皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

『iOS 13.4.1』のリリース後、『iOS 13.4.5』がリリースされると思いきや、『iOS 13.4』から約2ヶ月で『iOS 13.5』のリリースとなりました。

今日はその情報をお伝えします。

iOS 13.5リリースノート

以下、『iOS 13.5』のリリースノートになります。

iOS13.5では、マスク着用時にFace ID搭載デバイスのパスコードフィールドに素早くアクセスできるようになります。また、公的保健機関から提供される新型コロナウイルス感染症（COVID-19）接触追跡Appに対応する接触通知APIが導入されます。このアップデートにはさらに、グループFaceTime通話のビデオタイルを自動的に目立たせる機能を制御できるオプションが追加され、バグ修正およびその他の改善も含まれています。

＜Face IDとパスコード＞

・Face ID搭載デバイスでのマスク着用時のロック解除操作を簡略化

・マスク着用時にロック画面の下端から上にスワイプすると、パスコードフィールドが自動的に表示

・App Store、Apple Books、Apple Pay、iTunesや、Face IDでのサインインに対応するその他Appでの認証時にも使用可能

＜接触通知＞

・公的保健機関から提供される新型コロナウイルス感染症（COVID-19）接触追跡Appに対応する接触通知API

＜FaceTime＞

・グループFaceTime通話で参加者が話しているときにビデオタイルのサイズが変更されないように、自動的に目立たせる機能を制御できるオプション

＜その他の改善など＞

・一部のWebサイトからストリーミングビデオを再生しようとしたときに黒い画面が表示されることがある問題を修正

・共有シートでおすすめやアクションが読み込まれないことがある問題に対処

・etc…

以上のようになっています。

また、『iPadOS 13.5』も同時リリースされていますが、『iPadOS』には接触追跡機能は含まれていないようです。

なお、『Thunderbird』に関しては先月、Mozilla Foundationから同完全子会社のMZLA Technologies Corporationに移管されました。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、お休み前の金曜日となる今日は軽めにリリース情報をお伝えします。

Thunderbird 68.5とFirefox 73.0

まずはメールクライアントの『Thunderbird 68.5』からです。

＜Thunderbird 68.5＞

（新機能）

・IMAP/SMTPの『Client Identity』拡張への対応

・POP3アカウントの『OAuth 2.0』認証をサポート

（修正と変更）

・アカウントのセットアップ中にステータス領域が空白になる件を修正

・カレンダーのデフォルトカテゴリの色を削除できなかった件を修正

・カレンダーコンポーネントが複数回読み込まれないように修正

・カレンダーの今日のウィンドウがセッション間の幅を保持しなかった件を修正

・その他セキュリティ修正

次にブラウザソフトの『Firefox 73』です。

＜Firefox 73.0＞

（新機能）

・デフォルトのズームレベル設定を実装

・Windowsのハイコントラストモードが有効の場合にFirefoxの背景画像を無効した

（修正と変更）

・オーディオを再生するときのオーディオ品質を改善

・ログインフォームのフィールドが変更された場合にのみ、ログインの保存を求めるプロンプトを表示するように修正

・WebRenderにおいて432.00より新しいドライバーと1920×1200より小さい画面サイズのNVIDIAグラフィックカードを実行するWindows 10ラップトップを含むように拡張

・その他セキュリティ修正

以上のようになります。

また、法人向けの延長サポート版『Firefox ESR』も『Firefox ESR 68.5』がリリースされています。

今回のリリースは6件のセキュリティ問題を修正した『セキュリティリリース』となります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の昨日、『WordPress』の更新版『WordPress 5.2.4』が公開されました。

今日はそのニュースをお伝えします。

WordPress 5.2.4セキュリティアップデート

さて、今回のリリースは『WordPress 5.2.3以前のバージョン』で影響を受けるとされる『セキュリティリリース』となります。

『すぐにサイトを更新することを強くお勧めします』といったコメントは特別ありませんでしたがアップデートすることが無難でしょう。

以下、アップデートの内容です。

・格納型XSS(クロスサイトスクリプティング)がカスタマイザー経由で追加される可能性の問題が発見された件の修正

・認証されていない投稿を表示する方法が見つかった件の修正

・JavaScriptをスタイルタグに挿入する格納型XSSの作成方法が発見された件の修正

・Vary: Origin ヘッダーを介して JSON GETリクエストのキャッシュをポイズニングする方法が見つかった件の修正

・URLの検証方法でサーバーサイドリクエストフォージェリが発見された件の修正

・管理画面のリファラーバリデーションに関連する問題を発見された件の修正

以上のようになっています。

いつもの通り、早めの段階で『WordPress 5.2.4』へアップデートされることがお勧めです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭に書いた通り今日から『ドコモ』、『au』、『ソフトバンク（Y!mobile）』から他キャリアへ送信可能なSMS（ショートメッセージサービス）の文字数が全角70文字から全角670文字に拡張されます。

しかし、これに疑問を感じる方はいないのでしょうか？

SMSが670文字に拡大される時代錯誤

これだけIT技術の進化や通信インフラが整備され、かつ『定額通話』や『定額データ通信』という状況にある中で何故『SMS（ショートメッセージサービス）』の仕様を拡張するのか？

１．スマートフォンアプリの認証に広く普及してしまっている

２．フィーチャーフォン（ガラケー）であっても簡単に使える

３．携帯キャリアの貴重な収入源になっている

といったことがあるかと思います。

しかし、１に関しては過去に『インターセプト』された事件があり、NIST（National Institute of Standards and Technology / アメリカ国立標準技術研究所）が3年程前に『SMS認証を推奨しない』と発表しています。

２に関しては、2020年後半から2021年あたりにかけて『3G』が終了していくため、純粋なフィーチャーフォン（ガラケー）というものがなくなり、俗に言う『ガラホ（見た目はガラケー、中身はスマホ）』に切り替えていくことになるため、『LINE』などのアプリも使えるようにもなり、料金的にも『定額プラン』を選択することになるでしょう。

そして、３に関しては言うまでもないでしょうが『SMS（ショートメッセージサービス）』は携帯キャリアにとって貴重な収入源になっているはずです。

昨年始まった『＋メッセージ』もあまり普及はしておらず、『打倒LINE』というのは遠い話しの状況で、受信者が『＋メッセージ』のアプリを使っていなければ送信した側は通常の『SMS（ショートメッセージサービス）』扱いとなるため料金が発生します。

結果的にはどの部分をとっても中途半端な状態なわけです。

これは利用者側にも問題があるでしょう。

ちょっとしたメッセージであればあっさり『SMS（ショートメッセージサービス）』を使ってしまう。

相手と『LINE』で繋がっていなかったり『携帯メール』を知らなかったりすると、結果的には電話番号だけで簡単に送れてしまうことからある意味便利なのでしょう。

では、iPhone同士の場合はどうでしょうか？

『iMessage』という仕組みができ上っています。

つまり、携帯キャリア次第で何とでもなる話しだということです。

これを改善していくとすれば、各アプリケーションでの『SMS認証』を廃止してしまうことでしょう。

そうすれば『SMS（ショートメッセージサービス）』の利用率は今よりも格段に減る可能性があります。

そして、利用者が減少すれば携帯キャリアも違うことを考えるに違いありません。

この『iOS 12.4』では、『古いiPhone』から『新しいiPhone』へのワイヤレスによるデータ移行が可能となりました。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

リリースされたばかりの『iOS 12.4』では、新旧間の『iPhone』において『直接データ移行』が可能となる機能が追加されました。

ただし、双方のiPhoneで『iOS 12.4』が搭載されていることが前提になります。

iOS12.4で新旧直接データ移行

従来、旧機種から新機種に機種変更をした場合は『iCloud』か『Windows PC』や『Mac』に保存されているバックアップからリストアすることでデータを移行していましたが、今回の『iOS 12.4』からは直接データを移行することが可能になっています。

方法としては、

１．新・旧のiPhoneの『Bluetooth』を『オン』にします。

２．『iOS 12.4』が搭載された新しいiPhoneを『iOS 12.4』が搭載された古いiPhoneの近くに置きます。

３．『クイックスタート』画面が表示され、『Apple ID』を使って新しいiPhoneを設定するオプションが提示されたら『続ける』をタップします。

４．新しいiPhoneにアニメーションが表示されたら古いiPhoneを新しいiPhoneの上で支え、アニメーションがファインダーの中央に収まるようにします。

５．『新しいiPhoneの設定を完了』というメッセージが表示されまたら認証を行い、画面に表示される案内にそって進めます。

６．パスコードを新しいiPhoneに入力します。

７．新しいiPhoneで『Face ID（Touch ID）』の設定をします。

８．『iPhoneから転送』をタップし、古いiPhoneから新しいiPhoneへのデータ転送を開始します。

以上の感じとなります。

この機能、『Bluetooth』を使った『ワイヤレス』の『データ転送』になりますが、『Lightning – USB 3カメラアダプタ』や『Lightning – USBケーブル』で接続して『データ転送』を行うこともできるとされています。

いずれにしても『バックアップ』は先に取得しておきたいです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

iPhoneがアメリカで発売されたのが2007年、約12年前ですから14年前となるとスマートフォンやタブレットはなく、フィーチャーフォンの時代でした。

しかし、家庭向けの光回線も既に世に出ており、日本のインターネット人口は70%を超えるまで普及していました。

ということは、14年前には既にインターネット上の脅威にさらされていたということになります。

情報セキュリティの基本は今も昔も同じ

東京ビッグサイトでプレゼンテーションを行ったIPA（独立行政法人情報処理推進機構）の研究員はこのように語ったそうです。

14年分を振り返ってみると、『脆弱性を狙う』『フィッシングメールで人をだます』『内部漏えい』という主な手口は同じ。

その後、スマートフォンやタブレット、IoT機器の登場などにより環境は拡大し、脅威にさらされるものが増えた＝標的が増えたということはありますが、IPAの研究員はこのようにも述べています。

多数の脅威があるが、『攻撃の糸口』は似通っている。それを防ぐための基本的な対策の重要性も変わらない。

そして、以下の5つの対策を挙げています。

・ソフトウェアの更新

・セキュリティソフトの利用

・パスワードの管理、認証の強化

・設定の見直し

・脅威、手口を知る

この5つです。

つまり、技術の進化とともに攻撃手法はどんどん巧妙になってきてはいるものの、それへの対策の基本は同じということです。

今も昔も情報セキュリティの基本は同じなのです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いたAppleの対応は既に『Yahoo!』や『AOL』などでも行われており、今後はさらなる厳格化が行われていくものと思われます。

では、これによってどのようなことが起きるのでしょうか？

Appleも行ったDMARCポリシーの変更

DMARCについては以前にもこのブログで書いたかもしれませんが、簡単に言えば『なりすましメール』を防ぐためのもので、『SPF』、『DKIM』、どちらの認証にも失敗した場合に受信サーバにはどのようにして欲しいかを記述したものになります。

これを、Appleは昨年の7月に『none（規定しない）』から『quarantine（未認証メールは受信サーバで隔離）』にレベルを引き上げました。

つまり、送信元が『@mac.com』、『@me.com』、『@icloud.com』などのAppleが提供しているメールは認証されたAppleのサーバから送信されない限り迷惑メールフォルダに入ることになります。

ただし条件があります。

受信する側のサーバがDMARCポリシーの処理に対応していることが必要です。

これらのDMARCポリシーに対する厳格化の動きは他でも進んでおり、『Yahoo!』や『AOL』などにおいては『quarantine』よりもさらに厳格な『reject（未認証メールは完全に拒否し受信しない）』に移行したとされています。

おそらくAppleも段階を経てDMARCポリシーを『reject』にしていくことでしょう。

『Gmail』や『Microsoft』もDMARCポリシーを『reject』に変更するとされています。

（確認したところMicrosoftは実施済みでした。）

そして、これらの動きに他のサービスプロバイダも追随してくれることでさらに『なりすましメール』を防ぐいくことができるでしょう。

しかし、それは連鎖を避けただけで、単独では情報漏えいは起きています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

オンラインサービスから情報漏えいが起きた場合、そこに登録されているメールアドレスやユーザーID、パスワードなどの情報が流出することになります。

しかし、それは知らない間に起きていることも多く、パスワードの使い回しなどを行っている場合は他のサービスでもリスクを抱えることにもなります。

そのため、自身の情報がどこで漏えいしているかは把握しておく必要があるとも言えます。

アカウントの情報漏えいを確認する

あるサイトにおいて、不正侵入などによるアカウントの侵害があったサービスがあるかどうかを調べることができます。

『have i been pwned』というサイトです。

このサイトでは、メールアドレスを入力するだけで、どこのサービスで、いつ、何が原因で、どのデータが侵害されたが確認できるようになっています。

例えば、以下のように表示されます。

Dropbox: In mid-2012, Dropbox suffered a data breach which exposed the stored credentials of tens of millions of their customers. In August 2016, they forced password resets for customers they believed may be at risk. A large volume of data totalling over 68 million records was subsequently traded online and included email addresses and salted hashes of passwords (half of them SHA1, half of them bcrypt).
（Dropbox：2012年中頃、Dropboxは数千万の顧客の保存された資格情報を公開するデータ違反を被った。 2016年8月には、危険にさらされていると思われる顧客のパスワードリセットを強制しました。合計6800万件を超える大量のデータがオンラインで取引され、電子メールアドレスとパスワードの塩漬けハッシュ（SHA1の半分、bcryptの半分）が含まれていました。）

Compromised data: Email addresses, Passwords
（侵害されたデータ：電子メールアドレス、パスワード）

このようなものが見つかった場合、そのサービスに登録されている情報の見直し（場合によっては退会）、他のサービスでも使いまわしているパスワードがあれば他のサービスに登録されている情報の変更など、相応に措置を施しておく必要があります。

また、ここ最近では『have i been pwned』が提供しているデータを使い、Mozillaが公開しているチェックサイトも登場しています。

『Firefox Monitor』というサイトです。

どちらでも構いませんので、一度チェックしてみると良いでしょう。

国税庁では、マイナンバーカードに標準的に搭載される電子証明書やマイナポータルの連携機能の活用などにより、個人納税者の方のe-Tax利用をより便利にするためのシステム改修を進めており、平成31年1月から以下の２つの方式がご利用いただける予定です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先月、国税庁から『e-Tax利用の簡便化』について情報公開がされています。

個人納税者向けではありますが、個人事業主の方には楽になるケースもありますのでご紹介します。

確定申告等へのe-Tax利用の簡便化

来年、平成31年1月から個人納税者向けに『e-Tax利用の簡便化』が行われます。

国税庁では、それに向けて現在システム改修を進めているところです。

では、どのように利便性が向上するのか？

それには2つの方式が用意されます。

1つは『マイナンバーカード方式』と呼ばれるものです。

従来、e-Taxを利用するためには事前に税務署長へ届出をし、e-Tax利用のID・パスワード通知を受け、これらを管理・入力する必要があったわけですが、マイナンバーカード方式ではマイナンバーカードを用いてマイナポータル経由又はe-Taxホームページなどからe-Taxへログインするだけで、より簡単にe-Taxの利用を開始し、 申告等データの送信ができるようになります。

もう1つは『ID・パスワード方式』と呼ばれるもので、マイナンバーカード及びICカードリーダライタを持っていない場合、税務署で職員との対面による本人確認に基づいて税務署長が通知した『ID・パスワード方式の届出完了通知』に記載されたe-Tax用のID・パスワードのみで国税庁ホームページの『確定申告書等作成コーナー』e-Taxによる送信ができるようになります。

ただし、これはマイナンバーカード及びICカードリーダライタが普及するまでの暫定的な対応とされており、確定申告書等作成コーナーのみの使用になります。

また、平成31年1月以降、e-Taxホームページから確認できるメッセージボックスに保管されている受信通知（e-Taxでの申告履歴等）の閲覧には、原則としてマイナンバーカード等の電子証明書での認証が必要になります。

まだe-Taxを使われていない方、来年の申告からは是非『e-Tax』を使ってみてください。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭で書いたGoogleの『Titan Security Key』とは物理的なセキュリティキーのことで、同社がこれを発表する前にはYubiCoという会社が『Yubikey』という名前で既に販売しており、Googleも過去においてはこれを推奨していました。

では、これらの物理セキュリティキーとはいったいどのようなものなのでしょうか？

GoogleのTitan Security Keyとは

今回Googleが発表した『Titan Security Key』などの物理セキュリティキーとは、二要素（二段階）認証などの多要素認証を通じてセキュリティを強化してくれるものです。

Googleは昨年、8万5000人以上いる従業員に対してこの物理セキュリティキーの認証を求めるようにし、結果的にハッキングされた者は誰もおらず、被害が完全になくなったとされています。

この『Titan Security Key』という物理セキュリティキーは2種類用意されており、1つはPCのUSBポートへ直接差し込むもの、もう1つはモバイルデバイスなどとBluetooth接続で認証を行うものです。

通常の認証においては認証サーバに一度パスワードを送る必要がありますが、この『Titan Security Key』は『FIDO』や『U2F』という認証規格をサポートしているため、『認証はキーの中』で済ませてしまいます。

そのため、『Titan Security Key』を持っていなけえばアカウントにログインできないことになり、パスワードを盗めてしまうオンライン認証よりも高いセキュリティが実現されます。

また、Googleのサービスに限らず、他のサービスなどでも利用可能です。

1つ当たりの価格は20～25ドル（約2500円前後）程度で入手できるようになるとされていますので、一度試してみるのも良いでしょう。