あなたの企業は大丈夫でしょうか？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭のVPNの認証情報が流出した件、このようなことが起きていてはVPN接続をしている意味がなくなってしまいます。

しかし、この問題はごく単純なものでもあるようです。

VPNの認証情報などが流出した理由

『COVID-19（新型コロナウイルス感染症）』の影響で、社外から組織内部へのアクセスにはVPNが使われています。

しかし、今回は結構な大手企業の情報も流出していると報道されています。

この原因は、脆弱性を修正したパッチを当てていなかったことと報道されています。

メーカーやセキュリティ機関では繰り返し注意喚起を行ってきたようですが、残念ながら修正パッチを当てていなかった企業が狙われてしまったということです。

このように、セキュリティ上の脆弱性は常に最新の修正パッチを適用しておく必要性がありますが、今回のようなことが大手企業でも起こるということは人的リソースに余裕がないのでしょうか？

いずれにしても今後も在宅勤務などのテレワークは続きます。

今一度見直しをされることが必要となりそうです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日はメジャーバージョンアップ版の『WordPress 5.5 “エクスタイン”』がリリースされていますので、それについてお伝えします。

WordPress 5.5 “エクスタイン”について

今回リリースされた『WordPress 5.5 “エクスタイン”』では、スピード、SEO、セキュリティの3つを中心に改善・向上が行われています。

＜スピード＞

画像の遅延読み込みのおかげで、投稿と固定ページがより高速に感じられます。

画像はストーリーに大きなインパクトを与えますが、サイトを遅く見せることもあります。

WordPress 5.5では、画像がスクロールして表示されるまで画像の読み込みを待機させます。技術用語では「遅延読み込み (lazy loading)」といいます。

モバイルでは、遅延読み込み機能がブラウザーが他の端末向けに用意されたファイルを読み込まないようにすることもできます。これによって読者のデータ費用を節約し、バッテリーの寿命を延ばすことができます。

＜SEO＞

新しいサイトマップが登場しました。

WordPress サイトは検索エンジンとうまく連携します。

WordPress 5.5ではデフォルトで XML サイトマップが含まれるようになり、サイトが公開されたらすぐに検索エンジンが最も重要なページを発見できるようになります。

これで、より多くの人がより早くあなたのサイトを見つけられます。そして、訪問者のエンゲージメント向上、維持、購読者や顧客へのコンバージョンなど、設定した定義に合った成功に向かうための時間をもっと確保できます。

＜セキュリティ＞

プラグインとテーマの自動更新

プラグインやテーマを自動的に更新するか、もしくはしないかを、WordPress の管理画面から設定できます。これで、サイトが常に最新のコードを実行していないというようなことはなくなります。

また、いつも見慣れた画面上で、インストールしたプラグインやテーマごとに自動更新のオンとオフを切り替えることもできます。

ZIP ファイルをアップロードして更新

プラグインやテーマを手動で更新したい方にとっても、作業がより簡単になりました。ZIP ファイルをアップロードするだけです。

＜ブロックエディターのハイライト＞

ブロックパターン

新しいブロックパターンを使えば、テキストとメディアを組み合わせて、ストーリーに合った複雑で美しいレイアウトを簡単かつ楽しく作ることができます。

必要なブロックを見つけるのがこれまでになく簡単になりました。新しいブロックディレクトリはブロックエディターに直接組み込まれているため、エディターを離れることなく、新しいブロックタイプをサイトにインストールできます。

新しいブロックライブラリ

簡単に必要なブロックを見つけることができるようになりました。新しいブロックディレクトリはブロックエディターに組み込まれているので、エディターから離れることなく新しいブロックタイプをサイトにインストールすることができます。

インライン画像編集

画像ブロックから直接、写真を切り抜き、回転、ズームできます。画像に多くの時間を費やしていた方は、これでかなり時間を節約できます。

＜アクセシビリティ＞

すべてのリリースでパブリッシングエクスペリエンスのアクセシビリティを改良してきましたが WordPress 5.5も例外ではありません。

メディア画面とモーダルダイアログのリンクをボタンでコピーできるようになりました。テキスト行をハイライトする必要はありません。

また、キーボードでメタボックスを動かしたり、画像エディターで指示を読み上げられるので、支援デバイスを使ってWordPressで画像を編集することもできます。

以上の内容となります。

（開発者向け情報は割愛しました。)

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は先日の『iOS 13.5』のリリース情報に続く『iOS 13.5.1』のリリース情報です。

iOS 13.5.1のアプデ内容

今回の『iOS 13.5.1』は『重要なセキュリティアップデート』と『バグ修正』です。

『iOS 13.5』がリリースされた直後、『iOS 13.5』が搭載されたiPhoneなどが『脱獄』できてしまうことが指摘されていました。

それに対する修正が行われたことが『重要なセキュリティアップデート』の内容です。

それ以外には、『iOS 13.5』へのアップデートを行ったことにより『バッテリー消費が激しくなった』という、『iOS』ではよく指摘される問題があがっていたようで、その問題も修正されているようです。

2週間も経たずにリリースされた『iOS 13.5.1』ではありますが、今回は『重要なセキュリティアップデート』が含まれていることもあり、『iOS 13.5』を様子見した方もアップデートされた方も、どちらも『iOS 13.5.1』にアップデートされることがお勧めです。

また、同時に『iPadOS 13.5.1』、『watchOS 6.2.6』、『tvOS 13.4.6』、『HomePod 13.4.6』のリリースも行われているようです。

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

16日（月）、17日（火）と、『投稿お休みの連絡』すら投稿できませんでしたが、たまにはそういうこともありますのでご容赦を．．．

さて、現代のデジタル社会においては『これもありかもしれない』というサービスがあります。

『卒業証書』です。

卒業証書をオンラインで授与する

今、『新型コロナウイルス感染症』の影響で『卒業証書授与式』が行えない教育機関もあるため、『卒業証書』をオンラインで授与できるサービスを期間限定で無償提供するという企業があります。

基本的には紙媒体をデジタル化し、正規の証明とセキュリティが担保するというものでしょう。

これ、結構便利かもしれません。

今回の期間限定無償提供はさておき、企業によっては履歴書に書かれている学歴を正とし、教育機関が発行する『卒業証明書』をエビデンスとして求めないケースもあるでしょう。

しかし、そういったケースにおいては『学歴詐称』などを見逃してしまうことにもなりかねません。

であれば、教育機関が紙の『卒業証書』とデジタルの『卒業証書』をそれぞれ授与し、デジタルの『卒業証書』を就職先企業などへ送れば良いのではないでしょうか。

もちろん、これは教育機関と紐づいたデジタルIDを含めることができますので公的に検証できますし、スマートフォンへの保存、SNSなどへのアップロード、メール添付での送信も可能です。

LasTrust株式会社というベンチャー企業が行っている『ブロックチェーン証明書』というもので、他の資格などの証明も行っているようです。

なお、『Thunderbird』に関しては先月、Mozilla Foundationから同完全子会社のMZLA Technologies Corporationに移管されました。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、お休み前の金曜日となる今日は軽めにリリース情報をお伝えします。

Thunderbird 68.5とFirefox 73.0

まずはメールクライアントの『Thunderbird 68.5』からです。

＜Thunderbird 68.5＞

（新機能）

・IMAP/SMTPの『Client Identity』拡張への対応

・POP3アカウントの『OAuth 2.0』認証をサポート

（修正と変更）

・アカウントのセットアップ中にステータス領域が空白になる件を修正

・カレンダーのデフォルトカテゴリの色を削除できなかった件を修正

・カレンダーコンポーネントが複数回読み込まれないように修正

・カレンダーの今日のウィンドウがセッション間の幅を保持しなかった件を修正

・その他セキュリティ修正

次にブラウザソフトの『Firefox 73』です。

＜Firefox 73.0＞

（新機能）

・デフォルトのズームレベル設定を実装

・Windowsのハイコントラストモードが有効の場合にFirefoxの背景画像を無効した

（修正と変更）

・オーディオを再生するときのオーディオ品質を改善

・ログインフォームのフィールドが変更された場合にのみ、ログインの保存を求めるプロンプトを表示するように修正

・WebRenderにおいて432.00より新しいドライバーと1920×1200より小さい画面サイズのNVIDIAグラフィックカードを実行するWindows 10ラップトップを含むように拡張

・その他セキュリティ修正

以上のようになります。

また、法人向けの延長サポート版『Firefox ESR』も『Firefox ESR 68.5』がリリースされています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今朝、ニュース記事を見ていた流れで面白い記事にたどり着きました。

それは、コンピュータ関連製品大手の『IBM』が従業員向けに実施した生産性と満足度の調査でした。

WindowsよりMacを選択した従業員

今朝読んだ記事によると、IBMが過去4年間に渡って導入した『Apple』製品に対する成果が掲載されていました。

それによると、IBM社内で従業員が使用する『Windows PC』を『Mac』に切り替えたところ、従業員の『生産性』と『満足度』が大幅に増加したとされています。

この調査では、社内のサポートスタッフに支援を求める従業員の割合が『Windows PC』では40%であったのに対し『Mac』を使っているその割合は5%という結果となったようで、その結果として社内のサポートスタッフを大幅に削減することができたそうです。

確かに、『Windows PC』に比べると『Mac』はOSのアップデートなども更新が簡単で、『iPhone』などのApple製デバイスを使っている人にとっては『クロスプラットフォーム』での連携性は非常に使い勝手が良いと感じるのも納得できます。

また、セキュリティ面を考えても『macOS』の方が優れているという意見もあり、アップデート時のトラブルも少ないともされています。

（WindowsがmacOSより市場シェアが大きいことで攻撃対象となりやすいという意見もあります。）

『Windows PC』に比べると『Mac』の方が初期投資額が高くなるとは言えますが、後々のサポートなども含めたトータルで考えた場合においては『Mac』の方がコスト削減にもなるということも言えるのかもしれません。

このセキュリティ更新プログラムには深刻度が『緊急』のものが含まれていますので、早急なアップデートが望まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日はMicrosoft（マイクロソフト）からリリースされている月例パッチ（セキュリティ更新プログラム）に関してお伝えします。

（例によって深刻度『緊急』のものが含まれています。）

2020年1月のセキュリティ更新プログラム

前述の通り、今回の月例パッチ（セキュリティ更新プログラム）にも深刻度が『緊急』のものが含まれています。

脆弱性を悪用された場合、リモートからの攻撃により任意のコードが実行されるなどの危険性がありますので、早急なアップデートが望まれます。

以下が今回のアップデート対象製品です。

・Microsoft Windows

・Internet Explorer

・Microsoft Office、Microsoft Office Services および Web Apps

・ASP.NET Core

・.NET Core

・.NET Framework

・OneDrive for Android

・Microsoft Dynamics

また、深刻度が『緊急』のものには以下のものがあります。

・ASP.NET Core のリモートでコードが実行される脆弱性

・.NET Framework のリモートでコードが実行される脆弱性

・Windows RDP ゲートウェイ サーバーのリモートでコードが実行される脆弱性

・リモート デスクトップ クライアントのリモートでコードが実行される脆弱性

・Internet Explorer のメモリ破損の脆弱性

・.NET Framework のリモートでのコード実行の挿入の脆弱性

以上となります。

また、Windows 7、Windows Server 2008 / 2008 R2 はサポート終了ではありますが、1月14日（米国時間）に最後のセキュリティパッチが配信されていますのでご注意を。

今回のリリースは4件のセキュリティ修正を含む『Security and Maintenance』リリースです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の今日、『WordPress』の更新版『WordPress 5.3.1』が公開されました。

今日はそのニュースをお伝えします。

WordPress 5.3.1セキュリティ&メンテ

さて、今回のリリースは『WordPress 5.3以前のバージョン』で影響を受けるとされるセキュリティ修正、バグ修正、機能強化となります。

『更新を強く推奨する』といったコメントではなく、『アップグレードする必要がある』というコメントが掲載されているため、アップデートすべきでしょう。

以下、アップデートの内容です。

＜セキュリティアップデート＞

・非特権ユーザーがREST APIを介して投稿をスティッキーにする可能性のある問題を修正

・クロスサイトスクリプティング（XSS）が巧妙に作成されたリンクに保存される可能性のある問題を修正

・wp_kses_bad_protocol（）を強化して、名前付きコロン属性を認識できるようにするための修正

・ブロックエディターのコンテンツを使用して、保存されたクロスサイトスクリプティング（XSS）の脆弱性を修正

＜メンテナンスアップデート＞

・管理：管理フォームコントロールの高さおよびアライメントの標準化の改善、ダッシュボードウィジェットリンクのアクセシビリティ、および代替カラースキームの読みやすさの問題を改善

・ブロックエディター：Edgeのスクロールの問題と断続的なJavaScriptの問題を修正

・バンドルテーマ：作成者の略歴を表示/非表示にするカスタマイザーオプションを追加し、JSベースのスムーズスクロールをCSSに置き換え、Instagram埋め込みCSSを修正

・日付/時刻：非GMT日付の計算を改善し、特定の言語での日付形式の出力を修正し、get_permalink（）をPHPタイムゾーンの変更に対してより回復力のあるものにする

・埋め込み：サービスが存在しないため、CollegeHumor oEmbedプロバイダーを削除する

・外部ライブラリ：sodium_compatを更新する

・サイトの正常性：管理者の電子メール検証のリマインド間隔をフィルタリングできる

・アップロード：ファイル名が一致する場合、サムネイルが他のアップロードを上書きしないようにし、アップロード後にPNG画像をスケーリングから除外する

・ユーザー：管理メールの確認で、サイトロケールではなくユーザーのロケールが使用されていることを確認する

・その他

以上のようになっています。

例によって早めの段階で『WordPress 5.3.1』へアップデートされることがお勧めです。

このセキュリティ更新プログラムには深刻度が『緊急』のものが含まれていますので、早急なアップデートが望まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日はMicrosoft（マイクロソフト）からリリースされている月例パッチ（セキュリティ更新プログラム）に関してお伝えします。

（例によって深刻度『緊急』のものが含まれています。）

2019年12月のセキュリティ更新プログラム

前述の通り、今回の月例パッチ（セキュリティ更新プログラム）にも深刻度が『緊急』のものが含まれています。

脆弱性を悪用された場合、リモートからの攻撃により任意のコードが実行されるなどの危険性がありますので、早急なアップデートが望まれます。

以下が今回のアップデート対象製品です。

・Microsoft Windows

・Internet Explorer

・Microsoft Office、Microsoft Office Services および Web Apps

・SQL Server

・Visual Studio

・Skype for Business

また、深刻度が『緊急』のものには以下のものがあります。

・Git for Visual Studio のリモートでコードが実行される脆弱性

・Win32k Graphics のリモートでコードが実行される脆弱性

・Hyper-V のリモートでコードが実行される脆弱性

以上となりますが、今回の更新プログラムに含まれる『Microsoft Graphics コンポーネントの特権の昇格の脆弱性（CVE-2019-1458）』については脆弱性の悪用を確認しているようですから、セキュリティ更新プログラムの早期適用をお勧めします。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は実在の人物や組織になりすましたメールを送り付け、添付ファイルを開くことでウイルスに感染する『Emotet（エモテット）』に関する注意喚起です。

なりすましメールでの感染に注意

JPCERTコーディネーションセンターによると、このマルウエア『Emotet（エモテット）』は主にメールに添付された『Word形式のファイル』を実行し、コンテンツの有効化を実行することで感染に繋がることが分かっているそうで、実際に感染に繋がる可能性のあるメールの例は以下のようになっているとされています。

・メールアカウント名＜実際の送信元アドレス＞

・RE：実際に送受信したメールの件名

・メールの受信者名

・Word形式の添付ファイル

・メール本文

・感染したメールアドレス

・実際に受信したメール本文

・実際に受信したメールに含まれる履歴

このような感じになっているようですが、確かに実際にやりとりしたメール履歴からの返信メールを装われていると表面的には疑わないかと思います。

これは、マルウエア『Emotet（エモテット）』が窃取した情報などを元に独自に作成されているものに加え、実際の組織間のメールのやりとりの内容を転用することで、感染元から送信先への返信を装うものがあるとされているため、注意が必要です。

そして、添付ファイルにはコンテンツの有効化を促す内容が記載されているようで、有効化してしまうと『Emotet（エモテット）』がダウンロードされてしまいます。

※　Wordの設定によっては有効化の警告が表示されずに『Emotet（エモテット）』がダウンロードされる場合もあります。

この『Emotet（エモテット）』に感染した場合、次のような影響が発生する可能性があるとされています。

・端末やブラウザに保存されたパスワード等の認証情報が窃取される

・窃取されたパスワードを悪用され SMB によりネットワーク内に感染が広がる

・メールアカウントとパスワードが窃取される

・メール本文とアドレス帳の情報が窃取される

・窃取されたメールアカウントや本文などが悪用され、Emotet の感染を広げるメールが送信される

また、『Emotet（エモテット）』の感染予防対策などとしては、次のようなことを検討します。

・組織内への注意喚起の実施

・Word マクロの自動実行の無効化 ※

・メールセキュリティ製品の導入によるマルウエア付きメールの検知

・メールの監査ログの有効化

・OS に定期的にパッチを適用 (SMBの脆弱性をついた感染拡大に対する対策)

・定期的なオフラインバックアップの取得（標的型ランサムウエア攻撃に対する対策）

※ Microsoft Office Word のセキュリティセンターのマクロの設定で、「警告を表示してすべてのマクロを無効にする」を選択する。

もし感染してしまった場合、

・感染した端末のネットワークからの隔離

・感染した端末が利用していたメールアカウントのパスワード変更

・ 組織内の全端末のウイルス対策ソフトによるフルスキャン

・感染した端末を利用していたアカウントのパスワード変更

・ネットワークトラフィックログの監視

・調査後の感染した端末の初期化

これらの対応も必要になってきます。

ご注意ください。