皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今年の4月と6月にこのブログでも取り上げた『＋メッセージ』ですが、ある脆弱性が見つかっていたようです。

（4月の記事：＋メッセージはSMSとは別もの）

（6月の記事：＋メッセージの使用には要注意）

＋メッセージにおける盗聴等の脆弱性

9月27日、IPA（独立行政法人情報処理推進機構）とJPCERT/CC（一般社団法人JPCERTコーディネーションセンター）から『＋メッセージ』に関する脆弱性情報が公開されました。

＜概要＞

スマートフォンアプリ「＋メッセージ（プラスメッセージ）」には、SSL サーバ証明書の検証不備の脆弱性が存在します。

想定される影響

中間者攻撃 (man-in-the-middle attack) による暗号通信の盗聴などが行なわれる可能性があります。

＜影響を受けるシステム＞

【NTTドコモ】
・Android アプリ「＋メッセージ（プラスメッセージ）」 42.40.2800 より前のバージョン
・iOS アプリ 「＋メッセージ（プラスメッセージ）」バージョン 1.1.23 より前のバージョン

【KDDI（au）】
・Android アプリ「＋メッセージ（プラスメッセージ）」 1.0.6 より前のバージョン
・iOS アプリ 「＋メッセージ（プラスメッセージ）」バージョン 1.1.23 より前のバージョン

【SoftBank】
・Android アプリ「＋メッセージ（プラスメッセージ）」 10.1.7 より前のバージョン
・iOS アプリ 「＋メッセージ（プラスメッセージ）」バージョン 1.1.23 より前のバージョン

＜対策方法＞

最新版へのアップデート

ちなみに、この脆弱性の報告者は『LINE株式会社』の方であったそうです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本においては個人に限らず、仕事仲間や業務連絡などにおいても『LINE』を活用している人は多いでしょう。

そのコミュニケーションアプリ『LINE』において脆弱性が発覚しましたので、今日はそれをお伝えします。

iOS版LINEにおける脆弱性とは

まず、LINE株式会社の公式ホームページには以下のように掲載されています。

【概要】

コミュニケーションアプリ「LINE」 iOS版（ver7.1.3～7.15）において、アプリに組み込まれたサードパーティ製SDK の脆弱性に起因した SSL サーバ証明書の検証不備の脆弱性があり、信用出来ないネットワーク(※1)を使って「LINE」 iOS版 を利用し特定の暗号通信を行った場合、その内容の盗聴や改竄が行われる恐れがありました。この問題は、2017年11月24日にリリースしたバージョン 7.16で修正されました。

本件脆弱性の影響は、LINE内で表示される各サービスや、外部サービスを利用する際の通信(外部サービスのID・パスワード等を含む)が対象となります。LINEのテキストによるトークの内容(※2)や、LINEのログイン情報（パスワード）、無料通話、ビデオ通話は影響を受けません。

※1 悪意を持って設置されたWiFiアクセスポイントなど
※2 一部の画像や動画などをダウンロードする際の通信は影響を受ける可能性があります

このような内容です。

この問題で影響があるのはiOS版のLINEのみで、Android、Mac OS、Windows版のLINEは影響を受けません。

また、iOS版LINEにおいても影響があるのはバージョン7.1.3～7.15で、7.1.3未満のバージョン、7.16以降のバージョンでは影響を受けません。

ただし、よくあるケースとしてはアプリケーションのアップデートを放置しているなどの場合、運悪く影響があるバージョンで止まったままになっている可能性が考えられるため、直ぐに最新バージョンにアップデートしておくことをお勧めします。

もしバージョン確認をしてから対応を考えるという方は、『設定』⇒『LINEについて』からバージョンが確認できますが、基本的にはアップデート版がリリースされる都度、最新のものにアップデートしておくべきでしょう。

＜参考記事＞

JVN#75453852　iOS 版 LINE における SSL サーバ証明書の検証不備の脆弱性

【脆弱性情報】「LINE」iOS版における SSL サーバ証明書の検証不備の脆弱性に関するお知らせ

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

以前、『DNSSECを使えるなら使うべき』という記事にて、DNSSEC（Domain Name System Security Extensions）に関して触れましたが、このDNSSECに関しても日本においては世界に比べて非常に普及率が低い状況です。

では、これが施されていないとどのような危険性があるのでしょうか？

DNSキャッシュポイズニング攻撃

DNSは、負荷軽減や高速化を目的としてドメインの情報を一時的にキャッシュする仕組みを取り入れていることが多いのですが、このキャッシュ機能を悪用して偽のDNS情報を蓄積させてしまう『DNSキャッシュポイズニング』という攻撃があります。

これにより、本来とは異なる有害サイトへの誘導やWeb、メール内容の盗聴や改ざん、スパムメールの送信など、さまざまな影響を及ぼしたりします。

これらは、自分自身をはじめ、関係者や取引先が騙されてしまい被害にあうなど、重大な問題に発展する可能性を秘めています。

DNSSECの普及状況

さて、このDNSSECの普及状況を見てみると、アメリカ、ヨーロッパあたりは20%強程度普及していますが、日本においては9%程度、アジアの平均程度しか普及していません。

（北欧などの一部の地域では90%を超えています。）

日本は国の行政機関も大半は対応しておらず、ここでも日本におけるセキュリティ意識の低さを感じます。

ただし、日本においては整備が追い付いていないことから行えない現状もあるようで（レジストラなどが対応していない）、現時点においては行えないという方が正しいかもしれません。

日本国内においても早く整備されることを願うばかりです。

しかし、そこには多くの危険が潜んでいます。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

ここ最近、Googleを主導としたウェブの暗号化については多少ホットな話題ではありますが、ビジネス上、頻繁に使われる電子メールのやりとりにおいてはそれが忘れられているように感じます。

今日は、そんな電子メールの安全なやりとりに関してお話しします。

電子メールのやりとりに多い例

よくあるケースとして、以下のようなやりとりが行われることが多いです。

１．AからBにパスワード付の添付ファイルを添付したメールを送る

２．AからBに別のメールで１のパスワードを送る

３．Bが１と２を受け取り、添付ファイルを開く

このやりとりの流れに心当たりがある方は多く存在するかと思います。

しかし、このやりとりにおいて電子メールは平分、つまり暗号化されていないもので送られていることが大半です。

この場合、悪意のある第三者にパスワードを盗聴されてしまえば簡単に添付ファイルは開くことができてしまいます。

電子メールの安全なやりとり

電子メールのやりとりにおいて問題なのは、平分で送っていても添付ファイルに対するパスワードは別のメールで送っているから大丈夫だという認識です。

これはまったくもって大丈夫ではありません。

ではどうするか？

電子メールにおいても暗号化を用いることです。

よく知られているものとしては、銀行などから送られてくるメールに付いているデジタル署名（S/MIME）証明書を用いる方法です。

双方がデジタル署名（S/MIME）用の証明書を取得し、それを使って電子メールを送信することで暗号化することができます。

これを用いた場合、もし相手がデジタルIDを持っていなかった場合には平分で送られてしまうことにはなりますが、送信者を証明してくれるものにもなるため、『なりすまし防止』にも役立ちます。

また、他の方法としてはPGPというツールを用いて暗号化をする方法があり、この場合においては電子証明書がなくても暗号化してやりとりすることができます。

いずれにしても相手のあることですから、各取引先と協議を行い、お互いにリスクを回避するためにこれらの導入を検討されることをお勧めします。

2020年の東京オリンピックに向けて無料のWi-Fiスポットはさらに増え続けます。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

非常に便利に感じる無料のWi-Fiスポット＝公衆無線LANスポットですが、便利になった反面リスクも伴っていることをご存じでしょうか？

公衆無線LANスポットでの危険性

カフェ・ホテル・駅・空港などを含め、街中のあらゆるところに設置されている無料Wi-Fiスポット＝公衆無線LANスポットは、誰でも簡単にアクセスできるという利便性が優先されているため、非常に安全性に欠ける設定になっています。

これらをそのまま利用すると最悪どのようなことが起きるのか？

スマートフォンなどのモバイル端末から公衆無線LANスポットにアクセスしている間中、通信を盗聴される危険性にさらされていることになります。

理由は、利便性を優先していることから通信の暗号化が行われていない、もしくは暗号化が非常に軽微なものにしかなっていないことにあります。

その顛末として、最悪はFacebookなどのIDやパスワードが盗まれ、それを利用されて乗っ取られてしまうといったことや、重要な情報が盗まれてしまうといったような被害にあう可能性があります。

Wi-FiスポットでのVPN活用

無料で公開されているWi-Fiスポットにリスクがある以上、選択肢としては2つになります。

１．絶対に無料のWi-Fiスポット＝公衆無線LANスポットを使わない

２．自衛手段を講じる

このどちらかになります。

しかし、前者の選択肢はなかなか取りづらいものがあるかもしれません。

（この自己ルールはあまり現実的ではないと考えられる。）

となると、残るは自衛手段を講じることになるのですが、そこでお勧めしたいのがVPN（Virtual Private Network/仮想プライベートネットワーク）サービスの活用です。

このVPN、簡単に言えば第三者が侵入する事のできない、暗号化された安全なネットワークを構築することができます。

（企業における拠点間接続にはよく使われています。）

また、個人として考えるとVPNはネットストーカー対策にもなります。

VPNサーバーを介してアクセスしますので、簡単に言えば、日本に居ながら海外からアクセスしている状態にもできますので、アクセス元が割り出されにくいと言えます。

営業マンが外出先で無料のWi-Fiスポットにアクセスし、悪意のある第三者に情報を盗まれてしまったというケースもありますので、それらを守るにはVPNを活用するのも1つの手です。

（実際に筆者である私もVPNサービスを使っています。）

仕事であってもプライベートであっても安全であることは非常に重要です。

この機会に是非VPNの活用を考えてみてください。

追伸：以前に『セーフブラウジングを行うには』にてVPNのご紹介をいたしましたが、少々伝わりづらかった面もあり、今回はWi-Fiスポットの活用を視点に書かせていただきました。