皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

16日（月）、17日（火）に続き、19日（木）も何もできませんでしたがご容赦ください。

さて、今日は冒頭に書いた『楽天カード』の『フィッシング詐欺』メールに関してお伝えします。

楽天カードの詐欺メールが拡散される

昨日の日曜日、『楽天カード』を騙る『フィッシング詐欺』と思われるメールが非常に多く拡散されたようです。

最近は内容が非常に巧妙化しているため見分けづらいところではありますが、必ずどこかに問題の箇所は存在します。

例えば今回の場合、楽天カード側の不正利用検知システムによって第三者による不正利用を検知したため連絡をして欲しいというメールで、連絡先の『信用管理グループ モニタリングチーム』という部署も実際に存在しますし、記載の電話番号をインターネットで検索すると、実際に電話を掛けて問題がないことを確認できてホッとしたというブログ記事なども散見されます。

それにプラスし、文末の楽天カード株式会社へのリンクも正規の楽天カードへのリンクが張られています。

しかし、メッセージをテキストではなく『HTML』で表示させた場合には一箇所だけ問題のある誘導リンクが張られているところがあります。

今回のメールには『クリックしてアカウント確認を入力します』とされており、その先の偽サイトにて『ID』や『パスワード』を盗み取る手法のようです。

（冒頭下部の画像を参照）

楽天カードのコールセンターによると非常に多く拡散しているとのことで、念のために『ID』と『パスワード』の変更をお願いしているそうです。

このような場合で不安になった場合、正規のサイトから問い合わせ電話番号を調べ、そこに電話で確認を行うことが安全と言えます。

くれぐれもお気を付けください。

今回のリリースは4件のセキュリティ修正を含む『Security and Maintenance』リリースです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の今日、『WordPress』の更新版『WordPress 5.3.1』が公開されました。

今日はそのニュースをお伝えします。

WordPress 5.3.1セキュリティ&メンテ

さて、今回のリリースは『WordPress 5.3以前のバージョン』で影響を受けるとされるセキュリティ修正、バグ修正、機能強化となります。

『更新を強く推奨する』といったコメントではなく、『アップグレードする必要がある』というコメントが掲載されているため、アップデートすべきでしょう。

以下、アップデートの内容です。

＜セキュリティアップデート＞

・非特権ユーザーがREST APIを介して投稿をスティッキーにする可能性のある問題を修正

・クロスサイトスクリプティング（XSS）が巧妙に作成されたリンクに保存される可能性のある問題を修正

・wp_kses_bad_protocol（）を強化して、名前付きコロン属性を認識できるようにするための修正

・ブロックエディターのコンテンツを使用して、保存されたクロスサイトスクリプティング（XSS）の脆弱性を修正

＜メンテナンスアップデート＞

・管理：管理フォームコントロールの高さおよびアライメントの標準化の改善、ダッシュボードウィジェットリンクのアクセシビリティ、および代替カラースキームの読みやすさの問題を改善

・ブロックエディター：Edgeのスクロールの問題と断続的なJavaScriptの問題を修正

・バンドルテーマ：作成者の略歴を表示/非表示にするカスタマイザーオプションを追加し、JSベースのスムーズスクロールをCSSに置き換え、Instagram埋め込みCSSを修正

・日付/時刻：非GMT日付の計算を改善し、特定の言語での日付形式の出力を修正し、get_permalink（）をPHPタイムゾーンの変更に対してより回復力のあるものにする

・埋め込み：サービスが存在しないため、CollegeHumor oEmbedプロバイダーを削除する

・外部ライブラリ：sodium_compatを更新する

・サイトの正常性：管理者の電子メール検証のリマインド間隔をフィルタリングできる

・アップロード：ファイル名が一致する場合、サムネイルが他のアップロードを上書きしないようにし、アップロード後にPNG画像をスケーリングから除外する

・ユーザー：管理メールの確認で、サイトロケールではなくユーザーのロケールが使用されていることを確認する

・その他

以上のようになっています。

例によって早めの段階で『WordPress 5.3.1』へアップデートされることがお勧めです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、先々週末に投稿した『iOS13.2に続きiOS13.2.2公開』という記事に続いて今月2回目の『iOS』配信です。

概ね、多くのアプリケーションがアップデートされ始めると『iOS』のアップデートが近いですが、ここのところそういった雰囲気でした。

iOS13.2.3配信はバグ修正が中心

今回の『iOS 13.2.3』はバグ修正中心のアップデートとなっており、内容は以下のようになります。

・システムの検索と”メール”、”ファイル”、および”メモ”内の検索が動作しない場合がある問題を修正

・写真、リンク、およびその他の添付ファイルが”メッセージ”の詳細表示に表示されない場合がある問題に対処

・Appがバックグラウンドでコンテンツをダウンロードできない場合がある問題を修正

・”メール”のExchangeアカウントで、新規メッセージを取得すること、および元のメッセージの内容を引用して含めることができない場合がある問題を解消

前回の『iOS 13.2.2』と同様、現象が出ている方は『iOS 13.2.3』にアップデートした状態で様子見となるでしょう。

iOSのアップデートとは関係ないですが、Appleが12月2日にメディアイベントを開催すると報じられています。

次は何を発表してくれるのでしょうか。

Kaspersky、Windowsの既知の脆弱性を悪用するランサムウェア「Sodin」を発見

既知のWindowsの脆弱性（CVE-2018-8453）を悪用する、暗号化型ランサムウェア「Sodin」は、感染したシステムの特権昇格の脆弱性の悪用や、CPUのアーキテクチャを巧みに利用し検知を回避します。このような機能を持つランサムウェアはまれです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭の引用である程度気づかれた方もいるかもしれませんが、今日は少々注意喚起の意味を込めての話題です。

検知を回避するランサムウェア『Sodin』

先日『カスペルスキー』が発表したランサムウェア『Sodin』は少々厄介なランサムウェアのようです。

昨年発見された『Windowsのゼロデイ脆弱性（CVE-2018-8453）』を悪用し、権限を昇格させる高度なアプローチをとっているとされています。

例えば、通常のランサムウェアの場合、『メールの添付ファイル』を開いたり『悪意のあるリンクをクリック』するなどユーザー側の操作が必要ですが、『Sodin』を使った攻撃ではユーザー側の操作は不要になります。

つまり、攻撃を受けてしまった場合は勝手に操作されてしまうということになります。

また、この『Sodin』の検知を難しくしている理由として、『32ビットプロセスから64ビットコードを実行』でき、『セキュリティの検知を迂回して回避』しているようです。

ただし、このような『ランサムウェア』は『まれ』なものでもあるとされています。

このような『ランサムウェア』の被害に遭わないためにも『Windows』や『セキュリティソフト』は最新の状態を保つ必要があります。

『Windowsのゼロデイ脆弱性（CVE-2018-8453）』は2018年10月に『パッチ（セキュリティ更新プログラム）』がリリースされていますし、『セキュリティソフト』に関しては『カスペルスキー』がこの発表を行った以上、他社も直ぐに対応の『定義ファイル』を配信しているはずですから、最新の状態を保つことが被害を防ぐことにつながります。

＜追伸＞

7月4日時点の『Sodin』の感染率は台湾が約17％、日本・ドイツ・韓国が8％程度となっているようです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨今Webサイトを制作する場合はPC版、スマホ版、セットで制作することが多くなっていますが、その際、スマートフォンの場合だけ電話番号のリンクを有効にしておきたいといったことを思われたことはありませんか？

これ、単純に<a>タグに『href=”tel:0521234567″』と書いてしまうとPC版もリンクを張られてしまうことになるためお勧めではありません。

では、どのようにしておくのがお勧めなのでしょうか？

レスポンシブ対応サイトの電話番号

まず、記述方法の前に1つ別のことをクリアしておく必要があります。

iPhoneなどのiOSデバイスの場合、電話番号は自動でリンクが有効になるようにはなっているのですが、これは電話番号だけでなく、電話番号以外の番号の羅列にも反応してしまいます。

（ブラウザ：Safari）

また、Androidデバイスの場合にはそもそもiOSのような機能がないため反応しません。

（ブラウザ：Chrome）

そのため、<head></head>の中に以下の記述を追加し、まずは電話番号の自動リンクを無効化しておく必要があります。

<meta name=”format-detection” content=”telephone=no”>

次に、電話番号の部分に『data属性』を記述します。

例：<span data-action=”call” date-tel=”0521234567″>052-123-4567</span>

そして、この『data-action=”call”』が指定されている<span>タグだけを<a>タグにする『JavaScript』を用意します。

（要『jQuery』）

例：function isPhone(){return navigator.userAgent.indexOf(“iPhone”)>0||navigator.userAgent.indexOf(“Android”)>0}
$(function(){isPhone()&&$(“span[data-action=call]”).each(function(){var n=$(this);
n.wrap(‘<a href=”tel:’+n.data(“tel”)+'”></a>’)})});

（JavaScriptが圧縮された記述になっていますがそのまま使えます。）

といった感じです。

スマートフォンの場合、Webサイトにアクセスした後に電話番号をタップして電話を掛けようとすることは結構あるのではないでしょうか。

そのような場合にはお勧めです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

GW（ゴールデンウイーク）明けの休みボケを狙ってなのか、『日本郵便の偽サイト』が出てきました。

被害に遭う前に特徴を把握しておいてください。

日本郵便の偽サイトにご注意

まず、5月7日に日本郵便が注意喚起を行った部分をご紹介します。

ご注意ください

当社の名前を装った迷惑メール及び架空Webサイトにご注意ください。

当社を装った迷惑メールおよび架空のWebサイトが発見されました。
このWebサイトにアクセスしますと、お客さまの情報を盗み出そうとしたり、不正なアプリケーションがダウンロードされるおそれがありますのでご注意ください。
なお、当社ではショートメールによるご不在連絡のお知らせは行っておらず、また、Webサイト等に掲載するURLにおいて「.com」を使用しておりません。

このような不審なサイトを発見された場合は、アクセスすることのないよう、ご注意ください。

迷惑メールの文面（例）
お客さま宛にお荷物のお届けにあがりましたが、不在のため持ち帰りました。下記よりご確認ください。
http://jppost-●●●.com

偽サイトの画面
（Android端末からアクセスした場合）
不正なアプリケーションのダウンロードが行われます。

（iPhoneからアクセスした場合）
リンクをタップすると、Apple IDの入力を求められます。

もしパソコン版でも同様のサイトがあった場合、セキュリティソフトを入れていれば警告をしてくれるはずですが、スマートフォンの場合はセキュリティソフトを入れていないことが多いです。

その場合、URLを確認するなどして見極める必要があります。

日本郵便（郵便局）は『.jp』ですが、偽サイトは『.com』です。

また、日本郵便（郵便局）は暗号化された『https』サイトですが、偽サイトは『http』サイトになっています。

その他、迷惑メールの場合においても差出人や本文中のURLなどに注意を払う必要があります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

ここ最近、少々しつこい『フィッシングメール』が複数拡散されていますので、今日はそれをお伝えします。

AmazonやLINEを騙るフィッシングメール

ここ最近で多く見受けられる『フィッシングメール』の中でも、『Amazon』に関するものの大半は中国からのものでした。

しかも、日本の中堅どころのレンタルサーバを経由しているものも複数見られました。

それらのレンタルサーバには『お試し期間』が設けられているため、それを利用していると推察されます。

また、『Amazon』を騙るものは複数拡散されており、

・『「緊急の通知」Amazoneプライムのお支払いにご指定のクレジットカード有効期限が切れています！』

・『アカウント情報検証を完成してください。』

・『これは、カードが期限切れになったか、請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。』

・『あなたの口座を24時間更新してください』

・『Amazon. co. jp にご登録のアカウント（名前、パスワード、その他個人情報）の確認』

・『Amazon Services Japan重要情報についての通知』

・『Amazon Services Japanアカウントを更新する最後の警告メール』

などの『件名』のものが見受けられます。

その他、『PayPal』、『ゆうちょ銀行』、『LINE』を騙る『フィッシングメール』は以下の『件名』のものがあります。

『PayPal』：『[大切] PayPal アカウントでの不審なログインアクティビティ-ケース』

『ゆうちょ銀行』：『ゆうちょ銀行からのご連絡』

『LINE』：『LINE【重要情報】』、『[LINE緊急問題] 』

どれも『フィッシングメール』ですので、間違ってもリンク部分をタップやクリックをしないようご注意ください。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日は注意喚起です。

楽天市場をかたるスパムメールが再び

以前にも楽天市場を装った『【楽天市場】注文内容ご確認（自動配信メール）』を件名とするフィッシングメールが出回っていたことがありましたが、ここ数日において再び拡散されています。

全ての内容がそうであるかはわかりませんが、概ね30,000円～40,000円前後の『液晶テレビ』を購入したとされる内容になっています。

以前のフィッシングメールも同じように『液晶テレビ』を購入したとされるものでした。

このメールの本文に記載されているうち、先頭の『楽天ロゴ』は楽天市場のURLへのリンクが張られているようですが、それ以外は全く不明なURLへのリンクが張られています。

ご自身が本当に液晶テレビなどを購入した記憶がない限りは何の反応もしてはいけません。

また、もし液晶テレビを購入したとしても、本当にそのお店から購入したのかをよく確認する必要があります。

くれぐれもご注意くださいませ。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

事業者であれば受け取ることの多い『営業・宣伝メール』ですが、本来、送る側は『特定電子メール法』の準拠した形で送らなければいけません。

しかし、そういったメールの大半は法を無視した形で送られています。

特定電子メール法の間違った認識

まず、事業者が事業者に送るメールであったとしても無作為に送って良いということはありません。

特定電子メール法においては『必ず相手の同意を得る』ということになっています。

ただし、これには例外があります。

１．取引関係にある

２．過去に名刺交換をしたことがある

３．ホームページ上などの広告宣伝物にメールアドレスの記載がある

これらに関しては規制の例外となります。

これらの規制を逸脱して行われるケースとしては以下のようなケースがあります。

１．ホームページのお問い合わせフォームから営業・宣伝行為を行う。

（メールアドレスが公開されていなければアウトです。）

２．事業者がよくつかう『info』や『contact』宛に営業・宣伝行為を行う。

この2つのケースが多く見られます。

ここからは受信者に向けた注意喚起になりますが、

2番目の手法は一番多いケースかと思いますが、このケースにおいては文末に配信停止用のリンクURLを記載し、そこから配信停止をさせようとするものや、送信したメールは『特定電子メール法に準拠して配信されている』と記載しているものがありますが、これはどちらも怪しいものだと思った方が良いです。

前者の場合、穿った見方をすればリンクURLをクリックさせることによってそのメールアカウントが生きているかどうかを確認するために使っているとも捉えることができます。

（ただ作成されていただけのものであれば誰もリアクションをしませんから。）

後者の場合、おそらく特定電子メール法に準拠していないことは承知の上で記載している可能性が高いです。

それを記載することで『やむを得ないものだ』と認識させ、再度送信するチャンスを得ておくといったことが考えられます。

ご丁寧に特定電子メール法に関するガイドラインが掲載されたリンクURLを記載してくるところもありますが、それも安心感を植え付けるだけのものでしかありません。

では、最後に送信される事業者、受信される事業者、双方へのコメントです。

送信される事業者の方、間違った認識のままメールを無作為に送信し続けることは非常に危険です。

場合によっては『行政指導』や『行政処分』、最悪の場合は『刑事罰』が待っていますので認識を改めた方が良いです。

受信された事業者の方、このようなメールには反応することなく、そのメールアドレスを淡々とブロックしてしまうことしかありません。

無駄に反応しない方が無難かと思われます。

それは、コメント投稿へのスパム（迷惑）行為です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭に書いたコメント投稿に対するスパム行為、困ったもので終わることはありません。

また、そのコメントスパムの多くは海外からのものです。

では、このようなコメントスパムはどのように対処したら良いのでしょうか？

WordPressのコメントスパム対策

まず、対策方法の一つとして海外からのアクセスを制限してしまうという方法がありますが、これはあまりお勧めではありません。

スパム行為を行ってくる人であればVPNソフトを利用するなど、制限をすり抜けてくるような手法は簡単に行えるでしょうから制限をかけたことにならない可能性があります。

では、ここからお勧めなものをご紹介していきます。

※　前提として、スパムフィルターである『Akismet Anti-Spam』は海外に限らず有効的ですので、予め有効にしておくことがお勧めです。

では、その１です。

＜SiteGuard WP Pluginを使う＞

WordPressのプラグインとして、日本のJP-Secure（株式会社ジェイピー・セキュア）が提供しているWordPress向けのプラグインで、ログインページやコメント投稿に画像認証を追加する機能を搭載したものがあります。

画像認証には、『ひらがな』と『英数字』が選択できますので、『ひらがな』で設定しておけばそれなりの効果を発揮するはずです。

それ以外にも、管理ページへのアクセス制限、ログインページの変更、ログインのロック、ログインのアラート、XMLRPCの悪用防御など、複数の機能が搭載されていますので他の使い道もあります。

参考：SiteGuard WP Plugin紹介ページはこちら

次に、その２です。

＜Throws SPMA Awayを使う＞

これもWordPress向けのプラグインですが、前述のプラグインとは少々手法が異なります。

日本語を含むかどうかの日本語判定を行い、含まれていなければコメントそのものを無視（スルー）するため、ゴミ箱にすらコメントがプールされることがありません。

日本語以外のコメントは投稿を完全に無視したい場合に向いています。

それ以外にも、NGキーワード、リンク数、IPアドレスなどによる判定の設定も可能です。

参考：Throws SPAM Away

最後に、一つ注意事項があります。

『SiteGuard WP Plugin』と『Throws SPMA Away』の両方を使おうと思われた方、どちらか一つを選択された方が良いです。

双方のプラグインがぶつかる部分がありそうです。

具体的には、コメント欄で画像認証を入力せずに投稿してもエラーが表示されず、画面がスクロールします。

日本語でコメント投稿してもです。

コメント投稿時の処理そのものはWordPress本体のプログラムをどちらも使っていますので、そこでぶつかるはずです。

以上、海外からのコメントスパムに困っている方など、ご参考になれば幸いです。