Semantic Web - WordPress » S/MIME メール

Thawte 個人用電子証明書

support — Wed, 06 Jul 2005 02:01:23 +0000

Thawte 社の S/MIMEメール用「個人用電子証明書」はフリーです。
2005/7/3, So-net blog にてエントリー投稿したのですが、So-net blogは今でも頻繁にアクセス障害が発生するため、当ブログにコピーします。

Thawte 社のホームページでは、フリーで、１年間有効の
個人用電子証明書 Personal E-mail certificate
を取得できます。S/MIME形式の電子署名のために使用する Digital ID です。

署名者： Thawte Freemail Member となります。
URL: http://www.thawte.com/email/index.html
日本のホームページ: http://www.jp.thawte.com/

注) SMIMEメールの使用法、DER encoded binary X509 形式などの証明書のインストール方法を事前に世界No1.の Verisign 社などのホームページにて参照し、ログインされた方がよいです。アクセスが多いためか? Personal E-mail certificate 取得サイトのプログラム動作は非常に不安定になることがあります。

Personal E-mail certificate 取得サイトのログイン・パスワードを忘れたとき、ユーザーは以下のようにオンライン操作を行うことになります:
lost password process:
https://www.thawte.com/cgi/support/contents.exe?Service=Personal&PersonalCertStep=lostpassword
にアクセスします。thawte ID はメールアドレスとなっていますので、メールアドレスを入力し、質問に回答し正しければ、パスワード "one time password" がメールで自動送信されるシステムのようです。ウィザードの途中で、初期登録した復活用の情報の中の５つに対する質問があります。ここで [不正 Incorrect (Incorrect LP Questions)] になると、Ticket が発行されます。
Ticket Number: ******
本ウイザードを一旦終了し、
https://www.thawte.com/cgi/support/ticket.exe?ticket=[Ticket Number]
にアクセスします。
必要であれば、追加質問等を送信し、問題解決するまで、"the Technical Support department" さんの対応を待ちます。早々にボタン【close the ticket】をクリックすると、問題が解決されたとみなされますので、ご注意ください。

PKI AccreditedSign タイプ1

support — Mon, 21 Mar 2005 05:07:46 +0000

日本認証サービス株式会社
http://www.jcsinc.co.jp/
「AccreditedSign」(タイプ1) 電子証明書サービス
は、2005年5月16日に廃止されるとのことです。
予定では 2005/5/15 まで有効です。

個人用電子証明書デジタルID セキュア S/MIME メール

support — Sat, 08 Jan 2005 05:17:44 +0000

セキュアメール　無料キャンペーン(主催: 日本ベリサイン株式会社協賛: 株式会社ジャストシステム) 期間中のため、spam 対策の１つとしてお知らせいたします。
現在、私は
   · 日本認証サービス株式会社 http://www.jcsinc.co.jp/
   · 日本ベリサイン株式会社 http://www.verisign.co.jp/class1/services.html
発行の個人用電子証明書 (PKI によるデジタル Digital ID)を使用しています。
その用途として、一般的には
   · セキュアメール
   · アクセスコントロール
   · 電子署名
などが可能ですが、主に、セキュアメール (特に、S/MIME メールの電子署名) のために利用しています。
個人メールをセキュアとするだけであれば、ベリサイン社個人用電子証明書は (経験上)取得手続が簡単で、安価と思います。本証明書は、単品「ベリサイン個人用電子証明書ライセンスシート」として、Just MyShop オンライン購入も可能です(店頭での購入はできません)。
また、セキュアメール　キャンペーン主催者の日本ベリサイン株式会社
    http://www.verisign.co.jp/class1/index.html
にアクセスすると、３ヶ月間無料でトライアル版の体験できます。
株式会社ジャストシステムさん協賛で、「企業内個人様向け」「2005年2月28日まで」です。
ページ内には [証明書を利用するための環境]：
   · OS＝WindowsXP/ME/98/2000
   · ブラウザ＝Internet Explore5.01(SP2)-6.0
と指定されていますが、主に、メールソフト「Shuriken Pro3 /R.2」
     http://www.justsystem.co.jp/shuriken/product/pro3r2set.html
の動作環境と思います。たとえば、鶴亀メール Ver4.03 [2005年8月9日,「鶴亀メール」から「秀丸メール」となりました]においても本証明書は問題なく利用できますが、Windows XP以上のOSでないと、メールソフト上で証明書の表示はできません（ CryptUIDgViewContext 関数が使えないため、とのことです)

hosts ファイル銀行個人情報 URL 正引き nslookup フィッシング詐欺

support — Tue, 07 Dec 2004 06:10:05 +0000

URL の確認方法－よく利用する銀行、インターネット・バンクなどの URL が正しいか?
－フィッシング詐欺などにより偽のウェブサイトに強制的にリダイレクトされていないか?
ウェブ偽装詐欺「フィッシング」は、internet piracy (インターネット上の海賊行為) の１つで、"phishing"と名づけられ、"fishing"と同じ発音です。
インターネット上では、ホスト名(ドメイン名) とグローバルIP アドレスは対応しています。１台のサーバ機( 同じグローバルIPアドレス)に、複数の独自ドメインを登録することはできます (バーチャルドメイン)が、詐欺サイトと銀行等のウエブサイトが同じサーバ機や同じローカルネットワーク上に存在することはあり得ませんので、パソコンに正式なグローバルIP アドレスを強制的に設定し、URLの真偽を確認します。
(1) 親展郵便などで届いた正式な契約書に記載されたインターネット・バンク、銀行、クレジット会社のウエブサイトURLのIPアドレスを調べます(「正引き」といいます)。
たとえば、
   http://www.websitepulse.com/tools.php3
などにアクセスします。
複数のサービス (検索サイトにて、キーワード “nslookup” と入力すると、「正引き」サービス提供サイトがいくつもヒットします) を利用し、IP アドレスを調査し、メモします。
(例) websitepulse.com のツールでは、HostName Test のフォーム内に、
ホスト名(例) www.example.com ないしドメイン名(例) example.com
などを入力すると、IPアドレスが表示されます。
(例)
   Name: www.example.com
   Known IP Addresses:
   - ***.***.***.**　(*** は、すべて半角数字です）
(2) パソコンのシステムフォルダ内のファイル hosts を編集します。
hosts の [PATH] はOSやバージョンによって異なります。
OS: Windows
   C:¥WinNT¥System32¥drivers¥etc¥hosts
ただし、Win 98, Win Meでは
   C:¥WINDOWS¥hosts.sam を編集し、別名 hosts で保存します。
OS:Linux, Unixなど
   /etc/hosts
ファイルの最下段に調査したIPアドレスとドメイン名(ホスト名) を追記します
     127.0.0.1     localhost
     ***.***.**.**     www.example.com # この行を追記します。 IPアドレスを入力しTabキーを押して、ドメイン名(ないしホスト名) を入力します。もし、複数の銀行についてチェックするとき、必ず改行します。追記したデータは、このまま残しておいても問題はありません (親展文書にて銀行URLやサーバ変更通知があれば、削除して下さい)。
(注): ファイル編集のために OS: Windows のメモ帳 Notepad を使用したとき、別名 hosts. で保存して下さい (必ず、ドットを最後に１つ付けます)。
「テキスト文書」「すべてのファイル (*.*)」の選択では、後者「すべてのファイル」です。もし、ファイル名が hosts であったり、テキスト文書形式で保存すると、hosts.txt  hosts..txtとして保存され、hosts ファイルの機能はありません。
(3) 次いで、ブラウザにキャッシュされたすべてのファイルを削除します。ブラウザの設定から、クッキー Cookie(s) も同時に削除します。
(4) 銀行等のURLを入力してアクセスできれば、ブラウザで表示されたホームページは公式ページであると判定できます。もし、アクセスできないときは、操作・設定のミス、または不正(にせ)サイトです。
(注): 本操作による確認前に、ブラウザにキャッシュされたデータは必ず削除して下さい。なお、銀行、インターネット・バンクのホームページへのログオン中ないしログオフ直後、他サイトには絶対にアクセスせず、他URLのホームページにアクセスするときは、一旦、ブラウザを終了させて、再起動後に行うべきです。
[追加情報 2004/12/8]
· 「フィッシング詐欺：メール開封だけで偽サイトに誘導」
  http://hotwired.goo.ne.jp/news/technology/story/20041116302.html
· ウィンドウズ・スクリプティング・ホスト Windows Script Host(WSH)
を無効にする方法
  http://www.geocities.co.jp/SiliconValley-SanJose/3220/secom2.htm#15
[追記 2005/12/17]
独立行政法人情報処理推進機「ボット対策について」
  » http://www.ipa.go.jp/security/antivirus/bot.html
特定のウェブサイト、たとえば、Microsoft社や各ウイルス対策ベンダーのホームページに接続できない場合、すでにBOTに感染し「ゾンビPC」化したクライアント・パソコンの「HOSTS ファイル」が書き換えられていることがあります。

MUA Shuriken Pro3 /R.2バージョン 5.5.6.0: S/MIMEメールの使用に際して

support — Mon, 22 Nov 2004 07:34:53 +0000

Shuriken Pro3 /R.2 によるメール送信に際して、「標準のニックネーム」なし、または、英数文字のニックネームでの使用を推奨します。「鶴亀メール」側にバグがある [2005年8月9日,「鶴亀メール」から「秀丸メール」となりました]ようですので、鶴亀メールにて受信するとき、送信者のニックネームが日本語であり、X-Mailer: JsvMail 5.* (Shuriken Pro3) であれば、電子署名の検証の一部でエラー表示となります。
Shuriken Pro3 /R.2　[ベリサインセキュリティメールセット]購入使用中ですが、
Shuriken Pro3 アップデートモジュール更新ファイル(2004.11.18更新) spr3up09.exe
http://www3.justsystem.co.jp/download/shuriken/up/win/030418.html?m=jui16b01
を実行しアップデートしても、MUA 鶴亀メール Version 3.71へのテスト送信では (電子署名)、
==
電子署名は正しく検証されました。
署名者： *** ****
署名者メールアドレス： ***@***.***.**.**
発行者： *** Service CA
(タイプA) ○ 証明書のメールアドレスとメールの送り主は一致しています。
(タイプB) × !!!!メールの送り主と証明書のメールアドレスが一致しません。
　メールの送り主: =?ISO-2022-JP?B**********JTobKEI=?=
○ 証明書は有効期限内です。
○ 証明書パス(certificate chain)に問題はありません。
==
と表示されます。「標準のニックネーム」 の無、有(英数文字) は(タイプA)、有(日本語)は (タイプB) となります。
Fromメールヘッダーの例
(例) タイプA From: nickname
(例) タイプB From: 日本語ニックネーム
Shuriken Pro3/R.2バージョン 5.5.6.0 の[アカウントの設定]⇒[送信]⇒[標準のニックネーム]を入力すると、送信メールヘッダー情報の From: に組み込まれるようです。~~「ニックネーム」はメールヘッダー情報のOrganization: などを利用し、From: と区別にして送信すれば、解決するはずです。~~
【株式会社ジャストシステム様からのご回答の一部 2004/11/26追記】

おそらく、鶴亀メール側において、署名と差出人(From)のメールアドレスを比較する際、Fromヘッダの解析が正しく行われていないために発生していると考えられます。

RFC-2822 の規定によると、Fromヘッダには、To/Cc/Bccなどと同様の書式が使えます。ニックネーム（RFC-2822では、display-name ）に日本語が使えない、という制限はなく、Shuriken側が生成するFromアドレス表記に問題はございません。

認証　送信元　　　　送信先
○　　鶴亀メール　鶴亀メール
○　　Shuriken　　Shuriken
○　　鶴亀メール　Shuriken
△　　Shuriken　　鶴亀メール
バージョン 5.5.6.0(2004.11.18更新)
【仕様変更項目】
==
S/MIMEでの署名検証時に電子証明書内に記述されているメールアドレスとメールのFrom欄のメールアドレスが異なる場合に、自動で警告表示するようにいたしました。
==
との事。MUA Shuriken で受信すると、すべて警告は出ないであろうが、他のMUAでは「なりすまし」とみなされる可能性が残っています。
[追記 204/12/17]
鶴亀メール Version 4.00 となったが、
× !!!!メールの送り主と証明書のメールアドレスが一致しません。
については、不変ではあるが、他の表示内容がより具体的、かつ詳細となった。

○ このメールは改ざんされてません。
・・・・・
・・・・・
証明書パス:
・・・
　　・・・・

電子証明書が表示され、(一部エラーがあっても) 改竄がないと判れば、送信元が疑われなくて済みそうである。