makoto_fujimotoのblog

株式会社進角
代表 藤本信のブログです
どうぞよろしくお願いします

2015年5月、日本年金機構が標的型メール攻撃を受け、職員のPCが不正操作されてファイルサーバーに保管していた約125万件の年金情報が漏洩したとのことです。捜査が進むにつれ攻撃者のアドレスがフリーメールだったとか、添付書類の拡張子が"exe"なのにうかつに開いてしまったというお粗末な運用実態も次々に明るみになっています。

年金機構は当然セキュリティ対策としてウィルスチェックソフトを運用していたと思われますが、標的型メールは独自にカスタマイズされていることが多いのでウィルスパターンをすり抜けて検知されないことがあるようです。

今回のようにウィルスチェックを通過してしまう可能性のある標的型メールを水際で防ぐために、Postfixメールサーバーの設定だけで比較的簡単にできる対策を4つまとめました。
(1) 送・受信容量制限を行う
(2) 偽証の元になる差出人名をフィルタして元のメアドのみ表示させる
(3) 本文内のURLをフィルタリングして非リンク化
(4) 添付ファイルの送・受信を禁止する

具体的な設定方法はこちらになりますが、実用レベルでは未検証ですので各自の責任においてお試しください。

(1) 送・受信容量制限を行う

ウィルスソフトを送りつけられるリスクを軽減するために必要最小限の容量に制限します。また盗まれた情報を外部に大量送信することを防ぐ効果もあります。

a. /etc/postfix/main.cfを編集
以下の設定を追加
------------------------------------------
message_size_limit = 102400
------------------------------------------
※単位はバイト数になりますが、通常のテキストメールのやり取りであれば100k程度で済むのでは?デフォルトでは10MByteに設定されています。

b. サービスの再起動
# service postfix reload

(2) 成りすました差出人名をフィルタして元のメアドのみ表示させる

差出人名は容易に成りすましが可能で気が付きにくいので、メールソフトがメールアドレスを直接表示するようにフィルタリング処理を行います。
From: 藤本 信 <jt85do34903h7@yahoo.com>

From: jt85do34903h7@yahoo.com

a. /etc/postfix/main.cfを編集
メールのヘッダ部分をチェックする設定ファイルを記述
------------------------------------------
header_checks = regexp:/etc/postfix/header_checks.regexp
------------------------------------------

b. /etc/postfix/header_checks.regexpを編集
------------------------------------------
/(^From: ).*<(.*)>/ REPLACE $1$2
------------------------------------------

c. サービスの再起動
# service postfix reload

(3) 本文内のURLをフィルタリングして非リンク化

メール本文内にあるURLをうかつにクリックしないように非リンク化させます。
http://www.yahoo.jp → ttp://www.yahoo.co.jp
https://www.yahoo.jp → ttps://www.yahoo.co.jp
また注意を促す文字列を挿入することもできます。
https://www.yahoo.jp → [クリック注意]https://www.yahoo.co.jp

a. /etc/postfix/main.cfを編集
メールの本文をチェックする設定ファイルを記述
------------------------------------------
body_checks = regexp:/etc/postfix/body_checks.regexp
------------------------------------------

b. /etc/postfix/body_checks.regexpを編集
------------------------------------------
/^(.*)http:(.*)/ REPLACE ${1}ttp:${2}
/^(.*)https:(.*)/ REPLACE ${1}ttps:${2}
------------------------------------------
※やや甘いので改良の余地ありです

c. サービスの再起動
# service postfix reload

(4) 添付ファイルの送・受信を禁止する

業務やサービス運営に支障が無ければ特定の添付ファイルを除外することも可能です。

拡張子のタイプを判別して除外する場合
a. /etc/postfix/header_checks.regexpを編集(複数行の設定も可能)
------------------------------------------
/name=\".*\.(exe|vbs|pif|sh|com|bat|scr|dll|wsh|cab|inf|ins|hlp|hta|js|vb|lnk|cmd|chm|cpl|msi|wsf|reg|vbe|wsc )"/ REJECT
------------------------------------------
※ファイル名に日本語が含まれていた場合に検知できるか未確認です

b. サービスの再起動
# service postfix reload

IoT(Internet of Things)=「モノのインターネット」がにわかに注目されています。

以前ユビキタスと呼ばれていたIoT市場ですが、最近は通信モジュール、I/Oユニット、各種センサー、GPS、カメラ、ストレージ等の小型化が進み、デバイスとしてハードウェア本体に組み込まれる事も容易となり面白い製品やサービスも続々発表されています。また一般的なOSをベースとした製品ではインターネット技術の転用が容易で、ビッグデータビジネスにおいても重要ソリューションとなっています。

ちなみに弊社はインターネットが一般的ではなかった時代からPCとハードウェアを連携するシステム構築を得意としてきましたので、以下の様なIoTソリューションを用いたシステム構築を請け負っておりますのでよろしくお願いします。

シリアルI/Oユニット

「いっちゃん」
パソコンのRS232Cから簡単に入出力を実現するユニット
http://www.data6.jp/rs232c/ichan_s.html
イーサネット経由で8点の接点出力を簡単に実現
http://www.data6.jp/xport/et-r8.html

シリアルポート拡張ボード
http://www.area-powers.jp/product/pci/io/9835-2sl.html

AndroidタブレットのUSBポート(Micro-USB Bタイプ)にRS-232C機器を接続!
http://www.ratocsystems.com/products/subpage/usb60mb.html


組込デバイス

「XPort」
組込み用超小型デバイスサーバー
http://www.lantronix.jp/products/xport.shtml
「xPico Wi-Fi」
組込み用Wi-Fiデバイスサーバー
http://www.lantronix.jp/products/xpico-wifi.shtml
イーサネットターミナルサーバー
http://www.lantronix.jp/products/eds8ps_eds16ps.shtml


小型コンピュータ

Raspberry Pi
https://ja.wikipedia.org/wiki/Raspberry_Pi

PLATHOMEマイクロサーバー
http://openblocks.plathome.co.jp/products/obs_a/

Teamacaron 超小型の組込み制御用コンピュータ
http://www.t-engine4u.com/products/teamacaron.html

超小型デスクトップパソコン「CuBox-i」シリーズ
http://online.radiokaikan.jp/shop/pages/13070004/cubox-i.aspx


ソフトウェア

PHPからシリアルポートを制御するクラスライブラリ
http://www.phpclasses.org/package/3679-PHP-Communicate-with-a-serial-port.html

perlからシリアルポートを制御するCPANモジュール
http://search.cpan.org/dist/Device-SerialPort/SerialPort.pm

Adobe Flash(AIR)でシリアル制御する方法まとめ
http://tech.ironhearts.com/blog/archives/39

Adobe Director用 シリアル通信Xtra
http://www.directxtras.com/DComm_doc.asp?UUID=3982985


ネットから制御が可能な機器

パトライト ネットワーク監視表示灯
https://www.patlitestore.jp/index.php?main_page=page&id=20

Panasonic ネットワークカメラ
http://panasonic.biz/security/#content

ソーラー型Web監視カメラシステム
http://www.arksystem.jp/RT-SFC150/


生体検知デバイス

オムロン ヒューマンビジョンコンポ
http://plus-sensing.omron.co.jp/egg-project/product/

Webサイトの立ち上げや運用をやっていると欠かせないのがドメインやDNSの知識です。

サイトの新規立ち上げ時にはそれほどややこしいことは無いのですが、特にサイトのリニューアルや移設あるいは業者移管を行う際には、様々な立場や知識の関係者が絡むことがありコミュニケーションに支障が出ることがあります。

例えば"ドメイン管理"と言っても、レジストラ(お名前.com等)でドメイン利用料を支払ったりWhois情報を管理するのか、あるいはDNSすなわちネームサーバのゾーン情報(ホスト名とIPアドレスが結びついた情報等)を管理するのか二つの意味にとらえられます。なおレジストラはJPRSが認定した指定事業者と呼ばれることもあります。

"ドメイン管理者"が対レジストラなのかゾーン情報まで管理しているのかはケースバイケースです。また"者"が業者を指しているのか個人を指しているかもあいまいです。

"DNSの変更"というのも良く飛び交う言葉ですが、我々システム業者側からするとIPアドレスなどのゾーン情報を変更するのか、DNSそのものを移転するのかがあいまいです。

もうややこしいですね

# あらためて、ここではDNS=ネームサーバーとします。

したがって、サイトリニューアルなどに伴って"ドメインの移設"を行う場合は、以下の点に留意しないと思わぬ障害につながったりします。この中で一点でも懸念があれば要確認する必要があります。

(1) レジストラを移管→する/しない
 →する場合は誰がどこに?
(2) ネームサーバを移管→する/しない
 →する場合は誰がどこに?
(3) ゾーン情報を更新→する/しない
 →する場合は誰がどのように?
(4) Whois情報を更新→する/しない
 →する場合は誰がどのように?
(5) ドメイン管理者(対レジストラ)を移管→する/しない
 →する場合は誰が?
(6) DNS管理者を移管→する/しない
 →する場合は誰がどのように?

                            する/しないの判断が難しい場合は弊社へ :-)

なお、企業で通常業務に使用している需要なドメイン名の料金支払いやDNS管理を誰がやっているか分からない状態は思わぬ経営リスク(失効や搾取や改ざん)になりかねませんので、経営層の方はドメイン管理者の所在は最低限掌握しておくことをおすすめします。

↑このページのトップヘ