皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日は冒頭に書いた通り、『Google Chrome』、『Firefox』、『Thunderbird』がそれぞれアップデートされていますのでその情報をお伝えします。

Chrome Firefox Thunderbird がアプデ

＜Google Chrome 78＞

まずは『Google Chrome』です。

『Google Chrome』は『Chrome 77』から『Chrome 78』にアップデートされました。

今回のリリースでは、

・Native File System API、SMS Receiver APIといったAPIの追加

・その他の機能強化

・37件のセキュリティ修正

・XSS（クロスサイトスクリプティング）対策としてXSS Auditorの削除

が行われているようです。

＜Firefox 70 & Firefox ESR 68.2＞

『Firefox』は、『Firefox 70』と法人向け延長サポート版の『Firefox ESR 68.2』がリリースされています。

『Firefox 70』では、

・FacebookなどのSNSに対するトラッキング防止機能

・パスワード管理『Lockwise』でのパスワード生成機能

・アドレスバーでの安全でないサイト（ページ）に対するアイコン表示の変更

・OS側のダークモード設定に沿った反映

・13件の脆弱性修正

・ロゴマークの刷新

・Firefox Quantum ⇒ Firefox Browser

などが行われております。

また、ESR版の『Firefox ESR 68.2』はセキュリティ修正が主となっており、『Firefox ESR 60系』から自動更新（アップデート）されるようにもなっています。

（この関係でFirefoxを可としている銀行の対応ブラウザも更新されているようです。）

＜Thunderbird 68.2＞

最後に『Thunderbird 68.2』のリリースに関してです。

今回、『Firefox ESR 68.2』が『Firefox ESR 60系』自動更新（アップデート）されるようになったように、『Thunderbird 68.2』においても『Thunderbird 60系』からの自動更新（アップデート）に対応するようになりました。

それ以外では、

・Message Display WebExtension API、Message Search WebExtension APIといったAPIの追加

・ダークテーマ使用時の未読メッセージに対する改善

・メーリングリスト編集時の問題の修正

・macOSでのアドレス帳と通知の統合が機能しない問題の修正

・再起動後のアプリケーションウィンドウサイズの維持の問題の修正

などが行われています。

それは単なる他人事ではありません。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

このブログにおいても『アカウントの情報漏えいを確認』という記事にてご紹介したことがありますが、先日、各メディアでも取り上げられた『約7億7300万件のメールアドレス流出』以外にも、『約2122万件のパスワード流出』があったとされています。

これらの流出情報は闇ルートで流通し、拡散されています。

闇で流通するアカウントやパスワード

今回情報が公開されている『Have I Been Pwned（HIBP）』を運営しているのはセキュリティ研究者で、このセキュリティ研究者も自身のメールアカウントやパスワードが流出していたことを確認しています。

私も以前の『情報漏えいから派生するスパム』という記事を投稿した時点でメールアドレスを確認した際、メールアドレスやパスワードなどが流出していることが判明し、即座に見直しを行った記憶があります。

そして、新たに追加で公開されているものとして『Pwned Passwords』というものがあり、ここでは使用している（使用していた）パスワードが流出していたかが確認できます。

ただし、メールアドレスのチェックもパスワードのチェックも、過去に使用していた変更済みのものも含まれています。

これらの流出した情報は闇ルートで流通しているため、そのままにしておくことでさまざまな被害に遭うことを意味しています。

それを防ぐための警鐘とも言えます。

普段使用しているメールアドレスを変更してしまうことは取引先などとの関係もあり難しい場合もありますが、パスワードに関しては流出しているのであれば変更しなくてはいけません。

願わくば『パスワード生成ツール』などを使って解読されにくいパスワードを作成・使用し、パスワードの使い回しをしないことが重要です。

もちろん複雑なパスワードがいくつもあれば覚えておくことは難しいでしょうから、パスワード管理ツールなどを使って安全に管理しておくことも必要と言えるでしょう。

しかし、これに対して『パスワードの定期的な変更は不要』という考え方に変化してきています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

総務省の『国民のための情報セキュリティサイト』にある、『IDとパスワード　設定と管理の在り方』を紹介するページでは、『パスワードを複数のサービスで使い回さない（定期的な変更は不要）』という文言が出てきます。

これは以前の考え方から変化していますが、何故そのように変化したのでしょうか？

パスワードの定期的な変更は不要

一部のインターネット記事を見ると、これはNISC（内閣サイバーセキュリティセンター）の見解を受けて変更されたようです。

しかし、NISCも他での見解を受けて方針を変更したのではないでしょうか？

約1年程前、米政府機関である『NIST（National Institute of Standards and Technology/アメリカ国立標準技術研究所』が発行する『電子認証に関するガイドライン』の新版からルールを変更するとされていました。

（参考：電子的認証に関するガイドライン by NIST）

これは、ユーザーに新しいパスワードへの変更を求めてもいい加減に作る傾向にあり、特別な理由がない限りはパスワード変更を求めるべきではないという考え方が専門家の間でも増えてきたこともあります。

また、NISTでは定期的なパスワード変更を止める代わりとして、最低64文字でスペースも入れられる『パスフレーズ』を推奨するとしています。

では、パスワード設定はどのように行うか？

パスワード生成を自動で行ってくれるツールを使うと良いです。

このようなものを使えば、個人に関連する情報が一切含まれず、英字の大文字・小文字、数字、記号、文字数、強度などを選択しながらパスワード生成を行うことができますので、非常に解読されにくいものであると言えます。

（参考：パスワードジェネレータ/Norton by Symantec）

そして、これを適切に管理さえしていれば、推測されやすいパスワードの定期的な変更よりも適切なものであると言えるでしょう。