Google Chromeが「保護された通信」表示を開始

参考リンク:
Google Chromeが2017年からHTTP接続に警告を表示 → 内部リンク

2017年1月にリリース予定のGoogle Chrome 56から、パスワードやクレジットカード情報を送信しているHTTPサイトを「安全ではない(Not secure)」と表示すると伝えられていましたが、
現在最新版のChrome 55においてTLS(SSL)通信が行われているページで「保護された通信」と表示されるようになりました。

chrome55 保護された通信

「安全ではない(Not secure)」または「保護されていない通信」の表示は未だ行われてはいませんが、Chromeの開発先行版「Chrome canary 56」では既に実装されているようです

GoogleがSSL/TLSページを優先的にインデックスすることと併せて企業ページのSSL/TLS暗号化はますます進みそうですね。

Google Chromeが2017年からHTTP接続に警告を表示

参考リンク:
Google Chromeが2017年からHTTP接続に警告を表示 → 外部リンク
chrome56 no ssl

Google Chromeチームは9月8日(米国時間)、「Chromium Blog」において、2017年1月のGoogle Chrome 56からパスワードやクレジットカード情報を送信しているHTTPサイトを「安全ではない(Not secure)」と表示すると伝えました。
最初は、アドレスバーにグレーで「Not secure」と表示されるようになるとのことでが、最終的にはすべてのHTTPページを対象に、破損しているHTTPSページと同じ赤い三角のアイコンで安全でないことを表示するようになる…とのことです。

chrome56 no ssl

【2016年度版】フィッシング対策ガイドラインが改訂

フィッシング対策協議会が「フィッシング対策ガイドライン」を改訂し、2016年度版を公開しました。

同ガイドラインは2008年より継続して提供されており、利用者におけるフィッシング詐欺対策だけではなく、サービス事業者におけるフィッシング詐欺対策として提供されて提供されている点が重要です。

本年度版の改訂ではサービス事業者におけるフィッシング詐欺対策において、被害が発生する前に心がけておくべき対策 及び 被害が発生した際の対応事項について『三段階の優先度』が設定されており、サービス利用者がフィッシングメールを判別できるようにする対策として、送信ドメイン認証技術「DMARC」についての記載が初めて追加されています。

参考リンク:
フィッシング対策協議会 → 外部リンク
フィッシング対策ガイドライン(PDF) → 外部リンク

SSLv2に含まれる脆弱性(DROWN)について

ウェブサイトを閲覧するときのお話です。
「http://~」ではなく「https://~」で始まるURLへアクセスすると、なんだか安心感がありますよね。

SSL認証の鍵マーク
SSL認証の鍵マーク

この鍵マークがあれば『サーバーとの通信が暗号化されていますよ』ということなのですが、この暗号化された通信であっても『解読される恐れがある』という脆弱性が発見されました。

あまり不安を煽りすぎるのもどうかと思うのですが、発見された脆弱性を突いて悪意のある第三者が暗号化を解読する可能性があるのは、
・HTTPSサーバーがSSLv2で接続可能な場合
・SSLv2で接続できる他のサーバーで同じ秘密鍵を使い回している場合
であり、現在のWEBサーバーの主たる設定ではありません。
※現在はSSLと表記していても、技術的後継であるTLSに移行しています。

しかしながら…
・未だHTTPSサーバーの17%でSSLv2接続を行って
おり、
・秘密鍵を使い回ししているHTTPSサーバーが16%存在
するそうです。

企業のサーバー管理者の皆様、「SSL/TLSを導入しているから安心」だと思っていませんか?
ご自分の企業のWEBサーバーはお客様へ安心できるセキュリティを提供できているでしょうか?
是非一度ご確認ください。
ご不明な場合はご相談もお承りいたします。

参考リンク:
The DROWN Attack(研究者たちが立ち上げたDROWNに関する情報ページ) → 外部リンク
全HTTPSサイトの33%でSSL/TLSが解読される恐れのある脆弱性「DROWN」、OpenSSLチームは修正パッチを配布 → 外部リンク
SSLの脆弱性で日本の大手サイトを含む全世界1100万以上のHTTPSサイトが攻撃を受け得ると判明 → 外部リンク

「認証メール配信」プロダクト補足記事 目次

メールマガジン配信システム「認証メール配信」サービスのプロダクトページだけではわからない、受信者の「迷惑メールフォルダ」に入りにくくなる技術とその標準機能について、数回にわたってブログで紹介していきたいと思います。

このエントリーは目次として利用いたしますので、各記事を投稿次第、リンクを更新してまいります。
※目次は目安であり、記事投稿の都合により変更となる場合がございます。

もしかして、迷惑メールフォルダに振り分けられているかも?

第1回 認証メール配信とは(SPFと逆引き編)
第2回 認証メール配信とは(DKIM編)
第3回 認証メール配信とは(DKIM作成者署名と第三者署名編)
第4回 認証メール配信とは(送信ドメイン認証まとめ)
第5回 認証メール配信とは(HTMLメール配信)
第6回 認証メール配信とは(マルチデバイス対応)
第7回 認証メール配信とは(テンプレート作成)
第8回 認証メール配信とは(ステップメール)
第9回 認証メール配信とは(セグメント配信)
第10回 認証メール配信とは(日時予約配信)
第11回 認証メール配信とは(独自ドメイン)
第12回 認証メール配信とは(メール開封数)
第13回 認証メール配信とは(メルマガ会員登録フォーム)
第14回 認証メール配信とは(送信対象者に応じた内容変更)
第15回 認証メール配信とは(登録変更フォームと登録解除)
第16回 認証メール配信とは(顧客データベース管理)
第17回 認証メール配信とは(メールアドレス一括登録)
第18回 認証メール配信とは(配信速度)
第18回 認証メール配信サービスはWEBサーバーも提供

『認証メール配信』サービスを開始いたしました

キャスト・ワークスでは、この度初の自社サービスとなるメールマガジン・ニュースレター・メール配信システム『認証メール配信』を販売開始することができました。
このサービスは、
・メールマガジンを配信しても効果が全くあがらない!
・メールの開封率があがらない!
・集客につながらない!
・メルマガ本当に届いてる!?
広報担当の皆様の、このようなメールマーケティングの課題を解消するべく開発されたサービスです。
『認証メール配信』システムは、送信元を2段階で証明する仕組み(※)を導入しており、
「これはなりすましの不審なメールではありません」
「身元の明らかなサーバーから、送られているメールです」
と証明できるメールを配信しますので、送信先で自動的に「迷惑メール」に振り分けられるということがありません。

上記をはじめとした、『認証メール配信』は是非コチラからご確認ください
https://cast.works/corporate/product/maildelivery

ちょっと興味を惹かれた広報ご担当者様、メールマガジン配信ご担当者様は、是非お気軽に お問い合わせフォーム からお問い合わせくださいませ。

※ 送信ドメイン認証(SPF、DKIM)という技術です。DKIMでは、第三者署名ではなく作成者署名を使用しています。さらに、『認証メール配信』システムでは、サーバーとドメインをDNS逆引き設定も行い、「迷惑メール」に振り分けられにくいサービスの提供に努めています。(他社ASPサービスではまだ提供されていません。)

The HTTPS-Only Standard

以前から推奨はされていましたが、米国行政管理予算局(Office of Management and Budget:OMB)が正式メモランダムとしてThe HTTPS-Only Standardに署名をしたとのことです。
この覚書により、アメリカ連邦政府のWEBサイトは2016年12月31日までに全てHTTPS通信のみに移行するようです。

皆さんのWEBサイトは、セキュアな環境をお客様に提供できていますか?

The HTTPS-Only Standard
HTTPS通信のみをスタンダードにする

『アメリカ連邦政府のサイトは、暗号化されたWEBサイトの通信のみにする』というCIO.govの掲示

HTTPS-Everywhere for Government
HTTPS – 身近な政府のために

『すべての公的にアクセス可能な連邦のウェブサイトは、2016年12月31日までにHTTPSのみの規格を満たしている必要がある』トニー·スコット 米国最高情報責任者の掲示

Clam AntiVirus (Clam AV) による WordPress コアファイルの誤検知

Clam AntiVirus 系のサーバ用アンチウイルスソフトウェア(AV Xav Tk など)において、日本時間の昨日~本日未明に配信されたウィルス定義ファイルにより、WordPress のコアファイル(TinyMCE に含まれている moxieplayer.swf という Adobe Flash 用のファイル)をウイルスに感染していると誤検知し、通常の設定においては削除してしまうという問題が発生していました。
※2013年には、moxieplayer.swf に共通脆弱性識別番号 CVE_2013_5329(Adobe Flash Player のメモリ破損脆弱性)として規定された脆弱性が存在していた。(WordPress 3.5.2 にて解消)

誤検知はウィルス定義ファイルの更新により解消していますが、削除された moxieplayer.swf はサイトへ再度 FTP にてアップロードしなければなりません。
WEBサーバーに該当する OS を使用していて、Clam AntiVirus 系のアンチウィルスソフトを利用されている場合は、ファイルが削除されていないか調査しておかれることをオススメいたします。

wordpress.org Support Forums
Moxieplayer.swf in WordPress core being flagged as virus.

WEBサーバのSSL設定

WEBサーバのSSL設定は、デフォルトのまま利用すると今の世の中の現状からするとかなり甘い設定になっています。
デフォルトのまま利用し続けると、セキュリティ上かなり心配です。

Google Chrome の SSL認証鍵マーク
Google Chrome の SSL認証鍵マーク

しかし、一方でガラケーへの対応が必須になっているサイトであったりする場合、むやみやたらとセキュリティを高く設定すると、古いガラケーがサイトに接続できなくなってしまいます。
また一般的なレンタルサーバではこのような設定項目は無く、ホスティング業者さんの設定に任せるしかありません。

利用者の環境とセキュリティの強度という相反する事柄に対応しなければならないため、このあたりの設定はバランスが非常に難しく、いつも悩ましいところです。

右の図は、WEBブラウザ Google Chrome の 当サイトにおける SSL認証時のセキュリティ表示です。

大抵のブラウザにおいて、SSL認証がかかっているページでは URL表示欄右側が緑色に表示されますが、この状態のとき、鍵マークをクリックしてみてください。
このような表示が現れます。

貴社のサイトに「◯◯◯への接続は古い暗号化技術により暗号化されています」等と表示されている場合は、WEBサーバの管理者へ連絡し TLSのバージョンと、CipherSuite の値について設定を見直してもらってください。

※ガラケー対応が必須、特定のバージョンの WEBブラウザへの対応が必要など場合を除いてどうしても対応できない場合もあります。