Archive for 11月 2007
フィッシング詐欺の踏み台 – System access – Xoops – 自治体・官公庁採用
会津若松市:会津若松市ホームページへの不正侵入について
http://www.city.aizuwakamatsu.fukushima.jp/fusei-access/index.htm
http://www.city.aizuwakamatsu.fukushima.jp/20071128fusei_access.pdf
問題のサイトは オープンソースソフトウェア XOOPS(ズープス)によるポータルサイトだったのでは? 以下は投稿者(当ブログ)の推測です。
「脆弱性の対策は行われていたのか?」
2007/10/02 13:17
オープンソースのCMS「XOOPS」に脆弱性:管理者はアップデートを
http://japan.zdnet.com/security/story/0,3800079245,20357743,00.htm
Release Date: 2007-10-01
XOOPS Uploader Class Unspecified Vulnerability
http://secunia.com/advisories/27006/
JVN#77105349:
「XOOPS」におけるクロスサイト・スクリプティングの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2005/JVN_77105349_XOOPS.html
最終更新日 2007年8月20日 独立行政法人 情報処理推進機構セキュリティセンター
など。
「多くの自治体・官公庁ポータルサイトで対策は行われているのか?」
XOOPSサイト事例—自治体・官公庁
http://www.xoops.jp/smartsection-category.categoryid-1.htm
XOOPSコラム
タイトル
環境****ナーシップオフィス(E**北海道)
三重県*市
科学技術***構 J****岡サテライト
科学技術***構 情***業本部
霞ヶ関*** プロ**トK
大分***市
大分県***市
徳島県 ***公民館
佐賀県***ネットワーク協議会
会津若松市
クリックすると、
旧コラム・XOOPSサイト事例 > XOOPSサイト事例一覧 > XOOPSサイト事例—自治体・官公庁 > 会津若松市
http://www.xoops.jp/smartsection-item.itemid-8.htm
会津若松市
http://www.city.aizuwakamatsu.fukushima.jp/edu/
など。
Windows 2000 – VB2007 -不具合修正なし
あるローカルネットワーク環境下では、
http://www.osbsd.net/2007/03/broadband_route.html
⇒ OS Windows XP SP2では、ウイルスバスター2007 トレンド フレックス セキュリティ (Vista対応版、未対応版ともに)起動中ないしメモリ常駐時にブラウジング(Microsoft社 Windows Internet Explorer 7)不能となり、OS Windows 2000 Pro SP4では、同ソフトウェア使用可。
であったため、クライアントPCは、Norton Antivirus 2007+Windows XP SP2、ウイルスバスター2007+Windows 2000 Pro SP4仕様としていたが、Windows 2000 SP4ユーザーとして、ウイルスバスター2007の無料バージョンアップを試みると、以下のメッセージに遭遇します。契約更新前にその期間、OS変更などを含めてよくご検討下さい。
「Windows 2000の発売元であるマイクロソフト社が、Windows 2000のサポートメインストリームフェーズを終了したことを受け、ウイルスバスターの最新版では、Windows 2000環境への対応を終了しました。
Windows 2000をご利用の環境では最新版のウイルスバスター(投稿者注:ウイルスバスター2008 のこと)ご利用いただけませんので、ご注意ください。」
■引き続きウイルスバスターを使用するにはどうすればいいの?
「Windows 2000環境をご利用のお客さまは、「ウイルスバスター2007 トレンド フレックス セキュリティ」を パターンファイル提供の終了日(2008年末予定)までお使いいただけます。 (但し、不具合があった場合の修正は行いません。)
WindowsXPやVista などの新しいオペレーティング システムにアップグレードされることをお勧めいたします。」
2008年に「不具合があった場合の修正は行いません」とのことですから、パソコンがダウンする重大な問題などが発生したとき、他のウイルス対策サービスに変更する必要があります。
★ 参照ページ 「ウイルスバスター2007で処理が重く(遅く)なる問題と対処法‐園部研」
http://sonobelab.com/knowhow/computer/vb2007.html
以下に大手会社のアンチウイルスソフトウェアのサービス終了期間をみると(Windows 2000 Pro SP4対応)、
◆ Norton AntiVirusなどのシマンテック製品の発売日/更新サービス終了日一覧
http://service1.symantec.com/SUPPORT/INTER/japanesecustserv.nsf/jp_docid/20030919114134945
Norton Internet Security 2005 ⇒「未定」となっている。
◆ McAfee マカフィー – ウイルス対策と侵入防止ソリューション
http://www.mcafee.com/Japan/mcafee/support/faq/answer_f_account.asp?wk=AC-00005
「2007年度製品はWindows2000SP4、 WinsowsXP Home/Professionalをサポートしています。Windows98/98SE、Meをご利用いただいていて、かつプログラム自動更新サービスをご利用いただいている場合は2006年度版の製品を継続してご利用いただく事ができます。」
2007年度製品のサポート期間に一致するが、明記されていない。
blog::k-12 ブログツールの進化
ブログの驚異的な普及の原動力となったブログツール「Movable Type」は2001年10月、開発者トロット夫妻が設立した米Six Apart社から公開されました。標準的なブログツールとして世界的に普及したため、2004年3月18日、日本法人「シックス・アパート」が設立され、翌月から公式日本語版が提供開始となりました。
もちろん、公式日本語版以前から有志による日本語化が行われていましたが、翌年の2005年2月になっても(当時の最新バージョン Movable Type 3.15)、日本語表示に関する問題がすべて解決されたわけではありませんでした。この頃はさらにブログのプログラム上の脆弱性を踏み台としたスパムやブログ自体の機能から(コメント、トラックバックによる)スパム急増のため、ネットワークやサーバにとって重大な問題となっていました(全ブログツールで発生)。
「これら技術的な問題は必ず解決される。しかし、利用者層の急速な拡大とともに、子供や学校教育にどのような影響を与えるのだろうか」と、いろいろ考えて開設したブログが
初回エントリー「個人情報とブログ」
2005年2月 6日 15:10
最近、義務教育の中で、ブログツールを利用する学校が増えています。・・・
新ブログ http://www.k-12.be/?p=4
旧ブログ http://k-12.be/archives/2005/02/post.html
で始まる
ブログ・タイトル「blog::k-12」
小学校・中学校・高等学校 (k-12) のキャンパス内でブログ blog を利用する際の個人情報保護, AUP などについての提言
です。当時、公開ブログによる情報発信を行っていた学校は少なく、実際に閲覧し調査してみました。
Yahoo!カテゴリ
http://www.yahoo.co.jp/
トップ > コンピュータとインターネット > インターネット > 子ども向け >
カテゴリ:子どもの安全
ネット社会と子どもたち協議会 通称「ネット子」
http://net-society.org/index.html
のネット子リンク集
「子どもたちがネット社会をよりよく生きていくための知識・技能・モラル・安全・利用法などの情報を提供している、国内の機関やサイトを集めた総合リンク集」
その他(個人運営のサイトやブログ等)
http://net-society.org/net-ko.html
からもリンクしています。
先駆的ブログツール「Movable Type」日本語版は、2007年8月8日 バージョン4.0 となりました。情報の発信と活用に際して、進化し続けるブログツールを上手に利用して下さい。なお、ブログ・タイトル「blog::k-12」では、旧バージョンのテンプレート使用中のため、現在、簡易的な表示形式となっています。
Movable Type 4 – base_theme.css
/*テンプレート名: スタイルシート(ベーステーマ)
/*テンプレートの種類: スタイルシート(ベーステーマ)(base_theme)
/*出力ファイル名: base_theme.css
/*スクリプトのコピー 2007/11/12 UTF8エンコード base_theme.txt
Movable Type 3.34 からアップグレード Version 4.01 [ Movable Type Publishing Platform 4.01 ] したとき、Movable Type 4の基本スタイルシート base_theme.css などは作成されません。
Movable Type 3.34のBase Weblog (base-weblog.css) は移行します。
Movable Type 4の既定デザインを利用できません。
例) 本ブログのデザインでは base_theme.cssをインデックステンプレートに組み入れても、多くのテンプレートやモジュールがインストールされません。
送信ドメイン認証 SPF – DNS TXTレコード v=spf1
[追記 2008-11-03] Google AppsのメールサービスをPostiniによる Google Message Security & Discovery サービスで運用する場合(Google Apps Premier Edition 推奨)、MXレコードおよびSPFレコードは異なります。
エントリー「Google Apps Premier Edition – Postini – DNS (MX SPF)」
http://www.osbsd.net/2008/11/google-apps-pre.html
【Postiniを利用しない場合】
IPアドレスベースの送信ドメイン認証の1つ
SPF(Sender Policy Frameworks)
は、DNSのTXTレコードにSPF情報(レコード)を記述するだけでよい。
悪意がなくても、独自ドメインのメールアカウントのメールを IPアドレスの異なるメールサーバ(smtpサーバ)やセカンダリメールサーバから送信すると、送信先のサーバ側で「なりすましメール」と判断しメール受信を拒否する(エラーを返さない)ことがあるので、SPFレコードの設定を強く推奨します。
MXレコードでセカンダリメールサーバも指定しているとき
DNS
txt @ v=spf1 mx ~all
とすると、プライマリメールサーバと異なるIPアドレスのsmtpサーバであっても pass します。
特に、Xrea.com、CORESERVER.JPでは、複数のMXレコードを作成すると、Gmail とのメール送受信に失敗(送信先がGmailサーバのとき、エラーメールを返さない)することがあり、下記のwebos-goodies.jp さんのブログを参照し、
txt @ v=spf1 ip4:*.*.*.* ip4:*.*.*.* include:_spf.google.com ~all
で運用しています(Google Apps使用時、include:aspmx.googlemail.com ~all 推奨)。
ip4: に続いて、[プライマリメールサーバのIPアドレス]、 [セカンダリメールサーバのIPアドレス]・・・と必要なIPアドレスを入力。
「SenderID/SPF/DomainKeys Test Server 結果」
SPF-Record-PRA Scope: v=spf1 mx ~all
SPF-Method Result: pass(example.com: domain of
example.com designates IP4[セカンダリメールサーバ] as permitted sender)
SenderID-MFROM-Method Result: pass(example.com: domain of
example.com designates IP4アドレス[セカンダリメールサーバ] as permitted sender)
SenderID-PRA-Method Result: pass(example.com: domain of
example.com designates IP4アドレス[セカンダリメールサーバ] as permitted sender)
[参照ページ]
ITmedia エンタープライズ:送信ドメイン認証の基礎知識
http://www.itmedia.co.jp/enterprise/articles/0603/24/news006.html
SPF設定後の検証サイト(例)
SPF: Project Overview
http://www.openspf.org/
SenderID/SPF/DomainKeys Test Server
http://senderid.espcoalition.org/
senderid.espcoalition.org の利用法は
WebOS Goodies
http://webos-goodies.jp/archives/51103006.html
などを参照して下さい。
[追記 2008-11-02]
Google Apps 管理者用 ヘルプ
SPF レコードを設定する
MX レコード: Domain Direct
上略
ドメインの SPF レコードを設定するには、DNS リソースで次の TXT レコードを発行します。
v=spf1 include:aspmx.googlemail.com ~allinclude:aspmx.googlemail.com の部分がない SPF レコードや、~all ではなく -all を指定した SPF レコードを発行すると、配信に問題が発生する可能性があります。