| 前へ | 次へ |
個人情報の流出を防止するプラグインです。このプラグインはメールアドレスを大量に含むHTTPレスポンスを検知します。個人情報などを大量に含むファイルが、意図せずにウェブサーバーからダウンロードされることを発見・防止する目的で使用します。例えば次のような、アンケート結果を蓄積したデータファイルなどのダウンロードを検知します。
山田太郎,03-1234-5678,234-0056,東京都江東区1-23-4山田ビル7F202号室,1975年10月1日,yamada@jumperz.net,AのCDプレーヤーがほしいです。
山田太郎,03-1234-5678,234-0056,東京都江東区1-23-4山田ビル7F202号室,1975年10月1日,yamada@jumperz.net,AのCDプレーヤーがほしいです。
山田太郎,03-1234-5678,234-0056,東京都江東区1-23-4山田ビル7F202号室,1975年10月1日,yamada@jumperz.net,AのCDプレーヤーがほしいです。
山田太郎,03-1234-5678,234-0056,東京都江東区1-23-4山田ビル7F202号室,1975年10月1日,yamada@jumperz.net,AのCDプレーヤーがほしいです。
山田太郎,03-1234-5678,234-0056,東京都江東区1-23-4山田ビル7F202号室,1975年10月1日,yamada@jumperz.net,AのCDプレーヤーがほしいです。
…
検知すると次のような行をログに出力し、通常のルールが保存するのと同じようにHTTPリクエストとHTTPレスポンスを保存します。
Wed Sep 29 13:06:24 JST 2004 : Alert:192.168.1.2:25553:PLUGIN:net.jumperz.app.MGuardian.plugin.MMailFileDetector::1096430784464_25553
このプラグインはHTTPレスポンスボディを行単位で解析し、メールアドレスと思われる文字列を含む行の数がある数以上に達するとアラートを発生させます(ログにAlertが出力されます)。この数はmaxCountと呼ばれ、デフォルトでは50になっています。この数を設定するには、controlファイルに次のような行を追加します。
mailFileDetector.maxCount=500
デフォルトの状態では検知した際にアラートを発生させるだけで、HTTPレスポンスの送信を遮断しません。HTTPレスポンスの送信を遮断するには、controlファイルに次のような行を追加します。
mailFileDetector.block=true
また、検知した際にコマンドを発行することが可能です。コマンドを発行するには、controlファイルに次のような行を追加します。
mailFileDetector.command=/usr/local/bin/notifyMe
このプラグインはルールGID8から呼び出されることを前提に作成されています。
このプラグインはメールアドレスと思われる文字列を探すので、メールアドレスを含まない個人情報については流出を防ぐことはできません。また、メーリングリストのウェブアーカイブなどのように、メールアドレスを大量に含むコンテンツに対して誤検知を起こすことがあります。