特定電子メール法違反にあたる迷惑メール対策

特定電子メール法違反にあたる迷惑メール対策について書きます。

■ 特定電子メール法とは

平成14年に「特定電子メールの送信の適正化等に関する法律」が成立し、同年7月より施行されています。

特定電子メールとは「自己又は他人の営業につき広告又は宣伝を行うための手段として送信をする電子メール」と定められており、一般に広告宣伝メールのことです。

■ 特定電子メール法違反事項

広告宣伝を目的としたメールは、「原則としてあらかじめ同意を得た者以外の者への送信禁止」「一定の事項に関する表示義務」「送信者情報を偽った送信の禁止」「送信を拒否した者への送信の禁止」などが定められています。

特定電子メール法(平成十四年四月十七日法律第二十六号)
http://law.e-gov.go.jp/htmldata/H14/H14HO026.html

続きを読む

OpenSSL 証明書チェーン検証不備の脆弱性について (CVE-2015-1793)

先日明らかにされたセキュリティアラート: CVE-2015-1793
OpenSSL: Alternative chains certificate forgery
OpenSSLの証明書チェーンの検証不備の脆弱性について

OpenSSLプロジェクトによる Security Advisory [9 Jul 2015]
https://www.openssl.org/news/secadv_20150709.txt

本件の問題点と対策は以下の通りです。
続きを読む

キャッシュによる WordPress の高速化に関する誤解・勘違い

最近ちらほらネットで見かける「キャッシュによる WordPress の高速化」に関する記事には、誤解・勘違い・比較条件のずさんさが多く、信頼性に乏しいものも多いのでご注意下さい。

WP Super Cache 最高!みたいな風潮がありますがそうでもないです。
W3 Total Cache も似たようなもんです。
いずれも使いこなすには相応の知識が必要です。
あと、.htaccess にいろいろと仕掛けが追記され、自分でも何か設定を書く人は要注意です。

Nginx と WP Super Cache を比べてどうのという話は特に信頼性が薄いです。明らかに Nginx が(比較にならないくらい)効果があると断言しておきます。その後の運用の幅も違います。

続きを読む

5周年

そういえば、今年、創業5周年です。
すっかり忘れておりました。

ユーザーの皆様本当にありがとうございます。
記念イベント等はありませんが、今後とも初心を忘れず精進します。
変わらぬご愛顧のほどをよろしくお願い申し上げます。

glibc バッファオーバーフロー脆弱性対策 (CVE-2015-0235)

先日明らかにされたセキュリティアラート: CVE-2015-0235
glibc バッファオーバーフロー脆弱性に関する対策実施について

原文はこちら
CVE-2015-0235(英文)
https://access.redhat.com/security/cve/CVE-2015-0235

JVNVU#99234709
glibc ライブラリにバッファオーバーフローの脆弱性
http://jvn.jp/vu/JVNVU99234709/

本件の問題点と対策は以下の通りです。

続きを読む

cute解約につきまして

最近、よく「cute解約」という検索キーワードで当ホームページにいらっしゃる方がいます。
そして、当ホームページの「サポート・お問い合わせ」のページから解約のご依頼を頂きます。
ところが、そのご依頼をくださる方々皆さん、ベリーキュート.net のユーザーさんではありません。

この「 cute 」というのが very-cute の cute と誤解されているのですが、私共とは全く関係のない他社のサービスの名称だと思われます。

私共もよくは分からないのですが、恐らく、docomo ユーザーをターゲットした会員制のサービスではないかと思われます。
もしかしたら、出会い系サイトかもしれません。
以下の様な悪質なサービスがあるようです。
続きを読む

自己署名SSLサーバー証明書の作成

自己署名のSSLサーバー証明書の作成方法を書きます。

前提条件として OpennSSL は普通に使える環境であるものとします。

■ 自己署名のSSLサーバー証明書とは

通常 SSLサーバー証明書は然るべき認証局(VeriSignとかジオトラストとか)が発行し、それには電子署名が施されており、コモンネーム(運用するFQDN=フルドメイン名)が確かなものであると証明します。
この電子署名を認証局にやってもらわずに自分で OpennSSL の機能で施すことが自己署名です。

自己署名の証明書は信頼性に欠けるとしてブラウザなどのクライアントソフトウェアではエラーや警告メッセージが表示され、フィッシングサイト、怪しいサイトであるような印象を与えます。
しかしながらデータの暗号化という観点だけを見れば認証局が署名したものと全く同等であり、暗号化の観点でセキュリティは劣りません。
ですからデータの暗号化が目的なだけなら自己署名でよい場合もあります。
続きを読む

Bash 脆弱性対策 (CVE-2014-6271他)

Bash の脆弱性に関しまして、9月24日~10月5日までに以下の
6つのセキュリティーアラート及び修正が出ております。
CVE-2014-6271,CVE-2014-7169,CVE-2014-7186
CVE-2014-7187,CVE-2014-6277,CVE-2014-6278

詳細はこちら
JPCERT/CC による GNU bash の脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2014/at140037.html

本件の問題点と対策は以下の通りです。

続きを読む

キャッシュサーバーで大規模サイト構築

以前、お客様のご要望で、複数台の負荷分散で毎秒数千リクエスト、数ギガbpsのトラフィックを延々とさばくようなシステムを作るための試行錯誤を重ねておりました。
そのときの試行錯誤や最終的に落ち着いた方法についてまとめておくことにします。

やりたいことはこうです。

・画像や動画ダウンロードが主体のファイル置き場のサーバーを運営して膨大な数のリクエストに対応したい。

考慮するポイントは以下の通り
・動画は1本10MB程度~20MB。コンテンツの更新時にはこれが10本程度は増える。初期は全体で1.5TB程度。
・トラフィックは数ギガbpsになるので、1Gbps回線が複数必要。必要な本数を用意する。コストはかかってもよい。
・リクエストは毎秒1000以上はあるので、負荷分散は必須。マシンを複数台用意する。コストはかかってもよい。

考えられる方法は以下の通り
・DNSラウンドロビン
・ロードバランサー(専用機器)
・ロードバランサー(ソフトウェア)
・リバースプロキシ&キャッシュ兼ロードバランサー
またはこれらの併用。

続きを読む

OpenSSL CCS Injection 脆弱性対策

つい先日明らかにされたセキュリティアラート:
CVE-2014-0224 OpenSSL CCS Injection 脆弱性に関する対策実施について

原文はこちら
CCS Injection Vulnerability
http://ccsinjection.lepidum.co.jp/ja.html

OpenSSLプロジェクトによる Security Advisory [05 Jun 2014]
https://www.openssl.org/news/secadv_20140605.txt

本件の問題点と対策は以下の通りです。
続きを読む