=29&pagecnt=1
(2) Microsoft.com/japan 悪意のあるソフトウェアの削除ツール
   » http://www.microsoft.com/japan/security/malwareremove/families.mspx
(3) ネットエージェント株式会社　簡易調査ソフト「Antinny発覚」無償提供中 (2006/3/11)
  » http://www.onepointwall.jp/winny/antinny-search.html
プレスリリース:  http://www.onepointwall.jp/press/20060315.txt

ファイル交換ソフト Winny 起動阻止ツール
(1) アップデートテクノロジー株式会社 「ウィニーストッパー Ver.1」
2006年3月23日、公開されます。
  » http://www.updatecorp.jp/dd.aspx?menuid=1144
限定評価版 (30日間使用可能)のダウンロードも可能になるとのことです。

[追記 2006/3/29] やはり起こってしまいました。
ウィニー介し住基ネット関連情報流出…北海道斜里町
Yahoo! Japanサイトのみお知らせいたします。
  » http://headlines.yahoo.co.jp/hl?a=20060329-00000405-yom-soci
  » http://headlines.yahoo.co.jp/hl?a=20060329-00000009-mai-soci

ウイルスメールや迷惑 (spam)メールとしてフィルター設定できないものがあります。
   » Return-Path: <hpc@proc01.hi-ho.ne.jp>
たとえば、ウイルスメール着信拒否条件「Return-Pathに"hpc"を含む」メールとすると、パナソニックのプロバイダー hi-ho からの転送メールはすべて着信しないことになります。この条件下の着信拒否はできないため、もし、パナソニックのプロバイダーで「メールウイルスチェック」のオプション設定がなく転送先のプロバイダーも同様 (メール受信時にウイルスチェック・サービスを有するサーバを全く経由しない) であれば、メールアドレス「hpc@proc01.hi-ho.ne.jp」を詐称したウイルスメールはパソコンに着信することになります。 Panasonic Network Services Inc.提供のメール転送サービス「そのままメール転送」 「選んでメール転送」を使用中のクライアントはご注意下さい。因みに、
   » http://home.hi-ho.ne.jp/support/faq/option/vcheck/001024.html

Q： メールを自動転送していますが、「メールウイルスチェック」を利用できますか？
A： はい、ご利用いただけます。
受信時に、hi-hoのメールサーバでウイルスを検出・駆除したあとメールを転送しますので、転送先で安心してご利用いただけます。

[追記 2006/1/26]
たとえば、下記のようなウイルスチェックサービス結果がメール着信したとき、hpc @proc01.hi-ho.ne.jp は、ウイルスやワームによって偽装されたメールアカウントではなく、メール転送時に hi-ho.ne.jp さんのサーバが使用するアカウントです。

--ウイルスの検出情報と感染ファイルの処理結果--
【ウイルス検出情報】
ウイルス検出日時　　　　　　　:2006/**/** 20:12:53
感染していたファイルの名前　　:****
検出されたウイルスの名前　　　:W32.Netsky.P@mm!enc
ウイルス送信元メールアドレス　:hpc @proc01.hi-ho.ne.jp
ウイルス感染ファイルの処理結果:ウイルスを駆除しました

個人ユーザ向けのアンチスパイウェア製品「X-Cleaner デラックス版」
   » http://www.shareedge.com/spywareguide/index.php
は、とても優れた商品です。しかし、その機能の１つである「オンスクリーン キーボード」は、OS マイクロソフト社 Windows Me上では、デフォルトで下記のファイルがない（または、インストールされない）ために、起動・実行できません (他アプリケーションプログラムなどがインストールされたクライアントＰＣでは、これらファイルが存在し起動することがあります)。
2006/1/16 現在、本製品「X-Cleaner Deluxe」の利用可能なＯＳは   Windows/2003/XP/2000/NT/Me/98/95
   » http://www.shareedge.com/modules/shareware/view_shareware.php?lid=20040914-001
と表示されていますが、「オンスクリーン キーボード」については、今後 (Windows 98, ME など16ビット環境のOSに関して) メーカーサポート対象外となる可能性があります。
しかし、実際には、 C:\WINDOWS\SYSTEM 内に３つのファイルをコピーすると、ほぼ正常に作動するようです(個人的には検証済み)。

MSSWCHX.EXE 16KB
MSSWCH.DLL 32KB
OSK.EXE 269KB

スパイウェア spyware と ウェブ偽装詐欺「フィッシング phishing」の一部に対して、Microsoft社ブウウザ インターネット エクスプローラ (Internet Explorer IE) 6.0 SP2 以前のバージョンは、セキュリティ上の修正が行われていません。
Internet Explorer 6.0 SP2 のバージョン情報: Ver. 6.0.2900.****
以前のバージョンの表示例: IE 6.0 SP1 » Ver. 6.0.2800.****
参照ページ:
  » http://azby.fmworld.net/usage/vfami2/034/1_2/index2.html
  » http://www.atmarkit.co.jp/fsecurity/rensai/clientsec03/clientsec01.html

(1) ActiveX コントロール型スパイウェアに対して:
IE SP2では、「ActiveXコントロールとプラグインの実行」に際して、「ActiveXコントロールに対して自動的にダイアログを表示」が有効(デフォルト)となっています。IE 6.0 SP2以前では、有効時のダイアログ表示機能がないため、
"Kill Bit" 設定が簡単にできる「スパイウェア ブロック リスト ファイル」
  スパイウェアガイド::ブロックリスト
  » http://www.shareedge.com/spywareguide/blockfile.php
により、悪質なスパイウェアのインストールと実行をブロックする方法があります。但し、ブロックリストファイルは定期的にアップデートすることが重要です。

(2) アドレスバー偽造型フィッシング詐欺に対して:
IE 6.0 SP2以前では、JavaScriptによりブラウザの画面外まで描画できるので、
  ITmedia エンタープライズ: 目で見る「アドレスバー偽造型」フィッシング詐欺の手法 (2/2)
  » http://www.itmedia.co.jp/enterprise/articles/0411/11/news005_2.html
「Googleツールバー」などをインストールし「偽装アドレスバー」の位置がずれるようにするアイデアもあります。なお、Googleツールバーの「ポップアップ ブロッカー」は、ブラウザクラッシャー (ブラクラ)に対する防御機能「ポップアップ ブロック」のことで、IE 6.0 SP2では標準実装されています。

メールヘッダ「Subject:」題名、件名を 文字コード "JIS" で書きメール送信すると、大手ISP Plala さんなどのメールリジェクト・サービスの Subject設定をすり抜ける (無効化)。spam メールにとって、メールヘッダーの From: Return-Path: 詐称は当たり前であるが subject: のフィルタリングもこのような方法などで実際に簡単にすり抜けている。

ただし、spam メールの中で (スパムとしては、最近少なくなったが)、
「Subject: =?iso-2022-jp?B?bnGyRCJEskRCCYkNCQ2GyhC?=」
のように表示される Base64 エンコード (同じ、JIS 7ビットコード ISO-2022-JP ではあるが)されたものは、メールリジェクト・サービスでフィルタリングやブロックできる。
[追記 2005/8/13] ISP ぷららさんの回答の一部を転載しました。

Subject: ぷららサポートセンター
Date: **, ** Aug 2005 13:54:40 +0900
**ブログ主催者名**様の検証結果の通り、「メールリジェクト」はMIME64エンコードされていないメールは拒否されずに受信されてしまいます。これはシステム上、MIME64エンコードされていない文字列を認知しない機能となっているため、防ぎようがない状況でございます。**様にはご不便をお掛けすることとなりますが、拒否されず受信されてしまったメールは削除して頂けましたら幸いでございます。

Base64エンコードは MIMEエンコードとも言われますが、Quoted-printableもMIMEエンコードなので、下記参照ページの１つには、MIME(Base64) と書かれています。

Base64 エンコードの参照ページ:
  http://info-club.net/Usagi/memomemo/base64.html
  http://homepage1.nifty.com/glass/tom_neko/web/web_03.html#header
  http://www.kipwmi.com/fm/tips/base64.htm

今日も、自動送信の報告メール数通が着信し、多いときは一日あたり数十通のことがあります。ウイルスチェック結果報告メールの趣旨は理解できますが、大手ISP So-net さんに限らず、今日では、ネットワークの過大負荷となる「スパムメール」 「ジャンク・メール」の一種ではないかと思います。

ブログ主催者の質問メール:
Date: Thu, 28 Jul 2005 14:06:18 +0900

以前から、貴社のウイルスチェックサービスが作動すると、ウイルス駆除とともに結果報告メールが着信します。利用者にとって、とてもありがたいことですが、送信元アドレスは詐称されたものでしょうし、当方としては事実を確認するだけのメールです。しかも、貴社サーバにとって、この通知メールを送信すること自体が負荷でしょうし、トータルすると、ネットワーク全体に負荷をかけています。端的に言いますと、このような単なる報告メールは「不要なメール」ではないかと思います。送信元アドレスに意味のある時代ではありませんので、貴社ホームページで「サーバでウイルスを削除します」のご案内だけでよろしいのではないでしょうか。

サーポートセンター様の回答
Date: Fri, 29 Jul 2005 13:10:01 +0900

ウィルスチェック結果の報告にて、送信元のメールアドレスをお知らせさせていただいておりますのは、ウィルスに感染してしまったメールがお客様のお知り合いの方からのメール等、必要なメールである可能性もあるため、確認できるよう通知させていただいておりますのでご了承いただければ幸いと存じます・・略・・

dk-milter : オープンソース DomainKeys フィルタリング・ソフトウェア(Sendmail 社）で、Yahoo!, Inc.によって提唱された「DomainKeys 送信元認証システム」のためのSendmail MTA用 plug-in です。
  http://sourceforge.net/projects/dk-milter/
最新バージョン 0.3.0 April 28, 2005 (2005/7/20 現在)
バイナリー: dk-milter-0.3.0.tar.gz 304KB程度
インストール要件:
* OpenSSL
* MTA sendmail v8.13.0.Beta3 (or later), および libmilter
  [Performance]
    http://sendmail.net/dk-milter/

The results are very favorable, showing less than a 10% overhead on outbound mail and less than 15% overhead on inbound mail (due to the additional DNS request overhead).

フリーメールを利用した spam 行為に対しては、サービス提供側自らが厳しく対応してほしい。企業、銀行などのメールサーバへの普及を期待したい。詳しい解説ページ:
  DomainKeys: Proving and Protecting Email Sender Identity
    http://antispam.yahoo.com/domainkeys

インストール後のテスト送信が不成功となった場合、その原因として、サーバ上で他のフィルターが起動し、メール・ヘッダーに付加、変更が加わってしまうことが考えられるそうである。他社のSPAM フイルターと併用できるのであろうか。

[追記 2006/2/4]
CoolWebSearch専用の検出・駆除ソフト「CWShredder」は、
CWShredderの使い方:
   » http://enchanting.cside.com/security/cwshredder.html
ダウンロード先:
   » http://www.intermute.com/spysubtract/cwshredder_download.html
です。
[追記 2006/1/2 …]
フリーウェアのご利用、有償版ダウンロードに際して、ソフトウェアの信頼性を事前によくご確認下さい。
  スパイウェアガイド::スパイウェア ノート「２重スパイ - アンチスパイウェア型スパイウェアの被害」
  » http://www.shareedge.com/spywareguide/txt_articles.php?article=txt_20050318A.php
[…ここまで追記]

TopTenREVIEWS™ 社ホームページでは、いろいろなベスト10 商品をレビュー紹介していますが、
  「Anti-Spyware Software」
    http://anti-spyware-review.toptenreviews.com/

についても、各機能が詳しく比較・評価されているようです。ただし、対応 OS (Supported Configurations) は、Windows に限られています (XP, 2000, ME, 98 については、10商品が対応しています)。
私は、１年前から「SpyBot」 「Ad-aware」(個人使用時、どちらも無料。各社ホームページなどは本エントリー下段を参照して下さい）を利用していますが、今回、ランキング 1位の「Spyware Eliminator」を試してみました。

  「Aluria Spyware Eliminator 4.0」
    http://www.safestware.com/spyware-eliminator.htm

Evaluation Mode 評価版: 15日間のみ
Scan Engine:v1.02.18
Definition Version:06-06-2005

使用目的:  「SpyBot」 「Ad-aware」でPC内ハードディスクのスパイウエアを検索・駆除した直後に、「Spyware Eliminator」を実行すると、未検出のものが発見できるか? 調査してみました。
結果:  新たなスパイウエアは検出されませんでしたが、不要な cookie 2個が同時に検出されたため、隔離後削除しました。"親切な" 有償ソフトウェアでした。ただし、updateファイルのダウンロード中などにプログラム動作が不安定になりましたので、ランキング1位であっても現時点では推奨できません。

関連エントリー等:
  エントリー「スパイウェア駆除ソフト」
    http://www.osbsd.net/archives/000015.php
  個人ホームページのセキュリティポリシーに「スパイウェア」を記述しました
    http://www1.neweb.ne.jp/wb/infohitomi/securitypolicy.html

参照ウエブサイト:
  「Ad-Aware SE Personal Edition」
    http://www.lavasoft.de/

Current Build:
Ad-Aware SE Build 1.06 
Current Definition File:
SE1R53 07.07.2005

  「Spybot - Search & Destroy」
    http://www.spybot.info/en/index.html
公式日本語サイトはありませんが、言語「日本語」を選択できます。とても使いやすいフリーソフトです(domation)。

[追加 2005/7/13]
スパイウェアによる被害: 「ジャパンネット銀行」のケース
  http://www.japannetbank.co.jp/security_new.html
判明した【犯行手口】を引用します。

  ・何者かが､スパイウェアが仕組まれたEメールを被害者に送信。
  ・そのスパイウェアによりパソコン内のパスワード、暗証番号などを不正入手。
  ・その後ログインして被害者になりすまし、不正な振り込みを実行。