皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は少々注意喚起的な情報です。

Google Authenticatorにリスクあり

今回発見されたマルウェアは『Android』デバイスに対するもののようで、以前に発見されたものの亜種であるとされています。

以前のマルウェアでは『ワンタイムパスワード（OTP）』は窃取されなかったようですが、今回のものはそれが盗まれてしまうようです。

『Google Authenticator』が保護されている場合にはユーザーデバイスに手動で接続できるようにもなっているようで、リモートで接続されてしまった場合には『Google Authenticator』を勝手に操作され、『ワンタイムパスワード（OTP）』を生成されてしまうとか。

ただし、ここで生成された『ワンタイムパスワード（OTP）』は『スクリーンショット』にてコードを取得しているようで、スクリーンショットが取得されないようにすれば保護できるともされています。

私も過去には『Google Authenticator』を使用していたことはありますが、今は他の認証アプリに変えています。

利用者の多い『Google Authenticator』に危険を感じたことが理由です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

既に『TLS1.0』と『TLS1.1』は多くのサービスで終了がアナウンスされており、現在の中心は『TLS1.2』となります。

しかし、それよりももっとセキュリティ的に安全で高速なのは『TLS1.3』での通信です。

TLS1.3対応で安全で高速な通信が間もなく

『Google Chrome』や『Mozilla Firefox』など、主要なブラウザでは既に『TLS1.3』に対応済みですが、ホストとなるサーバ側の方は一部のサーバが『TLS1.3』に対応し始めた程度の状況で、多くは未だ『TLS1.2』の状態です。

この『TLS1.3』は『TLS1.2』に比べてセキュリティ面、速度面の両面にて改善されている『暗号化通信プロトコル』であるため、早い段階で様々なところで対応がされることが望ましいわけですが、ホスト以外にも少々引っかかってしまう可能性があるものがあります。

それはセキュリティソフトです。

多くのセキュリティソフトでは各Webサイト（ページ）にブラウザからアクセスする際の通信を保護する機能が付いていますが、その部分が未だ『TLS1.2』までしか対応していないものがあります。

そのような場合、よく閲覧する『信頼できる』Webサイト（ページ）が『TLS1.3』に対応しているならばそれをチェック対象から外して通信を行うしかありません。

おそらく、各セキュリティソフトの次のバージョンにおいては間違いなく『TLS1.3』に対応したものがリリースされるはずですから、もう間もなくで環境が整ってくるのではないかと思われます。

さて、この『Password Checkup』とは？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本国内においてもウェブブラウザのシェアが半数を超える『Google Chrome』ですが、今回、スタンフォード大学の協力を得て『Password Checkup』というものを開発しました。

では、『Password Checkup』とは？

Password Checkupで漏えいチェック

さて、『Google Chrome』の拡張機能として登場した『Password Checkup』とは、名前の通りパスワードをチェックしてくれるものです。

Chromeブラウザでアクセスしているサイトへのログイン情報が第三者に漏えいしていないかをチェックしてくれ、入力したIDとパスワードが流出データと一致していれば警告を発するようになっています。

元々、Googleアカウントに限ってはパスワードの漏えいや悪用を検知するとパスワードが自動的にリセットされる仕組みになっており、その仕組みの効果もあってリスクは通常の1/10程度にまで抑えられているとされています。

今回リリースされた『Password Checkup』はこのGoogleアカウントの保護機能の仕組みを応用し、他のサイトにおけるログイン情報の漏えいなどを検知できるようにしたものです。

ログイン情報が流出したアカウントは40億以上もあるとされており、そういったアカウントの流出は自身ではなかなか気づかないものです。

そのため、今回リリースされた『Password Checkup』などを使うことで警告が発せられた時点で即座にパスワード変更などの対応を取ることができることから、不正利用などによるデータ侵害を未然に防ぐことが期待できそうです。

参考：『Google Security Blog “Protect your accounts from data breaches with Password Checkup”』

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、Microsoftが『Windows Insider Program』のFastリングに参加するユーザーに公開したものによると、Windows 10 の次期バージョン『Windows 10 19H1』では『Windows Sandbox』という新機能が搭載されることがわかりました。

では、この『Windows Sandbox』ではどのようなことが可能になるのでしょうか？

Windows10 19H1でSandboxを搭載

冒頭で書いた通り、『Sandbox』というのは外側に影響を与えないようにアプリケーションなどを安全に動作させるための保護領域になります。

つまり、信頼できるかどうかわからないソフトを保護された仮想環境で試すことが可能となり、その外側にある通常の環境には一切影響を及ぼさないというものです。

『Windows Sandbox』の場合、終了すると仮想環境内で行われたすべての変更は失われる仕組みになっているようで、都度、使い捨てのような形で使用することができる環境となっているようです。

この『Windows Sandbox』を使うには『Windows 10 Pro』か『Windows 10 Enterprise』が必要となり、デフォルト（初期値）では無効になっていることから『Windowsの機能の有効化（無効化）』において『有効化』する必要はあります。

また、仮想環境にも工夫がされているようで、『Windows Sandbox』の場合においてはディスク容量を25MB足らずしか占有せず、実行時においても約100MB程度という軽量な環境となっているなど、リソースに対しても配慮されたものとなっているようです。

そして、両社のCEO（最高経営責任者）であるイーロン・マスクは個人のFacebookアカウントも削除し、SNS上では『#deletefacebook（フェイスブックを削除せよ）』が拡散されている。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

海外では『#deletefacebook（フェイスブックを削除せよ）』という動きが広まっているようですが、とは言えFacebook（フェイスブック）というコミュニケーションツールを手放してしまうことはなかなか難しいとも言えます。

そんな中、Mozillaが新たなものをリリースしてきました。

Facebookによるデータ追跡を制限する

Mozillaは、『予想外の副作用からユーザーを守る』として、ブラウザのFirefoxのアドオンに『Facebook Container』というものを加えてきました。

このアドオンを使うことにより、以下のことに対処できるとされています。

Facebook Container works by isolating your Facebook identity into a separate container that makes it harder for Facebook to track your visits to other websites with third-party cookies.
（Facebookコンテナは、FacebookのIDを別のコンテナに隔離することによって機能し、FacebookがサードパーティのCookieを使用して他のWebサイトへの訪問を追跡することを困難にします。）

ただし、このアドオンですべてが解決できるわけではありません。

It is important to know that this extension doesn’t prevent Facebook from mishandling the data that it already has, or permitted others to obtain, about you. Facebook still will have access to everything that you do while you are on facebook.com, including your Facebook comments, photo uploads, likes, any data you share with Facebook connected apps, etc.
（この拡張機能によって、Facebookが既に持っているデータを誤って取り扱うことや、他の人にあなたの入手を許可することが妨げられることはありません。あなたのFacebookのコメント、写真のアップロード、好きなもの、あなたがFacebookに接続しているアプリケーションと共有しているデータなど、facebook.comにいる間にあなたがやっているすべてのことにFacebookは依然としてアクセスします。）

This extension focuses on limiting Facebook tracking, but other ad networks may try to correlate your Facebook activities with your regular browsing. In addition to this extension, you can change your Facebook settings, use Private Browsing, enable Tracking Protection, block third-party cookies, and/or use Firefox Multi-Account Containers extension to further limit tracking.
（この拡張機能はFacebookのトラッキングを制限することに重点を置いていますが、他の広告ネットワークはあなたのFacebook活動をあなたの通常のブラウジングと相関させようとするかもしれません。この拡張機能に加えて、Facebookの設定を変更したり、プライベートブラウジングを使用したり、トラッキングの保護を有効にしたり、サードパーティのCookieをブロックしたり、Firefoxのマルチアカウントコンテナの拡張機能を使用してトラッキングをさらに制限することができます。）

NOTE: If you are a Multi-Account Containers user who has already assigned Facebook to a Container, this extension will not work. In an effort to preserve your existing Container set up and logins, this add-on will not include the additional protection to keep other sites out of your Facebook Container. If you would like this additional protection, first unassign facebook.com in the Multi-Account Container extension, and then install this extension.
（注：Facebookにコンテナを割り当て済みのマルチアカウントコンテナユーザーの場合、この拡張機能は動作しません。既存のコンテナの設定とログインを維持するため、このアドオンにはFacebook Containerから他のサイトを保護するための追加の保護は含まれません。この追加の保護をご希望の場合は、まずマルチアカウントコンテナ拡張でfacebook.comの割り当てを解除し、この拡張機能をインストールしてください。）

このようなアドオンも有効的ではあるものの、利便性を優先したプラットフォームの連携を行わないようにすることも必要かと思います。

例えば、Facebook以外のサイトなどのログインに『Facebookアカウントでログイン』を使わないということです。

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨今、WEBの暗号化に関しては少しずつ浸透してきてはいるため、お問い合わせページに関しても暗号化されていないページは減少傾向にあるかと思います。

しかし、それらはユーザーがウェブ上で情報を入力している時の保護であって、メールを保護しているわけではありません。

設置スクリプトなどの暗号化考慮

お問い合わせフォームなどが設置されているページの場合、送信ボタンを押した段階で管理者、ユーザー宛にメールが送信されることが一般的ですが、そのメールの大半は暗号化されていないことが多いため、実際には安全であるとは言えない可能性もあります。

これは、お問い合わせ用に設置されているスクリプト内でどのようにメールを送信しようとしているかによって変わりますが、そのスクリプトにちょっとした考慮を入れてあげると、よりベターになります。

それは、一般的なメールソフトでも使われているようなSMTPSを使用する考慮を入れてあげることです。

そうすることによって、465Port、もしくは587Portを使って暗号化送信をすることが可能になります。

メールサーバ間は別問題

しかし、自社側のメールサーバから相手側のメールサーバまでの間に関しては別問題です。

ここは通常、平文のままで送られていることが多く、この間を暗号化するには別の仕組みを導入しないと実現しません。

もし導入するにしても、相応にカスタマイズできるサーバを用意しなければいけませんので、少々ハードルが高いことであるとも言えます。

いずれにしても、まずは可能な施策は行っておくことが重要です。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

少し前の話しにはなりますが、とある協会を訪れた際に驚いてしまったことがあります。

それは、冒頭でもお書きした通り、無料のセキュリティソフトしか導入されていなかったことです。

あまり目にするケースではないのですが、組織でありながら（個人だから良いというわけではありません）無料のセキュリティソフトを使っているとは何とも信じがたいものがありました。

無料セキュリティソフトの危険性

無料のセキュリティソフトがすべてにおいて危険であると申し上げているわけではありません。

もちろん、大手セキュリティメーカーから出ているセキュリティソフトと同じくらいにウイルス検知してくれるものもあります。

しかし、当然ながら無料であることから行えることには限界があります。

例えば、ウイルス対策が中途半場であったり、迷惑メール対策がない、ファイアウォール機能がない、ウェブサイトの安全性が確認できない、ネットバンキング保護機能がないなど、昨今の多様化するサイバー攻撃に対しては脆弱なものばかりであるということです。

ITに対する知識の欠落

こういった状態になっているところに関してはセキュリティ意識の欠落以前の問題があります。

それは、IT全般に渡って知識が欠落している状態にあることです。

また、パソコンを納入している業者をはじめ、外部の業者などにおいてそういったことに関するアドバイスをしてくれるところがないということも理由としてあるのかもしれませんが、これくらいのことはご自身達にて認識を持っていただきたいものです。

参考までに有名どころのセキュリティメーカーを記載しておきますので、ちゃんとしたセキュリティソフトを導入される時は以下のものをお勧めします。

ESET社（弊社もESET社の製品を使っています）、シマンテック社、カスペルスキー社、トレンドマイクロ社、マカフィー社、このあたりのセキュリティメーカーのものが良いでしょう。

組織によってハードウェア構成は異なるかと思いますが、個々が使用されるパソコンにはパーソナル向けのセキュリティソフトを導入されても問題ありません。