皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は冒頭に書いた昨日の記事『Chrome 80でECサイトに影響』の続きです。

Chrome 80の登場とECサイト対策

昨日の記事の最後では、

ECサイトなどにおいてこの『SameSite属性』が指定されていない場合、・・・中略・・・ECサイトなどによっては『ログイン情報が保持できない』、『カートの商品が保持できない』、『複数商品が購入できない』などといったことが起こる可能性があります。

これ以外にも問題が発生し得る条件などがあり・・・

ということを書きましたが、その条件というのは『クロスサイト（異なるドメイン（複数サイト）間）』での挙動に関してということになります。

具体的には『ドメインA』でログインし、その後に『ドメインB』に遷移する挙動がある場合などです。

このケースにおいては『SameSite属性』によって対応が異なります。

＜SamteSite=None＞

・SSL化（HTTPS化）されていること

・Cookie（クッキー）にSecure属性が付与されていること

この2点が満たされていれば今まで通り動作します。

＜SameSite=Lax＞

※　ECサイト側で指定がない場合はGoogle Chromeの既定値となる『SameSite=Lax』となります。

・『SameSite=None』に変更して対応

・『SameSite=Lax』を使用する場合、『サイト全体の常時SSL化（HTTPS化）』＋カートボタンなどの『method属性』を『post』から『get』に変更して対応

＜SameSite=Strict＞

セキュリティレベルが3つの中で一番高いもので、主に金融機関などで用いられると考えられるため割愛します。

大まかには以上のよう感じです。

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭に書いた通り『Google Chrome 80』がリリースされたわけですが、『Google Chrome』はこのバージョンから『プライバシー保護』などを目的に一部仕様が変更されます。

（実際には約2週間後あたりのマイナーアップデートから段階的に行われるようです。）

今回の仕様変更は『ECサイト』などに影響しますので、今日はそれをご紹介します。

Chrome 80がECサイトに与える影響

今回の『Google Chrome 80』では『Gookie（クッキー）』というブラウザに一時保存されたデータの動作が変更になります。

つまり、『ログイン』や『カート』に入っている商品などの情報を『Gookie（クッキー）』を使って保持している『ECサイト』などにおいては影響が出るわけです。

では、『Google Chrome』における『Cookie（クッキー）』の扱いはどのような変更がされるのか？

『Google Chrome』には、CSRF（cross-site request forgeries：クロスサイトリクエストフォージェリ）という攻撃からユーザーを保護するため『SameSite』という『Cookie（クッキー）』に付与される属性があります。

この属性には3つのものがあり、

None　⇒　Lax　⇒　Strict　の順にセキュリティレベルが厳格になっていきます。

そして、ECサイトなどにおいてこの『SameSite属性』が指定されていない場合、『Google Chrome』からアクセスした際の『Cookie（クッキー）』の扱いが『Google Chrome 79以前』の既定値『None』から『Google Chrome 80以降』では『Lax』に変更されるため、ECサイトなどによっては『ログイン情報が保持できない』、『カートの商品が保持できない』、『複数商品が購入できない』などといったことが起こる可能性があります。

これ以外にも問題が発生し得る条件などがありますが、それに関してはまた後日お伝えしたいと思います。

今日のところはこの辺で。。。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

『iOS 13』から『iPhoneを探す』アプリは『探す』アプリに名称が変わるそうですが、それは単に名称変更されるだけではなく大幅に進化したものになります。

また、この『探す』アプリに関連し、紛失防止用に使われるとされるキーホルダー程度のデバイス『スマートトラッキングタグ』も準備されているという話しもあります。

iOS 13の探すアプリとスマートトラッキングタグ

まず、『iOS 13』の『探すアプリ（現iPhoneを探す）』はどのように進化するか？

＜iOS 13の探すアプリ＞

『iOS 13』の探すアプリは『オフライン』状態の『iPhone』、『iPad』、『Mac』の位置情報を取得します。

これには『オフライン』状態の第三者の『iPhone』と『Bluetooth』通信をし、それで得た位置情報をAppleのサーバーの送信することで位置情報を取得するとされています。

もちろん第三者の位置情報は高度な暗号化技術が用いられ、Appleもこの暗号化技術の詳細を明らかにはしていません。

ただし、デバイスの位置を特定するには『同じApple IDでログイン』している別のデバイスが必要にはなります。

＜スマートトラッキングタグとは＞

既に類似製品は他社から出てはいますが、この『スマートトラッキングタグ』というものは『財布・バッグ・鍵』といったものを追跡するのに役立てるデバイスとして準備中だとされています。

このデバイスは『探す』アプリの『Items』というタブで管理されるようで、タグづけされたアイテムから離れると通知が送られると言われています。

これには面白い仕掛けがあるようで、紛失したアイテムを探すのに『AR（拡張現実）』が応用される可能性があるともされています。

iPhoneの画面とカメラを通して周囲を見渡すと、アイテムがある場所に『赤い風船が浮かぶ』らしいのです。

（歩き回ってiPhoneを上下に動かすと風船が視界に入ってくるとも。。。）

『プライベート』、『ビジネス』に関係なく、これらは役に立ちそうです。

特に、『ビジネス』においては紛失が大問題に発展する可能性も秘めていますから、可能性がありそうな方には有難いものになるかもしれません。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、昨日に引き続き少々ラフ目になりそうですが、今回の『WWDC2019』で発表された『iOS 13』の新機能の中に『Sign in with Apple』というものがあります。

今日はこれについてお伝えします。

Sign in with Appleで秘匿される

この秋にリリースされる『iOS 13』の機能『Sign in with Apple』は、ログイン認証でよく見かける『Sign in with Google』や『Sign in with Facebook』と見た目は同じログイン認証用の機能です。

ただし、GoogleやFacebookとは少々考え方が違います。

『Sign in with Google』や『Sign in with Facebook』も一応『匿名』ではありますが、彼らの場合は『広告表示』のために個々の利用情報を取得して使っています。

しかしAppleは違います。

Appleはユーザーのプライバシーを取得しようとはしません。

今回発表された『Sign in with Apple』はユーザーの本来のメールアドレスを渡しません。

ランダムに生成されるメールアドレス『xxxxxxxxxx@privaterelay.appleid.com』といったメールアドレスが渡されます。

このランダム生成されるメールアドレスはそのローカルユーザーのみと紐づけされる仕組みになっているため、本来のメールアドレスを渡さなくて良いのです。

そして、パスワードは『iCloudキーチェーン』が管理してくれます。

ブラウザに『Safari』を使っていれば強固なパスワードが提案され、そのパスワードも管理してくれますので何も考える必要がありません。

今回感じるのは、やはりAppleはGoogleやFacebookとは違うということを改めて認識させてもらったような気がします。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日は少々ラフな話題です。

日本時間の今朝未明、Appleが開発者向けカンファレンス『WWDC2019』が開催され、この秋に登場する新たなものが発表されました。

iPadOSの登場とiOS 13の新機能

さて、今回の『WWDC2019』ではiPad専用OS『iPadOS』が発表されています。

＜iPadOS＞

従来iPadはiPhoneと同じ『iOS』でしたが、この秋からは『iPad専用』の『iPadOS』として完全に分離することになります。

・ホーム画面に『今日の表示』ウィジェットが常駐

・Split Viewで同一アプリの2画面表示・編集が可能

・Apple Pencilのレイテンシが20msから9msに短くなる

・ファイルアプリがUSBドライブやSDカードをサポート

・3本指でのコピー＆ペースト

といった機能が用意されています。

このiPadOSはiPad Air 2以降、すべてのiPad Pro、第5世代以降のiPad、iPad mini 4以降が対象となるようです。

＜iOS 13＞

次に『iOS 13』ですが、ポイントは『高速化』のようです。

『FaceIDのロック解除は30%高速に、アプリのダウンロードスピードは60%高速になる。』

新機能としては予想されたものなどが登場します。

・ダークモード（目にやさしい）の登場

・Safari、Mailなどのデフォルトアプリの一新とMapsの再構築

・Sign in with Appleでのログインの匿名化（アプリ情報送信時はメールを匿名化）

・セキュリティビデオのプライバシーの安全性強化

・メッセージにアバター設定が可能

・カメラと写真機能の向上

といった感じになっています。

iOS 13の対象となるiPhoneは、『iPhone SE』を含む『iPhone 6s以降』で、iPhone史上最長にバージョンアップが可能だった『iPhone 5s』は『iPhone 6』とともに対象外となってしまいました。

また、iPod touchは第7世代のみが対象となっています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、最近では利用者も増えてきている『パブリックDNS』ですが、この利用（設定）方法、使用している端末側のDNSを手動設定する方法を優先的に書かれていることが多いようですが、実際にはルータの設定を変更してしまった方が効果的です。

（※　前提として、回線業者提供のレンタルルータによっては変更できない状態になってしまっているものもありますので変更可能な場合に限られます。）

パブリックDNSはルータを変更する

設定方法は簡単です。

ルータの管理画面にログインし、DNS（ネームサーバ）に関する項目を見つけてください。

そこは通常『自動取得（サーバから割り当てられたアドレスを使用する）』設定になっていると思いますが、それを手動設定に変更してしまうだけです。

（※　社内的に変更して良いかは確認する必要があります。）

『IPv4』と『IPv6』の両方が変更可能なのであれば両方とも変更してしまって問題ありません。

『IPv4』しかなければ『IPv4』のみで大丈夫です。

この部分の『プライマリDNS』と『セカンダリDNS』に各社が提供しているパブリックDNSの『IPアドレス』を入れてあげればOKです。

（Windows PCなどの端末側への手動設定と同じです。）

その際、Windows PCなどの端末側のDNS設定も手動設定したものを残した方が効果的な場合がありますので、気にならないのであればそのまま残しておくことがお勧めです。

たったこれだけで結果的には回線速度の向上がかなり期待できます。

ただし、回線業者の地域網における回線速度は低下する可能性があります。

しかし、これは低下しても問題ありません。

低下したとしてもインターネットの回線速度より地域網の回線速度の方が遅くなることはなく、実際に重要なのは地域網の先のインターネット回線速度です。

インターネットの回線速度が気になる方、一度試してみてください。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、連休明けの今日は再び注意喚起の記事投稿です。

先日の『楽天市場』をかたったものに続き、今回は『Amazon.co.jp』をかたったものが拡散している可能性があります。

Amazon.co.jpをかたる巧妙なスパム

『Amazon.co.jp』の偽物が拡散されることはよくあることではありますが、その内容は以前より巧妙になっているように思えます。

ここ数日あたりで拡散されているものもそうで、一瞬本物のAmazon.co.jpからのメールかと思わせる部分もあったりします。

件名：【Аmazon】■重要■ にご登録のアカウント（名前、パスワード、その他個人情報）の確認

内容例：

Аmazon お客様

残念ながら、あなたのアカウント Аmazon を更新できませんでした。
これは、カードが期限切れになったか。請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。

アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため Аmazon 情報を確認する必要・ェあります。今アカウントを確認できます。

Аmazon ログイン

なお、24時間以内にご確認がない場合、誠に遺憾ながら、アカウントをロックさせていただくことを警告いたします。

アカウントに登録のEメールアドレスにアクセスできない場合
お問い合わせ： Amazonカスタマーサービス。

お知らせ:
・パスワードは誰にも教えないでください。
・個人情報と関係がなく、推測しにくいパスワードを作成してください。大文字と小文字、数字、および記号を必ず使用してください。
・オンラインアカウントごとに、異なるパスワードを使用してください。

どうぞよろしくお願いいたします。
Аmazon

このような感じのものが拡散されています。

しかし、よく見ると誤字があったり、通常使われない言い回しがあったりしています。

この中で惑わされやすいのは『Amazon ログイン』の部分で、ここには偽サイトへの誘導リンクが張られています。

リンクURL：『https://www.amazon.co.jp.update.blue/www.amazon.co.jp/account-update』

※　間違ってもこのURLに移動しないでください。

これ、よく見るとドメインは『.blue』であり、正規の『Amazon.co.jp』ではないことがわかりますが、ぱっと見は間違えてしまう可能性があります。

皆さん、くれぐれもお気を付けください。

それにより、非常に多くの労力を強いられることになってしまったそうです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

ある方はSNSをはじめとするウェブサービスにおいて『2要素認証（Two Factor Authentication）』を使っていました。

そして、ある時スマートフォンの機種を変更した際に悲劇が起きてしまったそうです。

2要素認証は安全だがリスクもある

2要素認証（Two Factor Authentication）というのは、ウェブサービスにログインする際、ID・パスワードなどで認証させた後、さらにスマートフォンなどでワンタイムパスワードを使って認証させるといった、2つの要素で認証をすることですが、これは安全ではあるものの若干リスクを伴うとも言えます。

何がリスクか？

2要素目の認証部分はスマートフォンなどにQRコードを読み込ませて登録したり、アプリケーションを入れ、そのアプリケーションで認証させたりします。

そして、もしスマートフォンを機種変更したり、トラブルで初期化してバックアップから復元するようなことが起きた場合においてはそれは元に戻りません。

簡単に言えば、スマートフォンの機種変更やバックアップからの復元の際には『2要素認証を解除』しておく必要があるということです。

もし解除していなかった場合、『バックアップコード』などにてウェブサービスにログインすることは可能ですが、これも保管していなかったとしたら最悪なことが起きる場合があります。

ウェブサービスに完全にログイン不可能になります。

とは言え、救済方法が全くないわけではありません。

登録されている携帯電話番号宛にSMS（ショートメール）で認証コードを送って救済してくれるものもあります。

しかし、SMS（ショートメール）に認証コードを送って救済してくれるウェブサービスばかりではありません。

サポートセンターに連絡をし、そのウェブサービスに登録されている情報を細かく提示した上で完全に情報を一致させるなどしなければ解除してもらえないものも多くあります。

このように、最終的な解決までには非常に労力を要することにもなります。

もっと最悪な場合はアカウントが使えなくなる場合もあり得るでしょう。

2要素認証（Two Factor Authentication）を使われている方、くれぐれもお気を付けください。

注：2要素認証（Two Factor Authentication）と2段階認証（Two Step Verification）は厳密には異なるものですが、前述のような事例の場合にはどちらにおいても一時解除した方が良いと言えます。

このGoogle Chrome 70において、また新しいものが導入されるかもしれません。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

来月、Googleのブラウザ『Chrome 70』がリリース予定となっていますが、この『Chrome 70』においては以前にご紹介した通り、『HTTPサイトに対する警告表示』が『赤字』で『！保護されていません』と表示されます。

しかし、これに限らず他の機能も追加になるようです。

Chrome 70は指紋認証に対応する

Google Chrome 70で導入される新しい機能とは、各ウェブサイトへのログインに対して『macOSのTouch ID』や『Androidの指紋センサー』が使えるようになる。

つまり、二段階認証の承認プロセスとしてそれが使えるようになるということになります。

ただし、WindowsやiOSデバイスにおいてそれが可能かどうかは不明です。

（触れられていませんでした。）

この機能の導入により、パスワードやクレジットカード情報の入力などがより安全な状態となるため、また一歩前進といったところではないでしょうか。

Google Chromeに限らず、セキュリティに対する意識は高まっています。

高まっていないとすればユーザー側の意識かと思われますので、もう少しずつでもセキュリティに対する意識を高めてもらえることを願うばかりです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭で書いたGoogleの『Titan Security Key』とは物理的なセキュリティキーのことで、同社がこれを発表する前にはYubiCoという会社が『Yubikey』という名前で既に販売しており、Googleも過去においてはこれを推奨していました。

では、これらの物理セキュリティキーとはいったいどのようなものなのでしょうか？

GoogleのTitan Security Keyとは

今回Googleが発表した『Titan Security Key』などの物理セキュリティキーとは、二要素（二段階）認証などの多要素認証を通じてセキュリティを強化してくれるものです。

Googleは昨年、8万5000人以上いる従業員に対してこの物理セキュリティキーの認証を求めるようにし、結果的にハッキングされた者は誰もおらず、被害が完全になくなったとされています。

この『Titan Security Key』という物理セキュリティキーは2種類用意されており、1つはPCのUSBポートへ直接差し込むもの、もう1つはモバイルデバイスなどとBluetooth接続で認証を行うものです。

通常の認証においては認証サーバに一度パスワードを送る必要がありますが、この『Titan Security Key』は『FIDO』や『U2F』という認証規格をサポートしているため、『認証はキーの中』で済ませてしまいます。

そのため、『Titan Security Key』を持っていなけえばアカウントにログインできないことになり、パスワードを盗めてしまうオンライン認証よりも高いセキュリティが実現されます。

また、Googleのサービスに限らず、他のサービスなどでも利用可能です。

1つ当たりの価格は20～25ドル（約2500円前後）程度で入手できるようになるとされていますので、一度試してみるのも良いでしょう。