皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

最近、投稿が出来ない日が結構増えてきていますが、世の中の状況などもあり、暫くはこのような状況が続く可能性があります。

さて、冒頭に書いた通り、『Firefox 74』において致命的な脆弱性が発覚し、既に悪用事例も出ているということですのでご紹介します。

Firefox74で致命的な脆弱性発覚

配信されたのは今朝ほどでしょうか。

今回の脆弱性ですが、特定の条件下において解放後メモリ使用（Use-after-free）によって競合状態が発生するというものです。

深刻度は最高の『Critical（クリティカル）』とされており、これを悪用した攻撃も確認済みということで、早急な対応が求められています。

通常版：Firefox 74.0.1

企業向け延長サポート（ESR）版：Firefox 68.6.1 esr

このバージョンにて修正されています。

また、3月にリリースされた『Firefox 74』においては『TLS 1.0/1.1』のサポートが廃止されていることも付け加えておきます。

ご参考までに

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は冒頭に書いた昨日の記事『Chrome 80でECサイトに影響』の続きです。

Chrome 80の登場とECサイト対策

昨日の記事の最後では、

ECサイトなどにおいてこの『SameSite属性』が指定されていない場合、・・・中略・・・ECサイトなどによっては『ログイン情報が保持できない』、『カートの商品が保持できない』、『複数商品が購入できない』などといったことが起こる可能性があります。

これ以外にも問題が発生し得る条件などがあり・・・

ということを書きましたが、その条件というのは『クロスサイト（異なるドメイン（複数サイト）間）』での挙動に関してということになります。

具体的には『ドメインA』でログインし、その後に『ドメインB』に遷移する挙動がある場合などです。

このケースにおいては『SameSite属性』によって対応が異なります。

＜SamteSite=None＞

・SSL化（HTTPS化）されていること

・Cookie（クッキー）にSecure属性が付与されていること

この2点が満たされていれば今まで通り動作します。

＜SameSite=Lax＞

※　ECサイト側で指定がない場合はGoogle Chromeの既定値となる『SameSite=Lax』となります。

・『SameSite=None』に変更して対応

・『SameSite=Lax』を使用する場合、『サイト全体の常時SSL化（HTTPS化）』＋カートボタンなどの『method属性』を『post』から『get』に変更して対応

＜SameSite=Strict＞

セキュリティレベルが3つの中で一番高いもので、主に金融機関などで用いられると考えられるため割愛します。

大まかには以上のよう感じです。

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭に書いた通り『Google Chrome 80』がリリースされたわけですが、『Google Chrome』はこのバージョンから『プライバシー保護』などを目的に一部仕様が変更されます。

（実際には約2週間後あたりのマイナーアップデートから段階的に行われるようです。）

今回の仕様変更は『ECサイト』などに影響しますので、今日はそれをご紹介します。

Chrome 80がECサイトに与える影響

今回の『Google Chrome 80』では『Gookie（クッキー）』というブラウザに一時保存されたデータの動作が変更になります。

つまり、『ログイン』や『カート』に入っている商品などの情報を『Gookie（クッキー）』を使って保持している『ECサイト』などにおいては影響が出るわけです。

では、『Google Chrome』における『Cookie（クッキー）』の扱いはどのような変更がされるのか？

『Google Chrome』には、CSRF（cross-site request forgeries：クロスサイトリクエストフォージェリ）という攻撃からユーザーを保護するため『SameSite』という『Cookie（クッキー）』に付与される属性があります。

この属性には3つのものがあり、

None　⇒　Lax　⇒　Strict　の順にセキュリティレベルが厳格になっていきます。

そして、ECサイトなどにおいてこの『SameSite属性』が指定されていない場合、『Google Chrome』からアクセスした際の『Cookie（クッキー）』の扱いが『Google Chrome 79以前』の既定値『None』から『Google Chrome 80以降』では『Lax』に変更されるため、ECサイトなどによっては『ログイン情報が保持できない』、『カートの商品が保持できない』、『複数商品が購入できない』などといったことが起こる可能性があります。

これ以外にも問題が発生し得る条件などがありますが、それに関してはまた後日お伝えしたいと思います。

今日のところはこの辺で。。。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、日本時間の今日、Google（グーグル）がデスクトップ版のブラウザーソフト『Chrome 76』をリリースしたわけですが、それには今後重要視されそうな新たな機能が追加されています。

Chrome76で搭載されたPWAとは

『PWA』とは『Progressive Web Apps』の略で、Webアプリをインストールしてネイティブアプリのように扱えるようにするものです。

今回の『Google Chrome 76』ではその『PWA（Progressive Web Apps）』のサポートが改善され、アクセスした閲覧ページが『PWA』として利用可能と検出された場合には『オムニバー』にインストールボタンが表示されるようになりました。

それをクリックすると、利用中のWebアプリを簡単に『PWA』としてインストールすることができます。

そして、まだまだ『PWA』に対応しているところは少ないかとは思いますが、Webサイトによっては早い段階で『PWA』を検討されることがお勧めです。

もう1つ、今回のリリースではそれ以外にもOSの設定にあわせてWebページのデザインを『ダークモード』へ変更できるようにする『prefers-color-scheme』というメディアクエリなどが新たにサポートされるようになっています。

ここ最近、『ダークモード』も結構重要視されているようですのでありがたいメディアクエリです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、Microsoftが『Windows Insider Program』のFastリングに参加するユーザーに公開したものによると、Windows 10 の次期バージョン『Windows 10 19H1』では『Windows Sandbox』という新機能が搭載されることがわかりました。

では、この『Windows Sandbox』ではどのようなことが可能になるのでしょうか？

Windows10 19H1でSandboxを搭載

冒頭で書いた通り、『Sandbox』というのは外側に影響を与えないようにアプリケーションなどを安全に動作させるための保護領域になります。

つまり、信頼できるかどうかわからないソフトを保護された仮想環境で試すことが可能となり、その外側にある通常の環境には一切影響を及ぼさないというものです。

『Windows Sandbox』の場合、終了すると仮想環境内で行われたすべての変更は失われる仕組みになっているようで、都度、使い捨てのような形で使用することができる環境となっているようです。

この『Windows Sandbox』を使うには『Windows 10 Pro』か『Windows 10 Enterprise』が必要となり、デフォルト（初期値）では無効になっていることから『Windowsの機能の有効化（無効化）』において『有効化』する必要はあります。

また、仮想環境にも工夫がされているようで、『Windows Sandbox』の場合においてはディスク容量を25MB足らずしか占有せず、実行時においても約100MB程度という軽量な環境となっているなど、リソースに対しても配慮されたものとなっているようです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

e-Taxを使って電子申告をする際、財務諸表（XBRL）に手入力するのは非常に面倒な作業です。

それが理由かどうかは不明ですが、国税庁は利便性を考慮し、CSV形式のデータから組み込みを行えるものを用意しています。

e-TaxにおけるCSV財務諸表等の組み込み

e-Taxには貸借対照表から個別注記表までを手入力で作成する『財務諸表』は帳票として用意されており、それ以外にも、XBRL形式の外部データを組み込むことは以前からも可能でした。

少し前に追加されたのは、CSV形式の外部データを電子申告用のXBRL形式のデータに変換するという機能になります。

しかし、これも結果的には勘定科目の置き換えが必要になる場合があります。

e-Taxの帳票として用意されている財務諸表では『基礎勘定科目』と『拡張勘定科目』があり、勘定科目名称として同一のものがない場合は類似の勘定科目を検索し、それに置き換えて入力することになっていますが、外部データを組み込む場合においてもこれは変わらないという現実があります。

従って、CSV形式のデータに切り出せる会計ソフトを使っていたとして、それを使ってe-Taxに組み込もうとした場合においても勘定科目の置き換えが発生する可能性はあるということです。

確かに手入力するよりは利便性の向上は図られていますが、置き換えをしなければいけない点を考えると少々片手落ちなものに感じます。

また、個別注記表のようにテキスト文字が必要となるものに関してはかなり少ない文字数の制限があるため、作成された決算書の内容をそのままe-Taxにて送信することは難しいものと思われます。

電子申告が始まる前は紙であったことを考えると、そのあたりが考慮されていないことは非常に疑問です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

ある程度の方はセキュリティ（ウイルス対策）ソフトが原因でアプリケーションソフトを正常にインストールできなかった経験をお持ちかもしれません。

しかし、このセキュリティ（ウイルス対策）ソフトが原因となってしまう問題はそれだけではありません。

セキュリティソフトが原因で起こる問題

例えば、Windows 10などにおいては『Windows Defender』というセキュリティが標準で用意されていますが、通信を必要とするアプリケーションなどにおいては設定を変更したり、場合によっては一時的にファイアウォールを無効にした状態で作業をしないと前に進められないものもあります。

これはセキュリティ専門のメーカーが出しているセキュリティ（ウイルス対策）ソフトでも同じで、最悪は、一度それをアンインストール（削除）してみないとわからないというケースもあります。

細かいところで言えば、Google ChromeやFirefoxなどのブラウザソフトに用意されている拡張機能などに影響が出る場合もありますし、SSL/TLS証明書とセキュリティ（ウイルス対策）ソフトの絡みで影響が出る場合もあります。

先日、こんなケースに遭遇しました。

WordPressの本体更新やプラグインの更新において、『内部的には正常にダウンロードされて終了までたどり着いているものの、表示的にはダウンロード中で止まってしまっているように見える』というものです。

これ、結果的にはGoogle Chromeに拡張機能が加わった状態にて、セキュリティ（ウイルス対策）ソフト側に特定のWebサイトのSSL/TLS証明書がセキュリティ（ウイルス対策）ソフトに登録されていたことが影響していました。

こういったレアなケースもあったりしますので、パソコンにおけるトラブルの場合、一度はセキュリティ（ウイルス対策）ソフトが起因していることを疑ってみるのも必要と言えるでしょう。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、最近ではかなり聞きなれてきたAI（人工知能）ですが、大手企業ではこんな使われ方をしています。

Googleが実施したAIの活用術とは

Googleが実施したAIの活用は自社のデータセンターです。

データセンターと言えば、非常に多くのサーバの集合体のようなものですから、かなりの熱を発します。

つまり、その熱を冷やしてあげないといけません。

そのデータセンターの冷却システムにAIを採用したのです。

2年程前の段階ではありますが、データセンターの冷却システムにAIを採用した結果、電力が約40%削減できたと発表しています。

しかし、この当時AIは対策の推奨を行っていただけで、それを実施していたのはAIではありませんでした。

そこで今回、AIが直接冷却システムを制御できるように改良が加えられ、開始から数ヵ月の段階で、平均約30%の省電力化が実現できたとされています。

現時点で約30%であったとしても、AIの学習が進めばさらなる省電力化がなされることが期待できます。

このようなAIの活用は他でも利用可能とGoogleは言います。

以前の記事でご紹介したように、パソコンのウイルス対策ソフトにAIを導入し、ソフトウェアを提供しているところもあります。

今後、AIはさまざまなところで活用されると思われますが、それがどこまで進化していくのかは未知数かもしれません。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

間もなく多くの企業がお盆休みに入ります。

そこで、今日は長期休暇中の情報セキュリティ対策に関してお話しします。

長期間中の情報セキュリティ対策

まず、長期休暇に入る前には緊急時の体制や対応手順などの再確認を行っておくと良いです。

また、長期的に使用しないもので、電源をOFFにしても問題のない機器類は電源をOFFにしておくのも良いです。

次に、長期休暇明けの対応ですが、休み明けの最初の行動は以下が望ましいです。

１．Windows OSや利用ソフトのセキュリティ更新などがリリースされている場合がありますので、それらを確認の上、修正プログラムの適用を行う。

２．セキュリティソフトの定義ファイル更新を最新に更新する（自動の場合はWindows起動後に更新される場合も多いです）。

３．情報セキュリティ担当者は不正なアクセスがなかったかのログ確認を行う。

このようなことは最低限行いたいところです。

その他、PCやUSBメモリなどを社外に持ち出す場合、社外でのウイルス感染や情報漏えいなどに十分注意し、返却時においてもウイルスチェックなどを行い、問題が起きていないかを十分に確認した上で社内ネットワークに接続を行うことが望ましいです。

最後に、長期休暇明けのメールにも十分気をつけてください。

長期休暇中はメールが溜まっていることが多く、誤って問題のあるメールの添付ファイルを開いてしまったり、本文中のリンクURLをクリックしてしまったりすることなどを狙ってウイルスメールなどが送られていることもありますので、こちらも十分な注意が必要です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

あるセキュリティベンダーの調査レポートによると、IEやエクスプローラーになりすますウイルスによる感染被害が日本でも出ています。

今日はそれについてお伝えします。

IE・エクスプローラーへのなりすましウイルス

このウイルスは『URLZone』というもので、存在そのものは10年以上前に見つかったものですが、数年前まではヨーロッパを中心とした被害であったものが、ここ最近は日本が中心になっているようです。

特徴としては、IEやエクスプローラーになりすますことと、サンドボックス環境でのウイルスを検知がしにくいこととされています。

感染経路の一つはメールで、『注文書や請求書』など、業務関連のメールに見せかけたメールに添付されている文書ファイルなどから感染することが明らかになっています。

詳細な内容はさておき、このようなウイルスへの感染を防ぐには、受信したメールをよく確認することです。

差出人、件名、本文、これらを見て、普段から取引のある相手であれば差出人であるメールアドレスはわかりますし、件名や本文に関しても書き方には特徴があるはずです。

それらが不明なものであったり、怪しいものである場合には間違いなく添付ファイルをクリックしてはいけません。

社内ルール的に可能であれば、『Firefox Send』などを使い、暗号化されたストレージ経由にて書類の受け渡しを行うなどし、メールではファイルの受け渡しを行わないようにすることも被害を防ぐ方法の一つです。

普段から無意識にメールのやりとりを行われている事業者の方、一度、社内のルールを見直してみてはいかがでしょうか。