皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

金融機関や大手企業においては絶対と言って良い程採用されている『EV（Extended Validation） SSLサーバ証明書』ですが、この証明書によってURLバーに表示される組織名が間もなく消えてしまいます。

グリーンバーが間もなく消えます

『EV SSLサーバ証明書』の場合、取得には登記簿の提出などの要件があることから『本物』であることを『グリーンバー』として表示し、安心材料の一つとなっていました。

しかし、米国では州を変えて申請することで既知の企業と同じ組織名を表示する『EV SSLサーバ証明書』が作れてしまうという落とし穴があったとされています。

（これ、日本においても会社法上、同一商号は最小行政区ですら要件次第では登記可能ですから同じようなことが言えるとは思いますが。。。）

つまり、『EV SSLサーバ証明書』で組織名が表示されていても『偽物』の場合があり得てしまうということです。

このようなことからGoogleは一定のテストを行ったようで、結果的には来月リリース予定の『Google Chrome 77』からは『グリーンバー』を表示しない仕様へ変更する予定をしています。

（詳細情報での組織名確認は可能です。）

また、ブラウザへの仕様変更は『Firefox』でも同じように『グリーンバー』を表示しない方向で進めているようで、iOSにおける『Safari』は既に非表示になっています。

今後の対策としては、ブラウザの機能にある『セーフブラウジング』やセキュリティソフトに搭載されている同様の機能を活用していくことで被害を防ぐことになるのかもしれません。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨今のサイバー情勢においてパスワードに『123456』を使っているのであれば情報漏えいしてもやむを得ないと思いますが、逆に、情報漏えいしにくいパスワードを設定している人達はどのようなパスワードを設定しているのでしょうか？

米国ホワイトハッカーのパスワード

パスワードは12桁程度の文字数では10分程度で解読されてしまうと言われていますが、米国のホワイトハッカー達はその2倍程度のパスワードを設定しているとされています。

そして、この覚えられないくらい長さのパスワードは米国の政府職員においても行われていると言います。

彼らは『パスワード』を『パスワード』ではなく『パスフレーズ』としてパスワード設定を行っているとされており、『フレーズ化』されたものであればある程度長くても自分の決めたルールであれば普通に思い出せるということです。

これ、米国のホワイトハッカーの間では23桁以上の文字数であれば良いと言われているようで、『パスワード』を『フレーズ化』した『パスフレーズ』にして運用しているようです。

もちろん、いくつもそういった『パスフレーズ』を作っているわけではなく、利用するサービスごとに一定のルールを付与して運用しているようです。

この方法は日本語をローマ字にした場合にはさらに強固になり得ます。

英語で『TheFirstDogIsJohn』というパスワードを日本語でローマ字にした場合、『1BanmenoInuhaJohnDesu』といった感じになります。

『いち』という部分に数字を使ったり随所に大文字を混ぜているのも有効な方法で、『わ』ではなく『は』をローマ字にしているのもポイントです。

これに利用サービスの一部の文字と記号を混ぜてあげればかなり強固なものになります。

『Yaho@1BanmenoInuhaJohnDesu』や『Raku@1BanmenoInuhaJohnDesu』といった感じでのようにです。

とは言え、日本においてここまで行われるようになるのは遠い先の話しになるのかもしれません。

それだけセキュリティ意識の低さを感じています。

ご参考までに。

さて、現在のWindowsの状態は？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

いよいよ来週、新元号『令和』がスタートします。

そんな中、少々気になる部分も残っています。

それは？

Windows の令和対応は間に合うのか？

今日は2019年4月25日ですが、今朝『Windows』の日付と時刻を『和暦』で確認してみると5月1日以降も『平成』のまま。

？？？

これ、未だ新元号『令和』に対応したパッチ（更新プログラム）が間に合っていない状態なのです。

日本マイクロソフトによると、『本国（米国）の技術チームが準備を進めているものの配信時期が確定していない。』とされているようで、このGW（ゴールデンウイーク）前までには間に合わない可能性もあるとのこと。

配信される予定のパッチ（更新プログラム）は新元号の『令和』に対応し、2019年4月30日までは『平成31年』、2019年5月1日以降は『令和元年』と認識させるもので、IME（かな漢字変換機能における『令和』の変換、令和を全角1文字で表す『合字』の追加も予定されています。

これが間に合わないとなるとどうなるのか？

Windows上で動作するシステムにおいて『改元』に伴う誤動作が発生する可能性があります。

今後の課題として、

１．システム上で改元用の予備項目を設けておく

２．西暦のみで対応していく

といったことが必要かもしれませんね。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

以前から噂されていたApple（アップル）のクレジットカード分野への参入、ついに発表されました。

さて、その内容は？

Apple Cardがこの夏登場する

やっとAppleがクレジットカード分野に参入します。

その名はシンプルに『Apple Card』で、『Apple Pay専用』のクレジットカードになります。

使える場所は他のクレジットカードを『Apple Pay』に登録した場合と同じで、世界中の『Apple Pay加盟店』と『App Store』です。

還元率はApple Storeでの買い物で3%、それ以外は2%で、『Apple Cash』としてバーチャルカードに還元されます。

還元された『Apple Cash』は『Apple Pay』での利用、『iMessageでの送金』、『Apple Cardの支払い』に使えます。

この『Apple Card』、年会費、支払手数料、遅延手数料、国際手数料、制限超過手数料が一切ないと発表されており、月々の支払いも調整できるとされています。

セキュリティは他のクレジットカードにはない独自のもののようで、他のものよりも安全とされています。

また、Appleには利用履歴などは記録されず、iPhone上の処理で行われるためプライバシー的にも安心な設計と発表しています。

ただし、当初は米国向けからのスタートです。

＜参考動画 / Introducing Apple Card — Coming Summer 2019＞

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨今、DNS（Domain Name System）インフラを狙った攻撃が増加していることを受け、ICANN（Internet Corporation for Assigned Names and Numbers/アイキャン）が『DNSSEC（Domain Name System Security Extensions）』の導入を呼び掛けています。

では、『DNSSEC』を導入することで何が変わるのでしょうか？

DNSSEC導入で防げるリスク

このDNSインフラの改ざん被害、米国土安全保障省も全省庁に警戒と緊急対策を指示しているほど深刻な問題です。

ではDNS情報の改ざんは検知できないのか？

『DNSSEC』を導入すればそういった改ざんは検知できます。

『DNSSEC』はデータに対してデジタル署名を行うことで改ざんを防ぐ技術ですから、その導入が進めば多くのDNS情報の改ざんが検知できることになります。

（※　すべての攻撃を防げるわけではありません。）

つまり、リスクを減らすことができるわけです。

この『DNSSEC』、日本においてはさらに遅れた状態になっています。

『DNSSEC』はドメインのレジストラとホスト、両方がそれに対応している必要があり、一部のレジストラにおいては有償オプションとして対応しているものの、ホスト側においてはなかなか対応に踏み切っているところは少ない状態にあります。

また、ユーザー側の認知度も低い状態です。

それらを考えると日本における普及はまだまだ時間がかかりそうですが、少しでも多くのレジストラやホスティング会社の対応、そしてユーザーの利用が進むことを願うばかりです。

これにより、以前お伝えした通りのものが破棄されます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

以前、『Symantec系SSL証明書の停止』という記事にてお伝えした通り、Symantec系の証明書に対する信頼が破棄されました。

Symantec系の証明書への信頼破棄

GoogleのウェブブラウザChromeが正式にChrome 66となりました。

以前の予告通り、Symantec CA（認証局）によって2016年6月1日より前に発行された証明書に対する信頼は破棄されます。

従って、Symantec CAによって2016年6月1日より前に発行された証明書を使用している場合、信頼される認証局から発行された新しい証明書に変更する必要があります。

（本来はChrome 66の正式リリースより前に変更しておくべきです。）

また、10月後半でリリース予定のChrome 70においては、Symantecルートに結びついている証明書すべてに対して信頼が破棄されます。

ただし、DigiCertがSymantecの証明書事業を買収した後にDigiCertから再発行された証明書は除外されます。

今一度証明書を見直し、該当する場合は直ちに証明書の置き換えが必要です。

以下、参考までに掲載しておきます。

サイト運営者向けの情報

Chrome 66 以降、Symantec によって 2016 年 6 月 1 日より前に発行された証明書に対する信頼が破棄されます。現時点では、Chrome 66 は Chrome ベータ版ユーザーに対して 2018 年 3 月 15 日に、安定版ユーザーに対して 2018 年 4 月 17 日頃にリリースされる予定です。

Symantec CA によって 2016 年 6 月 1 日より前に発行された証明書を使用しているサイト運営者は、Chrome 66 のリリースよりも前に、既存の証明書を Chrome が信頼する認証局から発行された新しい証明書に置き換える必要があります。

また、Symantec は 2017 年 12 月 1 日までに信頼できる公式の証明書の発行と運用を DigiCert インフラストラクチャに移行し、この日付以降に古い Symantec インフラストラクチャから発行された証明書は Chrome で信頼されなくなります。

Symantec の古いインフラストラクチャとそれらが発行したすべての証明書に対する信頼が完全に破棄される Chrome 70 は、2018 年 10 月 23 日の週前後にリリースされる予定です。これにより、Google に以前公開された独立して運用されている監査済みの下位 CA が発行した少数の証明書を除いて、Symantec ルートに結び付けられているすべての証明書が影響を受けます。

Symantec の既存のルート認証局および中間認証局から証明書を取得する必要のあるサイト運営者は 2017 年 12 月 1 日まで Symantec の古いインフラストラクチャから取得することができますが、これらの証明書は、Chrome 70 がリリースされる前に再度置き換える必要があります。また、Symantec のインフラストラクチャから発行された証明書は、有効期間が 13 か月に制限されます。代替策として、サイト運営者は Chrome が現在信頼している他の認証局から代替証明書を取得することができます。これらの証明書は、こうした信頼の破棄や有効期間の制限の影響を受けません。

by Google Developers Japan

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いたマルウェアの踏み台にされている件ですが、これは中小企業での被害が目立っているという報告がありますので、今日はそのことについてお伝えします。

セキュリティ意識が低いユーザーは危険

米国のネットワークセキュリティ企業の分析では、古いWindows OSを使い続けたり、ウイルス対策ソフトを導入していなかったりした、セキュリティ意識の低いユーザーを標的にしているものが、数年にわたって毎月多く検出され続けています。

これが一番多いのは米国ですが、米国に次いで多いのは日本で、中小企業が所有するサーバの被害が目立つともされています。

これらの被害は現在のセキュリティツールで対処可能であるにも関わらず、古いWindows OSなどを使い続ける、セキュリティに対する意識の低さが被害を継続的に招いていると指摘されています。

実際問題、中小・零細企業、小規模事業者においてはそのような傾向が見受けられ、それに対する意識の低さもあれば、セキュリティ対策へのコストが捻出できない実状もあったりします。

しかしながら、サイバー攻撃などによる被害にあった場合、それ以上の損害が発生する可能性も高いことから、何とか一定以上のセキュリティ対策を行っていただきたいものです。

ちなみに、これらの被害は事業者だけではなく、個人ユーザーにおいてもセキュリティ意識の低いユーザーがターゲットになりやすいことも同様です。

この金曜日は、セールでディスカウントされた商品を目的に購買者が殺到して黒字になることからブラックフライデーと呼ばれている。

そして、今年のブラックフライデーにおけるオンラインショップの小売りの総売上高は過去最高の50億ドルを突破した。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いた景気の良い話し、これはどんな商材にでも当てはまるのでしょうか？

そんなことはありません。

売れないわけではありませんが、ネットショップで販売するもので非常に壁が高い商材もあります。

ネットショップでハードルが高い商材

まず、ネットショップで普通に売れる商材は大半が工業製品です。

例えば、Aというメーカーのゲーム機であったり、Bというメーカーのテレビ、これらはどこで購入しても同じものが手に入る工業製品です。

こういった工業製品は、ネットショップが怪しい危険なサイトでない限り安ければ売れます。

ただし、当然ながら検索上で上位表示されるサイトでなければ見てもらえませんし、安さ勝負の価格競争という土俵に乗ることは必要になります。

では、ネットショップで販売する商材の中でハードルが高い商材とはどういうものか？

工業製品以外の高額品、例えば宝飾品などです。

この場合、ハリー・ウインストンやカルティエなどのブランド品や看板のある百貨店などの知名度のあるところを除き、無名の店舗がネットショップで勝負するのは非常にハードルが高いものとなります。

理由は簡単で、高いお金を払って偽物を買わされるリスクがあることや、ネットショップに掲載されている写真だけでは判断がつかないことなどがあります。

ただし、元々は路面店などにて実店舗販売がされており、インターネット上においても良い評判のところがネットショップ販売している場合などは勝算の可能性があります。

そうではない場合、ご自身がそのネットショップサイトで高額な宝飾品などを購入されるかどうかを思い浮かべてもらえばおわかりいただけるかと思います。

※　CDNとは、Webコンテンツをインターネット経由で配信するために最適化されたネットワークのことです。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

CDNサービスの中でも無料プランが用意されていることで有名なCloudflareですが、この無料の範囲には注意しなければいけないものもあります。

※　無料プラン以外に、プロプラン（$20/月）、ビジネスプラン（$200/月）、エンタープライズプラン（$5,000/月）があります。

Cloudflareの仕組み

CloudflareなどのCDNは、レンタルサーバなどのオリジナルサーバとVisitorであるウェブサイトへの訪問者（ブラウザ）の間に存在します。

オリジナルサーバにあるコンテンツをCloudflareなどのCDNサービスが最適化（キャッシュや軽量化など）を行い、ウェブサイトへの訪問者に提供しています。

もちろん、ウェブサイトへの訪問者はそういったサービスが介在しているウェブサイトかどうかはわかりません。

通常のウェブサイトと全く同じように閲覧することになります。

CloudflareにおけるSSLの注意点

CloudflareのSSL（暗号化通信）には、Off、Flexible、Full、Full（strict）の選択があり、Offはもちろん暗号化通信なしですが、Flexibleはウェブサイトへの訪問者とCloudflareの間のみ暗号化通信され、Cloudflareとオリジナルサーバの間は暗号化通信されません。

また、FullのモードにおいてはCloudflareとオリジナルサーバ間においても暗号化通信がなされますが、Fullの場合はオリジナルサーバ側のSSL証明書が自作のものであってもよく、Full（strict）の場合のみ公的に信頼された認証局によって署名された有効なSSL証明書を要するというモードになっています。

つまり、完全な暗号化通信と公的に信頼された認証局に署名されたSSL証明書、これらの条件が必ず満たされていなければならないのはFull（strict）のモードのみということになります。

一般的に考えた場合、ウェブサイトの常時SSL化は訪問者のブラウザとオリジナルサーバの間が暗号化通信となり、そこには公的に信頼された認証局に署名されたSSL証明書が存在します。

ここから考えると、こういったCDNサービスを使う場合においてもすべてに暗号化通信がなされ、公的に信頼された認証局に署名されたSSL証明書が存在することがユーザーの安全性を確保するものと考えることが妥当でしょう。

そのあたりは是非念頭において活用していただきたいものです。

ちなみに、Full（strict）のモードはビジネスプラン、エンタープライズプランへのアップグレードや、Cloudflareにおける専用証明書の購入をしなくても使うことは可能ですが、ブラウザにてSSL証明書の発行先確認をした場合にはCloudflareのドメイン（Universal SSL）が表示されるため、訪問者に安心してもらうにはサイトシールなどにてドメインや企業名などの確認ができる状態を作っておくことが望ましいと思われます。

そしてこのほど、来年、2017年3月までに『Yahoo!JAPAN』を常時SSL化することを発表しました。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

やっとYahoo!JAPANも常時SSL化を発表しました。

以前も記事として書いた通り、常時SSL化は確実に進んでいます。

（当サイトも常時SSL化になっています。）

従来においても機密性が高いデータの送受信にはHTTPS（SSL暗号化通信）を採用していたわけですが、これを全てのコンテンツに拡大するというものです。

Yahoo!が常時SSL化する理由

１．インターネット利用でのセキュリティやプライバシー対策強化のため、米国の主要サービスでは常時SSLが一般的になってきている。

２．スマートフォンやタブレットなどのモバイルデバイスの普及により公衆無線LANの利用拡大が加速しており、公衆無線LANを利用した通信は送受信中のデータを第三者に覗き見されるリスクが高いため、常にデータが暗号化された送受信となる常時SSLが必要となってきている。

Yahoo!JAPANは、これらを常時SSL化する理由としてあげているようです。

Windows XPでは利用できなくなる

Yahoo!JAPANが常時SSL化されることにより、Windows XPユーザーの一部はYahoo!JAPANのサービスが利用できなくなる可能性があり、Yahoo!JAPANを継続して利用するためにはWindows OSのアップグレードを行うよう説明しています。

この件は、Windows XP対応のブラウザーが新しい技術に対応していないことからでしょう。

Windows Vista以降においては問題なく利用が可能です。

（当サイトも同じ対応条件になっています。）

常時SSL化はもっと加速する

今後、常時SSL化に関しては今以上に加速していくでしょう。

GoogleやYahoo!をはじめとする大手検索サイトのみならず、日本の一部の企業においても常時SSL化は行われています。

ユーザーの安全性を考えると妥当な措置かと思います。

今後のことを考えると、早めに常時SSL化を検討されることをお勧めします。