皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日はiPhoneであっても注意した方が良いという話です。

ここ最近、IPAにこんな相談が寄せられているようです。

カレンダーに身に覚えのないイベント

まず、この問題の結論から書きます。

今回の問題は、iCloudカレンダーの『共有機能』や『出席依頼機能』が悪用され、自身のiCloudメールアドレスが何らかの方法で知られてしまい、そのアドレスが共有先として設定されると、不審なカレンダーやイベントが自身のiPhoneに登録される可能性があるとされています。

この具体的な手口は以下のようになります。

＜１．iPhoneのカレンダーに身に覚えのないイベントがある＞

・iPhoneに身に覚えのないカレンダーの通知が表示される。

・iPhoneのカレンダーに身に覚えのないカレンダーやイベントが登録されている。

・イベントのタイトルには「ウイルスに感染している可能性があります」、「あなたのiPhoneは保護されていません！」などと記載されている。

・イベントにはURLが記載されている。

＜２．イベント内のURLから不審なサイトへ誘導される＞

・イベントに記載されているURLをタップして、不審なサイトにアクセスする。

＜３．アクセスした不審なサイト経由で被害にあう＞

・アクセスしたサイト経由で、不審なセキュリティ対策アプリ等のインストールへ誘導される可能性がある。

・アクセスしたサイトで、メールアドレス、電話番号、クレジットカード情報などの個人情報を入力すると、情報を詐取される可能性がある。

そして、アクセス先のサイト経由でアプリをインストールしたり、サイトに個人情報等を入力すると被害が発生する可能性があるとされています。

このような事象への対処法は以下の通りで紹介されています。

・身に覚えのない共有カレンダーの参加依頼が届いた場合は、参加依頼のスパム報告をする

・身に覚えのない共有カレンダーがある場合は、共有カレンダーを削除する

・身に覚えのないイベントの参加依頼が届いた場合は、不審な参加依頼のスパム報告をする

これらの対策法としては、

・手口を知る

・不審なカレンダーやイベントの参加依頼は削除する

・URLを安易にタップしない

・アプリのインストールは慎重に

・パスワードや認証コード等を安易に入力しない

ということになります。

念のため、IPAが掲載している『安心相談窓口だより（PDF版）』のURLを記載しておきますので参考にしてください。

『iPhone に突然表示される不審なカレンダー通知に注意！（PDF）』

それにより、非常に多くの労力を強いられることになってしまったそうです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

ある方はSNSをはじめとするウェブサービスにおいて『2要素認証（Two Factor Authentication）』を使っていました。

そして、ある時スマートフォンの機種を変更した際に悲劇が起きてしまったそうです。

2要素認証は安全だがリスクもある

2要素認証（Two Factor Authentication）というのは、ウェブサービスにログインする際、ID・パスワードなどで認証させた後、さらにスマートフォンなどでワンタイムパスワードを使って認証させるといった、2つの要素で認証をすることですが、これは安全ではあるものの若干リスクを伴うとも言えます。

何がリスクか？

2要素目の認証部分はスマートフォンなどにQRコードを読み込ませて登録したり、アプリケーションを入れ、そのアプリケーションで認証させたりします。

そして、もしスマートフォンを機種変更したり、トラブルで初期化してバックアップから復元するようなことが起きた場合においてはそれは元に戻りません。

簡単に言えば、スマートフォンの機種変更やバックアップからの復元の際には『2要素認証を解除』しておく必要があるということです。

もし解除していなかった場合、『バックアップコード』などにてウェブサービスにログインすることは可能ですが、これも保管していなかったとしたら最悪なことが起きる場合があります。

ウェブサービスに完全にログイン不可能になります。

とは言え、救済方法が全くないわけではありません。

登録されている携帯電話番号宛にSMS（ショートメール）で認証コードを送って救済してくれるものもあります。

しかし、SMS（ショートメール）に認証コードを送って救済してくれるウェブサービスばかりではありません。

サポートセンターに連絡をし、そのウェブサービスに登録されている情報を細かく提示した上で完全に情報を一致させるなどしなければ解除してもらえないものも多くあります。

このように、最終的な解決までには非常に労力を要することにもなります。

もっと最悪な場合はアカウントが使えなくなる場合もあり得るでしょう。

2要素認証（Two Factor Authentication）を使われている方、くれぐれもお気を付けください。

注：2要素認証（Two Factor Authentication）と2段階認証（Two Step Verification）は厳密には異なるものですが、前述のような事例の場合にはどちらにおいても一時解除した方が良いと言えます。

しかし、注意しなければいけないこともあります。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

最近では、WordPressなどのCMSをレンタルサーバ側にて用意してくれているところも多くあります。

また、それらの管理画面へのログインに対して『海外からのログインを制限する』といったボタンを用意してくれているところもあります。

しかし、これに関しては注意しなければいけないこともあります。

海外からのログインを制限する上での注意

WordPressなどのCMSで作られたウェブサイトが攻撃を受ける場合、多くは海外からのものにはなります。

それを回避するために海外からの管理画面へのログインを制限してしまうことを行うわけですが、海外のキャッシュサーバ、CDNなどを使っている場合においては注意が必要です。

例えば、レンタルサーバ側に海外からのログインを制限する項目があったとして、それを有効にしているとします。

この場合、多くはwp-login.phpと/wp-admin/に対して制限がかかるわけですが、前述のように海外のCDNなどを使っていた場合においては問題が起きるケースがあります。

ユーザー名、パスワード、（認証コード）を入れてログインボタンを押した際、wp-login.phpのGET POST処理が走り、この時に問題は起きます。

403エラーとなってしまうことがあるのです。

通常、海外のCDNなどを使っていて、そのIPアドレスが海外のものであったとしても物理的な場所は日本であったりもします。

しかし、これがローテーションで物理的な場所が日本以外のIPアドレスとなった場合、403エラーになるわけです。

403エラーに対する対処法

この場合、一番手っ取り早いのは海外からの管理画面へのログイン制限をオフにすることですが、どうにもすべてを可能な状態にしておくのも少々不安であるとも思えます。

ではどうするか？

.htaccessなどにwp-login.phpファイルにおけるGET POST処理を制限する記述を加えます。

<Limit GET POST>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
allow from xxx.xxx.xxx.xxx
</Limit>

allow from xxx.xxx.xxxの部分はCDNなどにて使われるIPアドレスをすべて記述していきます。

これでCDNなどの物理的なIPアドレスが海外であったとしても問題なく、それ以外のIPアドレスからは制限されることになります。

そしてもう1つ、一番簡単な方法としては記事を投稿するなど管理画面にログインしなければいけない時だけ海外からの管理画面へのログイン制限をオフにし、作業が終わったらオンに戻すといったことであればもっとシンプルではあります。

ただし、この方法はオンに戻すことを忘れてしまった場合のリスクはありますので注意が必要です。