なお、『Thunderbird』に関しては先月、Mozilla Foundationから同完全子会社のMZLA Technologies Corporationに移管されました。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、お休み前の金曜日となる今日は軽めにリリース情報をお伝えします。

Thunderbird 68.5とFirefox 73.0

まずはメールクライアントの『Thunderbird 68.5』からです。

＜Thunderbird 68.5＞

（新機能）

・IMAP/SMTPの『Client Identity』拡張への対応

・POP3アカウントの『OAuth 2.0』認証をサポート

（修正と変更）

・アカウントのセットアップ中にステータス領域が空白になる件を修正

・カレンダーのデフォルトカテゴリの色を削除できなかった件を修正

・カレンダーコンポーネントが複数回読み込まれないように修正

・カレンダーの今日のウィンドウがセッション間の幅を保持しなかった件を修正

・その他セキュリティ修正

次にブラウザソフトの『Firefox 73』です。

＜Firefox 73.0＞

（新機能）

・デフォルトのズームレベル設定を実装

・Windowsのハイコントラストモードが有効の場合にFirefoxの背景画像を無効した

（修正と変更）

・オーディオを再生するときのオーディオ品質を改善

・ログインフォームのフィールドが変更された場合にのみ、ログインの保存を求めるプロンプトを表示するように修正

・WebRenderにおいて432.00より新しいドライバーと1920×1200より小さい画面サイズのNVIDIAグラフィックカードを実行するWindows 10ラップトップを含むように拡張

・その他セキュリティ修正

以上のようになります。

また、法人向けの延長サポート版『Firefox ESR』も『Firefox ESR 68.5』がリリースされています。

今回のリリースは4件のセキュリティ修正を含む『Security and Maintenance』リリースです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の今日、『WordPress』の更新版『WordPress 5.3.1』が公開されました。

今日はそのニュースをお伝えします。

WordPress 5.3.1セキュリティ&メンテ

さて、今回のリリースは『WordPress 5.3以前のバージョン』で影響を受けるとされるセキュリティ修正、バグ修正、機能強化となります。

『更新を強く推奨する』といったコメントではなく、『アップグレードする必要がある』というコメントが掲載されているため、アップデートすべきでしょう。

以下、アップデートの内容です。

＜セキュリティアップデート＞

・非特権ユーザーがREST APIを介して投稿をスティッキーにする可能性のある問題を修正

・クロスサイトスクリプティング（XSS）が巧妙に作成されたリンクに保存される可能性のある問題を修正

・wp_kses_bad_protocol（）を強化して、名前付きコロン属性を認識できるようにするための修正

・ブロックエディターのコンテンツを使用して、保存されたクロスサイトスクリプティング（XSS）の脆弱性を修正

＜メンテナンスアップデート＞

・管理：管理フォームコントロールの高さおよびアライメントの標準化の改善、ダッシュボードウィジェットリンクのアクセシビリティ、および代替カラースキームの読みやすさの問題を改善

・ブロックエディター：Edgeのスクロールの問題と断続的なJavaScriptの問題を修正

・バンドルテーマ：作成者の略歴を表示/非表示にするカスタマイザーオプションを追加し、JSベースのスムーズスクロールをCSSに置き換え、Instagram埋め込みCSSを修正

・日付/時刻：非GMT日付の計算を改善し、特定の言語での日付形式の出力を修正し、get_permalink（）をPHPタイムゾーンの変更に対してより回復力のあるものにする

・埋め込み：サービスが存在しないため、CollegeHumor oEmbedプロバイダーを削除する

・外部ライブラリ：sodium_compatを更新する

・サイトの正常性：管理者の電子メール検証のリマインド間隔をフィルタリングできる

・アップロード：ファイル名が一致する場合、サムネイルが他のアップロードを上書きしないようにし、アップロード後にPNG画像をスケーリングから除外する

・ユーザー：管理メールの確認で、サイトロケールではなくユーザーのロケールが使用されていることを確認する

・その他

以上のようになっています。

例によって早めの段階で『WordPress 5.3.1』へアップデートされることがお勧めです。

また、『iPhone 5』を使用するユーザーに対して『iOS 10.3.4』であることを確認するアナウンスをしています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は『iOS』に関する2つの情報をお伝えします。

iOS 13.2 配信開始とiOS 10.3.4への対応

＜iOS 13.2＞

まずは『iOS 13.2』のリリースからです。

今回のアップデートは以下のようになっています。

・『A13 Bionic』搭載の『Neural Engine』を使用した画像処理システム『Deep Fusion』の追加（iPhone 11系のみ）

・70種類以上の絵文字を追加（更新）

・Air Podsでの着信メッセージ読み上げ機能の導入

・Air Pods Proへの対応

・HomeKitセキュアビデオへの対応

・HomeKit対応ルーターを介した通信相手の制御対応

・Siriのプライバシー設定対応

・その他、不具合修正と機能改善

といった感じになります。

＜iPhone 5 ユーザーへのアナウンス＞

Apple（アップル）は、『iPhone 5』を使用するユーザーに対して『11月3日午前0時（日本時間11月3日午前9時）』までにiOSが『iOS 10.3.4』であることを確認してほしいとしています。

Appleは日付や時刻に関連する機能に『GPS』を使っていますが、『GPS週数ロールオーバーの問題』で正しい日時に基づいて機能する製品やサービス（App Store、iCloud、電子メール、ウェブブラウザーなど）を継続して利用できるようにするためにアップデートが必要だとされています。

この『GPS週数ロールオーバーの問題』は1024週（約19.7年）ごとに発生する問題のようで、GSP機器が週数をカウントする方式にその原因があるとされており、このカウントが4月にリセットされたため、日時に関連する機能にGPSを利用している古いデバイスの一部ではソフトウェアをアップデートして調整する必要があるとアナウンスされています。

Appleからは『iPhone 5』ユーザーへアナウンスされていますが、念のため『iOS 10系』の『iOSデバイス』を使っているユーザーは『iOS 10.3.4』にアップデートされているかを確認した方が良いでしょう。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、皆さんの会社にも『info@example.com』といった会社の代表用メールアドレスが設けられていると思いますが、それは有益なものとなっていますか？

それとも、百害あって一利なしなものとなっていますか？

infoアカウントなどはスパムの対象

『フィッシングメール』、『ウイルスメール』、迷惑な『営業・宣伝メール』などの多くは『info@example.com』などの会社の代表用メールアドレスに送られてくることが多くあります。

理由は簡単で、個人用のメールアドレスと違って『info@example.com』といったメールアドレスはどこの会社でも設けていることが多いからです。

しかし、この『info@example.com』といった会社の代表用メールアドレスに送られてくるものは『スパムメール』が大半を占めていませんか？

これ、そういった状態であっても設けていること自体は正しいとも言えます。

RFC（Request for Comments）というインターネット技術の標準的な仕様を記した文書において記述されているものでもあるからです。

インターネット上で電子メールの交換を行う組織は”少なくとも”組織内に存在する各機能に関しては対応するメールボックスを利用できるようにすることがとても望ましい。

（JPNIC / 一般社団法人日本ネットワークインフォメーションセンター訳）

このようにです。

ただし、あくまでも『とても望ましい』とされているに過ぎません。

従って、『スパムメール』の受け皿にしかなっていないのであれば無くしてしまうことも一つと言えます。

残すという選択をされるのであれば、少し運用方法を再考してみると良いかもしれません。

しかし、これだけインターネットが普及した昨今において、果たしてそれは有効的な手段なのでしょうか？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

FAX機や複合機、これらを使い続けることでどれくらいのコストがかかっているでしょうか？

FAX機であれば修理代、インク代、紙代などのコストがかかり、複合機であれば多くはリース料、トナー代、紙代、保守料など、結構なコストがかかっているはずです。

では、FAXの送受信は他に変えることはできないのでしょうか？

FAXの送受信を見直すという業務改善

まず、送信からですが、送信しようとしているものはFAXじゃないとダメなのでしょうか？

電子メールなど、他のツールを使うことでも問題ないのであればそれに変更する方が良いです。

逆に、どうしても相手先のFAXへ送らなければいけないとしても、印刷せずに相手のFAXへ送信すべきです。

次に受信ですが、無駄に送られてくる営業FAXなどを未だに無条件で印刷しているところもあります。

これは非常に無駄です。

せめて必要なものだけを印刷し、不要なものは機械側で削除してしまうことくらいは行った方が良いでしょう。

これらのFAXの送受信に関わるものを改めて考えた場合、非常に多くの無駄があるとは思いませんか？

そこで、FAXの送受信に対して今一度考え直してみてください。

１．電子メールやクラウドストレージなどを活用することでFAXの使用を減らすか、FAX機の設置を廃止する

２．FAXの送受信にはツールを使用し、紙での印刷は行わない

３．FAX機の設置を廃止し、インターネットFAXサービスを活用する

３のインターネットFAXサービスは以前から存在しますが、コストはあまりかかりません。

基本料金も数百円/月～固定電話の基本料金程度で、送受信にかかるコストは一定量までは無料であったりするところもあります。

スマートフォンなどにも対応しているところもあり、外出先であってもタイムリーにFAXを確認することもできます。

いかがでしょうか？

これらのように、FAXの送受信を見直すだけでいくつかの改善が図れますので、一度社内で検討されてみてはいかがでしょうか。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本においては銀行やクレジットカードの情報が主に狙われているとされるマルウェアが、昨年から横行するようになったようですが、それが先月から今月あたりにかけて再び活発化しているようです。

銀行情報を狙うマルウェア『Ursnif』

この『Ursnif』と呼ばれるマルウェアですが、攻撃手法としてはスパムメール、不正プログラムによるリモートサイトからダウンロード、リムーバブルドライブやネットワーク共有を介しての拡散などが確認されています。

スパムメールの場合、メールの件名としては『公共料金請求書データ送付の件』、『商品発送のお知らせ』といった件名でメールが送りつけられ、添付ファイルや本文中のリンクをクリックさせて感染させようとするものです。

日本においては、銀行やクレジットカードの情報が狙われているほか、Webメール、クラウドストレージ、仮想通貨プラットフォーム、電子商取引サイトのユーザー認証情報などを盗もうとする亜種も出回っているとの情報もあります。

これらの悪質なメールや不正プログラムなどがゼロになることはありません。

従って、自己防衛する以外にはないと考えなければいけません。

そのためには、セキュリティ（ウイルス）対策ソフトは当然必須ですし、メールが届いてしまった場合においては自身で注意を払い、怪しいサイトへのアクセスも絶対に行わないなど、普段からの注意と心掛けが必要です。

しかし、そこには多くの危険が潜んでいます。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

ここ最近、Googleを主導としたウェブの暗号化については多少ホットな話題ではありますが、ビジネス上、頻繁に使われる電子メールのやりとりにおいてはそれが忘れられているように感じます。

今日は、そんな電子メールの安全なやりとりに関してお話しします。

電子メールのやりとりに多い例

よくあるケースとして、以下のようなやりとりが行われることが多いです。

１．AからBにパスワード付の添付ファイルを添付したメールを送る

２．AからBに別のメールで１のパスワードを送る

３．Bが１と２を受け取り、添付ファイルを開く

このやりとりの流れに心当たりがある方は多く存在するかと思います。

しかし、このやりとりにおいて電子メールは平分、つまり暗号化されていないもので送られていることが大半です。

この場合、悪意のある第三者にパスワードを盗聴されてしまえば簡単に添付ファイルは開くことができてしまいます。

電子メールの安全なやりとり

電子メールのやりとりにおいて問題なのは、平分で送っていても添付ファイルに対するパスワードは別のメールで送っているから大丈夫だという認識です。

これはまったくもって大丈夫ではありません。

ではどうするか？

電子メールにおいても暗号化を用いることです。

よく知られているものとしては、銀行などから送られてくるメールに付いているデジタル署名（S/MIME）証明書を用いる方法です。

双方がデジタル署名（S/MIME）用の証明書を取得し、それを使って電子メールを送信することで暗号化することができます。

これを用いた場合、もし相手がデジタルIDを持っていなかった場合には平分で送られてしまうことにはなりますが、送信者を証明してくれるものにもなるため、『なりすまし防止』にも役立ちます。

また、他の方法としてはPGPというツールを用いて暗号化をする方法があり、この場合においては電子証明書がなくても暗号化してやりとりすることができます。

いずれにしても相手のあることですから、各取引先と協議を行い、お互いにリスクを回避するためにこれらの導入を検討されることをお勧めします。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

2010年以降減少傾向にあった迷惑メールの検知数は、2016年に入って再び上昇し、増加しています。

そして、中でも多いのは『なりすましメール』と呼ばれるものです。

この『なりすましメール』を排除していくには、メールの送信側と受信側における連携が必要であり、送信側においては送信するメールの正しい情報を提供することが必要になります。

送信ドメイン認証の仕組み

前述の通り、まずは送信側において正しい情報を提供する必要があります。

その第一歩として送信ドメイン認証を使ったりしますが、その場合には下記のような状態となります。

※前提：送信側・受信側ともにSPFを導入済み

１．送信側のA社が受信側B社にメールを送ります

２．受信者側のB社はA社のDNSサーバに問い合わせを行います

３．２の要求に対し、A社のDNSサーバが送信用メールサーバに関する情報を返します

４．３の確認結果に基づきメールを配信する

SPFレコードの設定方法

送信側の設定としてはDNSサーバにSPFレコードを追加します。

そこに、SPFもしくはTXTとして以下の記述を追加します。

※前提：送信用メールサーバのIPアドレスが192.1.1.1の場合で、ドメインがexample.comの場合

“v=spf1 +ip4:192.1.1.1 -all”

これを追加するだけです。

また、受信側としてSPFの検証機能を導入すれば『なりすましメール』を区別できるようになりますが、メールサービスやメールサーバソフトによって異なりますので、ご利用のレンタルサーバ会社へ問い合わせることなどが必要です。

（レンタルサーバ側にて導入済みであれば、受信側としては何も行うことはありません。）

ただし、昨今SPFだけでは不十分ということも指摘されており、近いうちにそれを補うものをご紹介できればと思います。

さて、このセキュリティ警告は本物か偽物か？

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

先日、私の知人が突然電話をかけてきました。

内容は、『パソコンにWindowsのセキュリティ警告が出てしまってどうしたらいいかわからない。』というものでした。

悪質な電話詐欺への誘導

そこで、表示されているエラーっぽいものを読み上げてもらいました。

ALERT xxxxxxxxxx

Windowsセキュリティの重要な警告

Windowsセキュリティ&アンチウイルスサービスでエラーが発生しました。

お使いのシステムのオンライン診断結果

Windowsは、お使いのシステム上で可能な主要なレジストリの障害を検出した可能性があります。

詳細については、フリーダイヤル：03-XXXX-XXXXで、カスタマーサポートにお問い合わせください。

個人情報露出発生リスクの可能性

クレジットカード情報や銀行情報

電子メールのパスワード、その他のアカウントのパスワード

個人Facebook、Skype、AIM、ICQおよびその他のチャットログ

プライベート／家族の写真やその他の機密ファイル

ウェブカメラ、VPN、ウイルス、ストーカーによってリモートでアクセス

すぐに問題を修正し、データの損失を防ぐためにフリーダイヤル：03-xxxx-xxxxのWindowsサポートにお問い合わせください。

という内容のものでした。

これ、危険なウェブサイトを閲覧しようとしてリダイレクトされた先に表示されたものです。

そして、コンピュータの問題が生じたと思わせて電話をかけさせる『電話詐欺』です。

もっともらしいことは書かれていますが、フリーダイヤルなのに固定電話番号が表示されていることで直ぐにわかります。

あわてず冷静に対処

このような場合、パソコンに問題が生じてしまったと思って直ぐに電話をかけるなどの行為をしては絶対にいけません。

あわてず、冷静に対処することが重要です。

今回の場合、危険なウェブサイトからリダイレクトされたものであったことから、単純にインターネットブラウザーを閉じてしまえば終わりな話しですが、相手はパニックになるであろう閲覧者を狙ってやっています。

もしインターネットブラウザーが終了できなければ、タスクマネージャーを開き、インターネットブラウザーのタスクを終了することで閉じることはできます。

その後にインターネットブラウザーのキャッシュなどのクリアを行い、パソコンを再起動し、インターネットブラウザーでYahoo!の画面でも開いてみて下さい。

そこで何もエラーが出なければとりあえずはOKです。

また、このような危険なサイトに誘導されないためにも、危険なサイトをブロックしてくれる機能をもったセキュリティソフトを導入されることをお勧めします。

情報流出した可能性があるのは、『JTBホームページ』『るるぶトラベル』『JAPANiCAN』のサイトもしくは販売提携先のサイトを利用し、2007年9月28日から2016年3月21日までの間にオンライン予約をした顧客の個人情報。

この中には、NTTドコモが提供している『dトラベル』を利用した約33万人分の個人情報も含まれている。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

またもや標的型攻撃メールによる事件が起きました。

この標的型攻撃メールは大企業や公官庁だけが標的として攻撃されるわけではなく、標的となる組織と関係がある中小企業なども攻撃を受けた事例もありますので注意が必要です。

標的型攻撃メールとは

標的型攻撃メールとは、ターゲットである企業などから重要な情報を盗むことなどを目的として、企業の担当者が業務に関係するメールだと信じて開封してしまうように巧妙に作り込まれたコンピュータウイルスが添付された電子メールを送ることなどによって始まります。

また、その時だけではなく潜伏して持続的に行われるAPT攻撃と呼ばれるものもあります。

標的型攻撃メール対策

標的型攻撃メールには下記のような特徴があります。

・取材申込、セミナー依頼、公的機関、業務的、航空券の予約、荷物の配達などを装っている

・フリーメールアドレスから送信されたものや差出人のメールアドレスとメール本文の署名に記載されたメールアドレスが異なる

・メール本文の日本語の言い回しが不自然であったり日本語では使われない漢字が使われている

これらにファイルが添付されているといったことがあります。

（今回のJTBにおける事件もそうで、件名は『航空券控え添付のご連絡』という業務的なメールに添付されたファイルを開いてしまい感染したもので、取引のある航空会社系列の販売会社のドメインではあったもののユーザー名は知らない人であった。）

これらのことをよく理解し、社内において運用ルールを徹底する（教育も行う）必要があります。

つまり、標的型攻撃メールの手口を理解し、疑わしいメールが届いた場合には添付ファイルを開封したりリンクをクリックしたりは絶対にしないことが重要です。

また、標的型攻撃メールを発見した場合には速やかに情報を集約し、企業内で情報を共有することが重要です。

追伸：個人情報保護法の改正により5,000人要件は撤廃になっておりますのでご注意を。

また、今回のJTBにおける事件は、個人情報保護法第20条（安全管理措置）、同第21条（従業者の監督）に抵触している気もします。