皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は冒頭に書いた昨日の記事『Chrome 80でECサイトに影響』の続きです。

Chrome 80の登場とECサイト対策

昨日の記事の最後では、

ECサイトなどにおいてこの『SameSite属性』が指定されていない場合、・・・中略・・・ECサイトなどによっては『ログイン情報が保持できない』、『カートの商品が保持できない』、『複数商品が購入できない』などといったことが起こる可能性があります。

これ以外にも問題が発生し得る条件などがあり・・・

ということを書きましたが、その条件というのは『クロスサイト（異なるドメイン（複数サイト）間）』での挙動に関してということになります。

具体的には『ドメインA』でログインし、その後に『ドメインB』に遷移する挙動がある場合などです。

このケースにおいては『SameSite属性』によって対応が異なります。

＜SamteSite=None＞

・SSL化（HTTPS化）されていること

・Cookie（クッキー）にSecure属性が付与されていること

この2点が満たされていれば今まで通り動作します。

＜SameSite=Lax＞

※　ECサイト側で指定がない場合はGoogle Chromeの既定値となる『SameSite=Lax』となります。

・『SameSite=None』に変更して対応

・『SameSite=Lax』を使用する場合、『サイト全体の常時SSL化（HTTPS化）』＋カートボタンなどの『method属性』を『post』から『get』に変更して対応

＜SameSite=Strict＞

セキュリティレベルが3つの中で一番高いもので、主に金融機関などで用いられると考えられるため割愛します。

大まかには以上のよう感じです。

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭に書いた通り『Google Chrome 80』がリリースされたわけですが、『Google Chrome』はこのバージョンから『プライバシー保護』などを目的に一部仕様が変更されます。

（実際には約2週間後あたりのマイナーアップデートから段階的に行われるようです。）

今回の仕様変更は『ECサイト』などに影響しますので、今日はそれをご紹介します。

Chrome 80がECサイトに与える影響

今回の『Google Chrome 80』では『Gookie（クッキー）』というブラウザに一時保存されたデータの動作が変更になります。

つまり、『ログイン』や『カート』に入っている商品などの情報を『Gookie（クッキー）』を使って保持している『ECサイト』などにおいては影響が出るわけです。

では、『Google Chrome』における『Cookie（クッキー）』の扱いはどのような変更がされるのか？

『Google Chrome』には、CSRF（cross-site request forgeries：クロスサイトリクエストフォージェリ）という攻撃からユーザーを保護するため『SameSite』という『Cookie（クッキー）』に付与される属性があります。

この属性には3つのものがあり、

None　⇒　Lax　⇒　Strict　の順にセキュリティレベルが厳格になっていきます。

そして、ECサイトなどにおいてこの『SameSite属性』が指定されていない場合、『Google Chrome』からアクセスした際の『Cookie（クッキー）』の扱いが『Google Chrome 79以前』の既定値『None』から『Google Chrome 80以降』では『Lax』に変更されるため、ECサイトなどによっては『ログイン情報が保持できない』、『カートの商品が保持できない』、『複数商品が購入できない』などといったことが起こる可能性があります。

これ以外にも問題が発生し得る条件などがありますが、それに関してはまた後日お伝えしたいと思います。

今日のところはこの辺で。。。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨今、DNS（Domain Name System）インフラを狙った攻撃が増加していることを受け、ICANN（Internet Corporation for Assigned Names and Numbers/アイキャン）が『DNSSEC（Domain Name System Security Extensions）』の導入を呼び掛けています。

では、『DNSSEC』を導入することで何が変わるのでしょうか？

DNSSEC導入で防げるリスク

このDNSインフラの改ざん被害、米国土安全保障省も全省庁に警戒と緊急対策を指示しているほど深刻な問題です。

ではDNS情報の改ざんは検知できないのか？

『DNSSEC』を導入すればそういった改ざんは検知できます。

『DNSSEC』はデータに対してデジタル署名を行うことで改ざんを防ぐ技術ですから、その導入が進めば多くのDNS情報の改ざんが検知できることになります。

（※　すべての攻撃を防げるわけではありません。）

つまり、リスクを減らすことができるわけです。

この『DNSSEC』、日本においてはさらに遅れた状態になっています。

『DNSSEC』はドメインのレジストラとホスト、両方がそれに対応している必要があり、一部のレジストラにおいては有償オプションとして対応しているものの、ホスト側においてはなかなか対応に踏み切っているところは少ない状態にあります。

また、ユーザー側の認知度も低い状態です。

それらを考えると日本における普及はまだまだ時間がかかりそうですが、少しでも多くのレジストラやホスティング会社の対応、そしてユーザーの利用が進むことを願うばかりです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日はすっかり遅くなってしまいましたので少しだけ。

WordPressで『Duplicator』というプラグインを使っている方、脆弱性情報が出ています。

WordPressプラグインDuplicatorに脆弱性

WordPressのプラグインである『Duplicator』において、リモートからの攻撃によって任意のコードが実行される脆弱性が存在することが発表されています。

緊急度の高い脆弱性です。

対象：Duplicator 1.2.40 以前

影響内容：リモートから任意のコードが実行されたり、任意のファイルの任意の箇所を改ざん、追記、または消去されたり、任意の場所に不正な内容のファイルを設置される可能性があります。

対処方法１：当該プラグインを最新版にアップデートする

対処方法２：脆弱性に関連するファイルを削除し、パッチの適用を行う

パッチに関する参考サイト：Duplicator Update Patches Remote Code Execution Flaw

以上、ご参考まで。

これは、2008年より毎年発行されている、情報セキュリティ全般に関する状況をまとめた書籍です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

IPA（独立行政法人情報処理推進機構）はこの時期、前年の4月から当年の3月までの間の情報セキュリティに関するまとめ本を出しています。

今日はその概要に少し触れてみます。

情報セキュリティ白書２０１８概要

情報セキュリティ白書2018概要を見る限りでは、以下の被害項目があげられています。

１．詐欺による金銭被害の増加

２．ランサムウェア被害件数が過去最多に

３．広く普及しているソフトウェアの脆弱性の問題

１は、偽の画面を表示させてユーザーの不安に付け込んだり、偽の電子メールを企業などの従業員に送りつけて金銭を騙し取る『金銭被害』の増加です。

後者の偽メールによるものは『ビジネスメール詐欺』と呼ばれ、今後も攻撃は続くことが予想されるため、注意が必要です。

２は、自己増殖機能をもったウイルスのことで、感染したパソコンに留まることなく、ネットワークを経由して他のデバイスへも影響を及ぼします。

引き続き注意は必要であるものの、現在は減少傾向にあると思われます。

３は今に始まったことではありませんが、Windowsに存在している脆弱性を狙った攻撃や、多くのWebサーバで使われているアプリケーションフレームワークなどの脆弱性を狙った攻撃が多く報告されており、個人情報漏えいなどにも繋がってもいるため、今後もアップデートなどの速やかな適用を行っていかなければなりません。

その他、政府を中心にサイバーセキュリティに対する取り組みはいくつか行われてはいますが、中小・零細企業、小規模事業者においてはそれらに追いついていない感じを受けます。

余裕のない現状とはギャップが生じることもありますが、もう少し情報セキュリティというものに目を向けるべきであるとも感じます。

このセキュリティ更新プログラムには、深刻度が4段階で最も高い『Critical（緊急）』の脆弱性に対処したものが含まれています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の昨日、Microsoft（マイクロソフト）が公開した2018年4月のセキュリティ更新プログラムを受け、注意喚起が出ていますので、今日はその情報です。

2018年4月のマイクロソフトセキュリティ更新

2018年4月のセキュリティ更新プログラムの中には、深刻度が『Critical（緊急）』のセキュリティ更新プログラムが含まれており、脆弱性が悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの恐れがあるものへの対応も含まれているため、Microsoft Update、もしくはWindows Updateなどにて早急にセキュリティ更新プログラムを適用することが望ましいとされています。

今回のセキュリティ更新プログラムの中で、深刻度『緊急』となっているものは以下の通りです。

・Adobe Flashのセキュリティ更新プログラム

・IE（Internet Explorer）のメモリ破損の脆弱性

・Chakraスクリプトエンジンのメモリ破損の脆弱性

・スクリプトエンジンの情報漏えいの脆弱性

・スクリプトエンジンのメモリ破損の脆弱性

・Windows VBScriptエンジンのリモートでコードが実行される脆弱性

・Microsoft Graphicsのリモートでコードが実行される脆弱性

・Microsoftブラウザーのメモリ破損の脆弱性

など

また、4月のセキュリティリリースは、全体的に以下のソフトウェアに対するセキュリティ更新プログラムが含まれています。

・IE（Internet Explorer）

・Microsoft Edge

・Microsoft Windows

・Microsoft Office、Microsoft Office Services および Web Apps

・ChakraCore

・Adobe Flash Player

・Microsoft Malware Protection Engine

・Microsoft Visual Studio

・Microsoft Azure IoT SDK

ここ数日の間にWindowsなどが更新された形跡がなければ、手動でWindows Updateなどを行うことをお勧めします。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日はセキュリティ更新に関する注意喚起が出ていますので、その情報をお届けします。

2018年3月のマイクロソフトセキュリティ更新

冒頭で書いたセキュリティ更新プログラムの中には、脆弱性が悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの恐れがあるものへの対応も含まれているため、Microsoft Update、もしくはWindows Updateなどにて早急にセキュリティ更新プログラムを適用することが望ましいとされています。

今回のセキュリティ更新プログラムの中で、深刻度『緊急』となっているものは以下の通りです。

・Adobe Flash のセキュリティ更新プログラム

・Chakra スクリプト エンジンのメモリ破損の脆弱性

・スクリプト エンジンのメモリ破損の脆弱性

・Microsoft ブラウザーの情報漏えいの脆弱性

・スクリプト エンジンの情報漏えいの脆弱性

など

また、全体的な3月のセキュリティリリースには、以下のソフトウェアに対するセキュリティ更新プログラムが含まれています。

・Internet Explorer

・Microsoft Edge

・Microsoft Windows

・Microsoft Office、Microsoft Office Services および Web Apps

・Microsoft Exchange Server

・ASP.NET Core

・.NET Core

・PowerShell Core

・ChakraCore

・Adobe Flash

ここ1日・2日の間にWindowsなどが更新された形跡がなければ、手動でWindows Updateなどを行うことをお勧めします。

そのラボにおける活動の第一弾として、『日本国内におけるWordPressセキュリティの現状』の分析レポートが公開されています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いたラボが公開した分析レポートにおいて、WordPressへの攻撃（検出箇所）として以下のものが最多として書かれていましたのでご紹介します。

WordPressへの攻撃で最多のものとは

WordPressへの攻撃（検出箇所）で検出が最も多かったものは、『xmlrpc.php』というものです。

『XML-RPC』というのは、遠隔での呼出しを行うプロトコルの一種で、WordPressで言えば、通常の管理画面以外からの投稿を可能にするものです。

WordPressの場合、スマホアプリなどのXML-RPCを使った更新にも対応しているため、xmlrpc.phpというファイルが用意されています。

これが使用可能になっているとどうなるのか？

xmlrpc.phpをターゲットとしたDDoS攻撃などの被害に遭う可能性があり、それを受けた際にはサーバが高負荷状態でパンクしてしまうことにもなります。

つまり、アクセスできない状態にされてしまう恐れがあるということです。

では、これを避けるための対策法はどのようにすれば良いのか？

xmlrpc.phpファイルへの攻撃の対処法

WordPress3.5未満においては管理画面の投稿設定にxmlrpcを無効にするチェックボックスがあったのですが、WordPress3.5以降のバージョンではそれがなく（現在の最新は4.9.4）、デフォルトで有効な状態にあります。

その場合、一番簡単な方法は『.htaccess』でxmlrpc.phpへのアクセスを禁止してしまう方法です。

<Files xmlrpc.php>

Order allow,deny
Deny from all
</files>

と、記述を追加すればOKです。

どうしても特定のIPアドレスからのみ許可をしたい場合、

<Files xmlrpc.php>

Order allow,deny
Deny from all
Allow from xxx.xxx.xxx.xxx
</files>

と、赤字の部分を加えればOKです。

これ以外に、多少サーバへの負荷が残るものを考慮したいのであれば以下の方法が良いです。

<IfModule mod_rewrite.c>

RewriteEngine On
RewriteBase /
RewriteRule ^xmlrpc\.php$ “http\:\/\/0\.0\.0\.0\/” [R=301,L]
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

というように、WordPressで.htaccessに設定される記述に赤字の部分を追加し、xmlrpc.phpへのアクセスを0.0.0.0にリダイレクトさせてしまう方法もあります。

ちなみに、プラグインを使って無効化する方法もありますが、プラグインそのものに脆弱性が見つかることもあるためお勧めではありません。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今年の2月、155万以上ものWordPressサイトが改ざん被害にあいました。

参照：WordPressの改ざん被害発生

これらの攻撃を受けてしまうリスクは、どのWordPressサイトにおいても常に存在しています。

WordPressは常に狙われている

ここ最近、この業務改善コンサルティング情報ブログにも狙われた痕跡がありました。

（現状はトルコ、ロシアから。）

とは言っても、ごく一般的なWordPressサイトに対するスキャンではります。

このようなことは、どのWordPressサイトにおいても起きています。

何故か？

攻撃者によって、悪用可能な脆弱性のあるWordPressサイトを常にスキャンしているからです。

WordPressを被害から守るには

WordPressなどのCMS（Content Management System/コンテンツマネジメントシステム）を使っている以上、脆弱性とは恒久的に付き合っていかなければいけません。

システムというのはそういうものでもあります。

そして、常に攻撃対象となってしまうことからは逃れられません。

これらのサイバー攻撃からWordPressサイトを守るには、WordPress本体、プラグイン、どちらも最新バージョンを維持し続けることです。

WordPressなどのアップデート（バージョンアップ）には、機能向上もあればセキュリティ更新もあります。

Windowsのアップデートと同じです。

カスタマイズによってWordPressがアップデートできないサイトの場合は、WAF（Web Application Firewall/ウェブアプリケーションファイアウォール）などを使って保護してください。

不正アクセスをブロックしてくれます。

ただし、これはWordPressがどうしてもアップデートできない状態にある場合の代替案であって、基本は最新を保つことです。

※　完全には守り切れません。

より良い方法としては、どちらも行う（WordPressなどを最新の状態に保ちながらWAFなどでも保護する）ことが望ましいでしょう。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日は、IPAやJPCERTにおいても注意喚起が促されている脆弱性情報をお届けします。

Java SEを今すぐアップデートせよ

Java SE JREは、Javaプログラムを実行するために必要なもので、多くのパソコンにおいてインストールされています。

いわゆるJava Runtimeと言われているものです（正確にはJava Runtime Environment）。

このJava Runtimeに複数の脆弱性があり、それが悪用された場合、リモートからの攻撃でJavaが不正終了したり、任意のコードが実行されてしまう恐れがあるとされています。

また、この脆弱性は開発者向けのJava SE JDKにも存在するため、どちらも今すぐアップデートする必要があります。

対象となるバージョンは、Java SE JRE/JDK 8 Update 121と、それ以前のバージョンで、Java SE JRE/JDK 6と7も影響を受けるようです。

現在、Oracleから修正済みのものが公開されていますので、いずれもJava SE JRE/JDK 8 Update 131にアップデートすることをお勧めします。

Java SE JREダウンロード先：https://java.com/ja/download/

Java SE JDKダウンロード先：http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html

これに限らず、日々配信される脆弱性情報などはできる限りチェックされることをお勧めします。