皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

16日（月）、17日（火）に続き、19日（木）も何もできませんでしたがご容赦ください。

さて、今日は冒頭に書いた『楽天カード』の『フィッシング詐欺』メールに関してお伝えします。

楽天カードの詐欺メールが拡散される

昨日の日曜日、『楽天カード』を騙る『フィッシング詐欺』と思われるメールが非常に多く拡散されたようです。

最近は内容が非常に巧妙化しているため見分けづらいところではありますが、必ずどこかに問題の箇所は存在します。

例えば今回の場合、楽天カード側の不正利用検知システムによって第三者による不正利用を検知したため連絡をして欲しいというメールで、連絡先の『信用管理グループ モニタリングチーム』という部署も実際に存在しますし、記載の電話番号をインターネットで検索すると、実際に電話を掛けて問題がないことを確認できてホッとしたというブログ記事なども散見されます。

それにプラスし、文末の楽天カード株式会社へのリンクも正規の楽天カードへのリンクが張られています。

しかし、メッセージをテキストではなく『HTML』で表示させた場合には一箇所だけ問題のある誘導リンクが張られているところがあります。

今回のメールには『クリックしてアカウント確認を入力します』とされており、その先の偽サイトにて『ID』や『パスワード』を盗み取る手法のようです。

（冒頭下部の画像を参照）

楽天カードのコールセンターによると非常に多く拡散しているとのことで、念のために『ID』と『パスワード』の変更をお願いしているそうです。

このような場合で不安になった場合、正規のサイトから問い合わせ電話番号を調べ、そこに電話で確認を行うことが安全と言えます。

くれぐれもお気を付けください。

なお、『Thunderbird』に関しては先月、Mozilla Foundationから同完全子会社のMZLA Technologies Corporationに移管されました。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、お休み前の金曜日となる今日は軽めにリリース情報をお伝えします。

Thunderbird 68.5とFirefox 73.0

まずはメールクライアントの『Thunderbird 68.5』からです。

＜Thunderbird 68.5＞

（新機能）

・IMAP/SMTPの『Client Identity』拡張への対応

・POP3アカウントの『OAuth 2.0』認証をサポート

（修正と変更）

・アカウントのセットアップ中にステータス領域が空白になる件を修正

・カレンダーのデフォルトカテゴリの色を削除できなかった件を修正

・カレンダーコンポーネントが複数回読み込まれないように修正

・カレンダーの今日のウィンドウがセッション間の幅を保持しなかった件を修正

・その他セキュリティ修正

次にブラウザソフトの『Firefox 73』です。

＜Firefox 73.0＞

（新機能）

・デフォルトのズームレベル設定を実装

・Windowsのハイコントラストモードが有効の場合にFirefoxの背景画像を無効した

（修正と変更）

・オーディオを再生するときのオーディオ品質を改善

・ログインフォームのフィールドが変更された場合にのみ、ログインの保存を求めるプロンプトを表示するように修正

・WebRenderにおいて432.00より新しいドライバーと1920×1200より小さい画面サイズのNVIDIAグラフィックカードを実行するWindows 10ラップトップを含むように拡張

・その他セキュリティ修正

以上のようになります。

また、法人向けの延長サポート版『Firefox ESR』も『Firefox ESR 68.5』がリリースされています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、お正月明け最初の週末となる今日はリリース情報です。

Firefox 72とThunderbird 68.4.1

まずはブラウザの『Firefox 72』からです。

＜Firefox 72＞

（新機能）

・クロスサイトトラッキング対策として、すべてのユーザーに対してデフォルトでフィンガープリントスクリプトをブロック

・迷惑な通知要求ポップアップを、すべてのユーザーにとってデフォルトで、ブラウジングが中断されることはなく、アドレスバーに吹き出しを表示

・動画をポップアップ画面表示する『Picture-in-Picture』がmacOSとLinuxでも利用可能になった

（修正と変更）

・さまざまなセキュリティ修正

・画像のブロックサポートは使用率が低く、ユーザーエクスペリエンスが低いため削除

（Firefox 72.0.1）

・『Firefox 72.0』リリース後、致命的な脆弱性が発見されたため『Firefox 72.0.1』をリリース

＜Thunderbird 68.4.1＞

※　Thunderbird 68.4.0はスキップされています。

（修正と変更）

・Microsoft Exchangeサーバーのアカウントを設定する際のさまざまな改善として、利用可能であればIMAP/SMTPを提供し、Office 365アカウントの検出を改善

（パスワード変更後に構成を再実行）

・ビューのレイアウトを変更した後、特定の状況でメッセージ表示ペインに文字化けしたコンテンツが表示されていた件を修正

・さまざまなセキュリティ修正

・未読アイコン、結果なしアイコン、段落形式とフォントセレクター、フォルダー概要ツールチップの背景を変更

・状況によって共有IMAPフォルダー内のメッセージでタグが失われていた件を修正

・カレンダーのイベント参加者ダイアログが正しく表示されていなかった件を修正

以上のようになります。

また、法人向けの延長サポート版『Firefox ESR』も『Firefox ESR 68.4』がリリースされ、これもリリース後に致命的な脆弱性が発見されたため『Firefox ESR 68.4.1』がリリースされています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、先々週末に投稿した『iOS13.2に続きiOS13.2.2公開』という記事に続いて今月2回目の『iOS』配信です。

概ね、多くのアプリケーションがアップデートされ始めると『iOS』のアップデートが近いですが、ここのところそういった雰囲気でした。

iOS13.2.3配信はバグ修正が中心

今回の『iOS 13.2.3』はバグ修正中心のアップデートとなっており、内容は以下のようになります。

・システムの検索と”メール”、”ファイル”、および”メモ”内の検索が動作しない場合がある問題を修正

・写真、リンク、およびその他の添付ファイルが”メッセージ”の詳細表示に表示されない場合がある問題に対処

・Appがバックグラウンドでコンテンツをダウンロードできない場合がある問題を修正

・”メール”のExchangeアカウントで、新規メッセージを取得すること、および元のメッセージの内容を引用して含めることができない場合がある問題を解消

前回の『iOS 13.2.2』と同様、現象が出ている方は『iOS 13.2.3』にアップデートした状態で様子見となるでしょう。

iOSのアップデートとは関係ないですが、Appleが12月2日にメディアイベントを開催すると報じられています。

次は何を発表してくれるのでしょうか。

iPhone向けには『iOS 13.2.1』はなく、『iOS 13.2.2』となります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、10日程前に『iOS 13.2』がリリースされ、今回も早い段階での『iOS 13.2.2』のリリースとなりました。

冒頭に書いた通り、iPhone向けには『iOS 13.2.1』はありません。

iOS13.2に続きiOS13.2.2配信開始

まず最初に、”iPhone向けに『iOS 13.2.1』がない”という件は、『iOS 13.2.1』が『HomePod』向けのアップデートとして公開されたためiPhoneにインストールすることができないことです。

本題の『iOS 13.2.2』に関してはiPhoneのバグ修正と機能改善になり、アップデート内容は以下になります。

・Appがバックグラウンドで実行中に予期せずに終了する場合がある問題を修正

・iPhoneで通話後にモバイル通信サービスを一時的に利用できなくなる場合がある問題を解決

・モバイルデータ通信を一時的に利用できなくなる場合がある問題に対処

・Exchangeアカウント間でS/MIME暗号化メールメッセージへの返信内容が読めなくなる問題を修正

・SafariでKerberosシングルサインオンサービスを使用すると認証要求が表示される場合がある問題に対処

・YubiKeyのLightning給電アクセサリで充電が中断される場合がある問題を解決

ようやくiPhoneでの『モバイルデータ通信』の不具合が修正されてきたようですから、該当する方は『iOS 13.2.2』にアップデートした状態で様子見となるでしょう。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨今のサイバー情勢においてパスワードに『123456』を使っているのであれば情報漏えいしてもやむを得ないと思いますが、逆に、情報漏えいしにくいパスワードを設定している人達はどのようなパスワードを設定しているのでしょうか？

米国ホワイトハッカーのパスワード

パスワードは12桁程度の文字数では10分程度で解読されてしまうと言われていますが、米国のホワイトハッカー達はその2倍程度のパスワードを設定しているとされています。

そして、この覚えられないくらい長さのパスワードは米国の政府職員においても行われていると言います。

彼らは『パスワード』を『パスワード』ではなく『パスフレーズ』としてパスワード設定を行っているとされており、『フレーズ化』されたものであればある程度長くても自分の決めたルールであれば普通に思い出せるということです。

これ、米国のホワイトハッカーの間では23桁以上の文字数であれば良いと言われているようで、『パスワード』を『フレーズ化』した『パスフレーズ』にして運用しているようです。

もちろん、いくつもそういった『パスフレーズ』を作っているわけではなく、利用するサービスごとに一定のルールを付与して運用しているようです。

この方法は日本語をローマ字にした場合にはさらに強固になり得ます。

英語で『TheFirstDogIsJohn』というパスワードを日本語でローマ字にした場合、『1BanmenoInuhaJohnDesu』といった感じになります。

『いち』という部分に数字を使ったり随所に大文字を混ぜているのも有効な方法で、『わ』ではなく『は』をローマ字にしているのもポイントです。

これに利用サービスの一部の文字と記号を混ぜてあげればかなり強固なものになります。

『Yaho@1BanmenoInuhaJohnDesu』や『Raku@1BanmenoInuhaJohnDesu』といった感じでのようにです。

とは言え、日本においてここまで行われるようになるのは遠い先の話しになるのかもしれません。

それだけセキュリティ意識の低さを感じています。

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、皆さんの会社にも『info@example.com』といった会社の代表用メールアドレスが設けられていると思いますが、それは有益なものとなっていますか？

それとも、百害あって一利なしなものとなっていますか？

infoアカウントなどはスパムの対象

『フィッシングメール』、『ウイルスメール』、迷惑な『営業・宣伝メール』などの多くは『info@example.com』などの会社の代表用メールアドレスに送られてくることが多くあります。

理由は簡単で、個人用のメールアドレスと違って『info@example.com』といったメールアドレスはどこの会社でも設けていることが多いからです。

しかし、この『info@example.com』といった会社の代表用メールアドレスに送られてくるものは『スパムメール』が大半を占めていませんか？

これ、そういった状態であっても設けていること自体は正しいとも言えます。

RFC（Request for Comments）というインターネット技術の標準的な仕様を記した文書において記述されているものでもあるからです。

インターネット上で電子メールの交換を行う組織は”少なくとも”組織内に存在する各機能に関しては対応するメールボックスを利用できるようにすることがとても望ましい。

（JPNIC / 一般社団法人日本ネットワークインフォメーションセンター訳）

このようにです。

ただし、あくまでも『とても望ましい』とされているに過ぎません。

従って、『スパムメール』の受け皿にしかなっていないのであれば無くしてしまうことも一つと言えます。

残すという選択をされるのであれば、少し運用方法を再考してみると良いかもしれません。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

ここ最近、少々しつこい『フィッシングメール』が複数拡散されていますので、今日はそれをお伝えします。

AmazonやLINEを騙るフィッシングメール

ここ最近で多く見受けられる『フィッシングメール』の中でも、『Amazon』に関するものの大半は中国からのものでした。

しかも、日本の中堅どころのレンタルサーバを経由しているものも複数見られました。

それらのレンタルサーバには『お試し期間』が設けられているため、それを利用していると推察されます。

また、『Amazon』を騙るものは複数拡散されており、

・『「緊急の通知」Amazoneプライムのお支払いにご指定のクレジットカード有効期限が切れています！』

・『アカウント情報検証を完成してください。』

・『これは、カードが期限切れになったか、請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。』

・『あなたの口座を24時間更新してください』

・『Amazon. co. jp にご登録のアカウント（名前、パスワード、その他個人情報）の確認』

・『Amazon Services Japan重要情報についての通知』

・『Amazon Services Japanアカウントを更新する最後の警告メール』

などの『件名』のものが見受けられます。

その他、『PayPal』、『ゆうちょ銀行』、『LINE』を騙る『フィッシングメール』は以下の『件名』のものがあります。

『PayPal』：『[大切] PayPal アカウントでの不審なログインアクティビティ-ケース』

『ゆうちょ銀行』：『ゆうちょ銀行からのご連絡』

『LINE』：『LINE【重要情報】』、『[LINE緊急問題] 』

どれも『フィッシングメール』ですので、間違ってもリンク部分をタップやクリックをしないようご注意ください。

さて、この『Password Checkup』とは？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本国内においてもウェブブラウザのシェアが半数を超える『Google Chrome』ですが、今回、スタンフォード大学の協力を得て『Password Checkup』というものを開発しました。

では、『Password Checkup』とは？

Password Checkupで漏えいチェック

さて、『Google Chrome』の拡張機能として登場した『Password Checkup』とは、名前の通りパスワードをチェックしてくれるものです。

Chromeブラウザでアクセスしているサイトへのログイン情報が第三者に漏えいしていないかをチェックしてくれ、入力したIDとパスワードが流出データと一致していれば警告を発するようになっています。

元々、Googleアカウントに限ってはパスワードの漏えいや悪用を検知するとパスワードが自動的にリセットされる仕組みになっており、その仕組みの効果もあってリスクは通常の1/10程度にまで抑えられているとされています。

今回リリースされた『Password Checkup』はこのGoogleアカウントの保護機能の仕組みを応用し、他のサイトにおけるログイン情報の漏えいなどを検知できるようにしたものです。

ログイン情報が流出したアカウントは40億以上もあるとされており、そういったアカウントの流出は自身ではなかなか気づかないものです。

そのため、今回リリースされた『Password Checkup』などを使うことで警告が発せられた時点で即座にパスワード変更などの対応を取ることができることから、不正利用などによるデータ侵害を未然に防ぐことが期待できそうです。

参考：『Google Security Blog “Protect your accounts from data breaches with Password Checkup”』

それは単なる他人事ではありません。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

このブログにおいても『アカウントの情報漏えいを確認』という記事にてご紹介したことがありますが、先日、各メディアでも取り上げられた『約7億7300万件のメールアドレス流出』以外にも、『約2122万件のパスワード流出』があったとされています。

これらの流出情報は闇ルートで流通し、拡散されています。

闇で流通するアカウントやパスワード

今回情報が公開されている『Have I Been Pwned（HIBP）』を運営しているのはセキュリティ研究者で、このセキュリティ研究者も自身のメールアカウントやパスワードが流出していたことを確認しています。

私も以前の『情報漏えいから派生するスパム』という記事を投稿した時点でメールアドレスを確認した際、メールアドレスやパスワードなどが流出していることが判明し、即座に見直しを行った記憶があります。

そして、新たに追加で公開されているものとして『Pwned Passwords』というものがあり、ここでは使用している（使用していた）パスワードが流出していたかが確認できます。

ただし、メールアドレスのチェックもパスワードのチェックも、過去に使用していた変更済みのものも含まれています。

これらの流出した情報は闇ルートで流通しているため、そのままにしておくことでさまざまな被害に遭うことを意味しています。

それを防ぐための警鐘とも言えます。

普段使用しているメールアドレスを変更してしまうことは取引先などとの関係もあり難しい場合もありますが、パスワードに関しては流出しているのであれば変更しなくてはいけません。

願わくば『パスワード生成ツール』などを使って解読されにくいパスワードを作成・使用し、パスワードの使い回しをしないことが重要です。

もちろん複雑なパスワードがいくつもあれば覚えておくことは難しいでしょうから、パスワード管理ツールなどを使って安全に管理しておくことも必要と言えるでしょう。