メール転送に関わる最近の セキュリティ問題 2002/10/07 朝日大学 経営学部 情報管理学科 奥山 徹 [email protected] http://okuyama.dsl.gr.jp/ 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 1 今日のトピックス 電子メールの基礎 電子メールシステム メールアドレスとメッセージ DNSとの関係 ウィルスと電子メール 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 2 電子メールシステム MUA(Mail User Agent) MTA(Mail Transfer Agent) DNS(Domain Name System) DNS SMTP MUA SMTP MTA MTA mailbox 2002/10/07 MB (c) Tohru Okuyama, 1999, 2001, 2002 MUA POP/IMAP/... 3 MUA(Mail User Agent) ユーザアプリケーション メールを読む メールを書く メールを保存/検索/削除する UNIX ucbmail, RMAIL, mush, mh, mew, … Windows OutLook, Netsape Mail, Eudora, PostPet,… 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 4 MTA(Mail Transfer Agent) メールの受信 配信先の決定 メールの配信 リモートへ、ローカルへ、発信者へ(エ ラー) Store and Forward 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 5 MTA Programs sendmail http://www.sendmail.org/ qmail http://www.qmail.org/ SMAIL(GNU) MMDF(Multi-channel Memo Distribution, CSNET) exim http://www.exim.org/ Vmail http://wzv.win.tue.nl/vmail/ LSMTP http://www.lsoft.com/LSMTP.html PP(X.400) Postfix http://www.postfix.org/ (c) Tohru Okuyama, 1999, 2001, 2002/10/07 2002 6 インターネットでのメール の送受信 SMTP - Simple Mail Transfer Protocol RFC821(S) TCPのポート25番 ほとんどのMTAはSMTPの実装を持つ DNSとの連係機能を持つ 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 7 SMTPの様子 ladoga% telnet vanessa.dsl.ics.tut.ac.jp 25(SMTPへの接続) Trying 133.15.144.8... Connected to vanessa.dsl.ics.tut.ac.jp. Escape character is '^]'. 220 vanessa.dsl.ics.tut.ac.jp ESMTP Sendmail 8.9.3/3.7W; Tue, 14 Sep 1999 15:02:04 +0900 (サーバからのコネクションメッセージ) HELO ladoga.dsl.ics.tut.ac.jp (サーバへのメッセージ) 250 vanessa.dsl.ics.tut.ac.jp Hello IDENT:[email protected] [133.15.144.7], pleased to meet you MAIL FROM:[email protected] (発信者のアドレス) 250 [email protected]... Sender ok 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 8 SMTPの様子(2) RCPT TO:[email protected] (受信者のアドレス) 250 [email protected]... Recipient ok DATA 354 Enter mail, end with "." on a line by itself This is a test mail. (メール本文) . (データの終わりを示す) 250 PAA01454 Message accepted for delivery QUIT 221 vanessa.dsl.ics.tut.ac.jp closing connection Connection closed by foreign host. 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 9 メールアドレス 発信者/受信者情報として利用 ユーザ名@ドメイン名 [email protected] その他の形式 %-Hack Route Address UUCP Addressing 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 10 %-Hack RFC1123(S) user%domain@relay sender→relay→domain relayに届いた時点でuser@domainに書き換え user%domain%relay2@relay1 sender→relay1→relay2→domain 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 11 Route Address RFC822(S) @relay:user@domain sender→relay→domain relayに届いた時点でuser@domainに書き換え @relay1,@relay2:user@domain sender→relay1→relay2→domain 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 12 UUCP Addressing domain!user relay!domain!user host!user@domainの解釈 “host ! user”@domain (Internet like) host ! “user@domain” (UUCP like) (c) Tohru Okuyama, 1999, 2001, 2002/10/07 2002 13 コメント形式アドレス Full Name <user@domain> user@domain(Full Name) user(User Name)@domain(Univ. Name) ( )のコメントはどこに入ってもよい 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 14 メッセージの形式 メールヘッダ(header)と本文(body) RFC822(S):Standard for the format of arpa internet text messages 最初の空白行が区切り From:[email protected] To: [email protected] Subject: Question for ed.jp domains ← 空行(空白もなし) ed.jpドメインの取得に関する問い合わせ 発信者(Sender, 通常一人, 意味上の発信者)と受 信者(Recipient, 一人または複数人) (c) Tohru Okuyama, 1999, 2001, 2002/10/07 2002 15 ヘッダとエンベロープ 封書に似ている エンベロープ(envelope) 投函した人/届け先 封書の表書きの送り主/宛先:実際に事務作業を行った人 配送の際に書き換えられていく RFC821(S):SMTP→エンベロープはコマンドで指 定 UUCP→エンベロープはrmailのコマンドラインにて (c) Tohru Okuyama, 1999, 2001, 指定 2002/10/07 2002 16 ヘッダとエンベロープ(2) ヘッダ(header) 本文を書いた人/読んで欲しい人 内封された書面の送り主/受信者 基本的に書き換えられない ヘッダとエンベロープの送信者/受信者 同じ場合: 個人宛て 異なる場合: メーリングリストなど 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 17 ヘッダとエンベロープ(3) エンベロープはいつ作られるか ヘッダから抽出される 送信するMUAが行う 最初に処理を行うMTAが行う エンベロープは配信処理で書き換えられる 転送 メーリングリスト 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 18 返信に利用するアドレス 配信エラー通知の返送(自動) エンベロープの発信者 Errors-To: ヘッダ(エンベロープの概念がないシステム 用) 内容の返信(人が介在) ヘッダの発信者 2002/10/07 From:, Reply-To, (To:, Cc:) (c) Tohru Okuyama, 1999, 2001, 2002 19 メールボックスからMUAへ ローカルメールボックス:UNIXなど POP(Post Office Protocol) IMAP(Internet Message Access Protocol) 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 20 メールを送ってもらうための 設定とDNS インターネット SMTPによる直接配信→DNSに配信先を定義 メール配信時に参照されるDNSレコード A RR→ホスト名からIPアドレスを取得 MX RR→メールアドレスから配信先ホスト名を取得 CNAME RR→ホストの別名を取得 Genericなメールアドレス ホスト名部分を持たない MX RRを利用する→メールはMXで指定されたホストに送られる 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 21 MXを使って障害に備える メール受信の代行 foo.tut.ac.jp preference=10, mx=mail1.tut.ac.jp preference=50, mx=mail2.tut.ac.jp 数字が小さいほど優先度が高い(コスト値) 送り側は配信に成功するまで順にコストの大きなものへ 配信を試みる mail2はmail1が回復後にmail1に配送 mail2のメールの保存期間に注意 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 22 送信されたメールの受理 届いたメールを自分宛てとして認識 ローカルに配信(受理) 「送られてきた=自分宛て」ではない 自分宛てではないと判断した場合 転送先をさがす 受理するアドレスの設定 sendmail(CF): ACCEPT_ADDRSに定義 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 23 受信設定のまとめ 相手に送り先を教える MXレコードを定義 自分宛てだと解釈する ローカルへの配信(受理) 個別に設定が必要 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 24 メールは配信の設定 配信方法のバリエーション DNSのMX参照による配信→MXを参照するMTAの準 備 ホスト名のみによる配送 固定ルールによる配信→DNSを参照する必要性の検討 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 25 DNSのMXを参照する場合 MXを参照するMTA sendmail.mx : librisolv.aをリンク OS付属のものより、最新のソースからコンパイルしたほ うが良い→sendmail-8.9.3 MX参照用sendmail.cf(CF) MX_SENDMAIL=yes→アドレスの補完 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 26 固定ルールによる配信 sendmail.cfに固定ルールを書く CF : STATIC_ROUTE_FILE ファイアウォールの中などで固定ルールを参照して 配信したい場合は、これを設定する 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 27 配信の動作確認 アドレスの解釈が正しいか sendmail -bv あるいは sendmail -bt の /parse MXが正常に検索できているか sendmail -bt で /mx コマンド 実際に送ることができるか sendmail -v 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 28 メールサーバの設定 メールサーバのアプリケーションプログラムである、 sendmail は通常パッケージからインストールされ るので、それを使えば良い 最新版は8.12.6である。もし、最新版でなければ、 ftp://ftp.sendmail.org/pub/sendmail/ から入手できる 他のアプリケーション(qmail, postfix, etc.)が利 用したければそれをインストールする必要がある 最近では、sendmailよりpostfixを使う傾向にあ る (c) Tohru Okuyama, 1999, 2001, 2002/10/07 2002 29 メールサーバの設定(2) 必要に応じて、POPやIMAPなどのMDAの サーバプログラムをインストールする 設定が終わったら、一通りテストしてみる 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 30 ウイルス今昔物語 昔のウイルス FDなどの外部媒体を経由する場合が多く、自己伝染性にはそれほど 高くなかった 時には破壊的なウイルスが蔓延することがあったが、多くは自己顕示 的なものであった 今のウイルス 電子メールやWEBなど、利用可能な伝染媒体を駆使するワームタイ プ(自己伝染性の強いもの)が主流となっている ファイルを実行すくことで伝染するものにとどまらず、スクリプトタイプ のように、各種アプリケーションの問題点を突くような、複合型ウイル スとなっている(Nimdaなど) 破壊活動やDDoS攻撃など悪質なものが多くなってきている 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 31 ウイルス被害の届け出件数 (2002) 2002年のウィルス届出件数 2500 2000 13359件 件数 1500 届出件数 1000 500 0 2002/10/07 2002年1月 2002年2月 2002年3月 2002年4月 2002年5月 2002年6月 月日 Okuyama, 1999, 2001, (c) Tohru 2002 2002年7月 32 ウイルス被害の届け出件数 (1990~2002) 25000 20000 15000 届け出数 10000 5000 0 1990 1992 1994 1996 1998 2000 2002 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 1990は4月~12月 2002は1月~ 7月 33 2002年7月の状況 IPAの2002年7月の被害届け出状況による (http://www.ipa.go.jp/security/txt/2002_08.html) 被害届け出件数:1,781件(先月よりは少し減る) 感染実害率:9.7%(先月の6.4%より悪化) 届出ウイルスの種類:41種類 新種ウイルス:W32/Frethem亜種(日本語環境で も発症) Windows/DOS系:1,686、マクロウイルス及びスク リプト系:93、Mac系及びUNIX系:2 一番届出の多かったウイルスW32/Klez 感染経路:メールにより感染したケースが最も多い (届出件数の82.0%の割合を占める) 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 34 感染を防ぐには 1)最新のウイルス定義ファイルに更新し、ワクチンソフ トを活 用すること 2)メールの添付ファイルは、開く前にウイルス検査を行 うこと 3)ダウンロードしたファイルは、使用する前にウイルス 検査を 行うこと 4)アプリケーションのセキュリティ機能を活用すること 5)セキュリティパッチをあてること 6)ウイルス感染の兆候を見逃さないこと 7)ウイルス感染被害からの復旧のためデータのバック アップ を行うこと 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 35 メールの添付ファイルに関する 注意 1) 見知らぬ相手先から届いた添付ファイル付きの メールは厳重注意する 2) 添付ファイルの見た目に惑わされない 3) 知り合いから届いたどことなく変な添付ファイル付 きのメールは疑ってかかる 4) メールの本文でまかなえるようなものをテキスト形 式等のファイルで添付しない 5) 各メーラー特有の添付ファイルの取り扱いに注意 する 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 36 メールの添付ファイルに関する 注意(2) 1) 見知らぬ相手先から届いた添付ファイル付 きのメールは厳重注意する 見知らぬ相手先から送信されたメールの添付ファ イルについては、安全を確認することが難しく、また、 ほとんどのケースが自分に必要ないものであるの で、無条件に削除することが望ましい。 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 37 メールの添付ファイルに関する 注意(3) 2) 添付ファイルの見た目に惑わされない テキストファイル(拡張子「.txt」)や画像ファイル(拡張子 「.jpg」)などの、ウイルスに感染することのないファイルに見 せかけた添付ファイルを送りつけるウイルスが発見されてお り、注意が必要である。 添付ファイルは、見た目に惑わされず、プロパティで拡張 子を表示するなどによりファイル形式を確認し、ファイルを実 行するアプリケーションを把握するとともに、自分に必要なも のかどうかを判断したうえで使用するべきである。 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 38 メールの添付ファイルに関する 注意(4) 3) 知り合いから届いたどことなく変な添付ファイル付きのメー ルは疑ってかかる メールを送信するタイプのウイルスが激増しており、知り合いから送信 された添付ファイル付きのメールは、送信者の知らない間にウイルスが 送信している可能性が ある。巧妙に添付ファイルを開かせるような心理 をついてくるので、このような知り合いからのメールこそウイルスの疑い を持って接する必要がある。 メールに付帯の情報(メール本文等)もウイルスが作成 している可能 性があるため、これらの情報も信用せず、 例えば先方に問い合わせる などにより安全を確認して から使用するべきである。 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 39 メールの添付ファイルに関する 注意(5) 4) メールの本文でまかなえるようなものをテキス 形式等の ファイルで添付しない 受信者にウイルス検査の作業負担を生じさせることに なり、また、検 査を行ったとしても不安感を完全にぬぐいさることはできないので、添付 ファイル付きのメール送信は避ける。 必要にせまられ添付ファイル付きでメールを送信する場合には、当該 ファイルのウイルス検査を行ってから実 施するようにし、あわせてメー ルに付帯の情報(メール 本文等)以外で、添付ファイルを付けた旨とそ の内容を事前に先方に伝えるような配慮が望ましい。 一方、このようにして届けられたものでも、受信者はウイルス検査後使 用するという用心深さが必要である。 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 40 メールの添付ファイルに関する 注意(6) 5) 各メーラー特有の添付ファイルの取り扱いに注意 する メーラーの設定、メーラーの特殊性などの添付ファイルの 取り扱いに関連する事項をよく把握して使用することが重要 である。 例えば、一部のメーラーでは、受信時に添付ファイルをあ らかじめ指定されたフォルダに自動的に展開しファイル保存 する。このようなメーラーを使用している場合は、ウイルス検 出などでメール本文ごと添付ファイルを削除した時に、保存 されている複製も忘れずに削除されるような設定にする必 要がある。 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 41 ファイルのダウンロードに関す る注意 安易にプログラムをダウンロードして実行してしまう と、 次のようなトラブルを招くことがある コンピュータウイルスに感染する ダイヤルQ2接続や国際電話をかけられ、後日法 外な請 求書が届く ハードディスク内のデータが破壊される 外部の第三者にコンピュータを操られる ハードディスク上のファイルが盗まれる(読まれ る) 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 42 感染したら届出を IPAに届ける http://www.ipa.go.jp/security/ JPCERTに届ける http://www.jpcert.or.jp/ 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 43 検証:Nimdaに見る新世代ウイ ルスの類型 Nimda 全方向ウイルス:これまでのウイルスが持ってい た感染拡大機能を併せ持つ サーバ、メール両方を介しての自動侵入機能 IISのサーバのバグをつく IEのブラウザのばつをつく 当然Outlookを使ったメールを介しても媒介する 特定ブラウザを通じての感染機能 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 44 検証:Nimdaに見る新世代ウイ ルスの類型(具体的な内容) このウイルスは、セキュリティホールを悪用したウイ ルスで、Windows95/98/ME/NT/ 2000で動作する。 マイクロソフト社の Internet Information Server (IIS) のセキュリ ティホールのあるシス テムに侵入するとホームページを改ざんする セキュリティホールのあるInternetExplorerで改ざんされたホーム ページを見るとウイル スに感染する クライアントが感染すると、Outlookのアドレス帳に登録されているア ドレス等にウイルス を添付したメールを送信する 添付ファイル名はreadme.exeである そのウイルス付メールを受け取ると、Outlookではメールを開いただ け で、OutlookExpressではプレビューしただけでも感染することが ある 2002/10/07 (c) Tohru Okuyama, 1999, 2001, 2002 45 まとめ メールは現在の必須情報交換網(イン ターネットと携帯電話を合わせると、普及 率は実に7割以上と推定される) それだけに問題点も多い ウィルス伝播 SPAMメール いやがらせメール 正しく使いましょう (c) Tohru Okuyama, 1999, 2001, 2002/10/07 2002 46
© Copyright 2024 ExpyDoc