その場合、通知された『電話番号』を一度調べますか？それともそのままコールバックしますか？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いた内容、実は調べるのか、調べずにコールバックするのかは今日の本題ではありません。

今日は、それを自身の電話帳で『番号検索』した場合にどのようになるのか？という話です。

iPhoneで電話番号がヒットしない

数日前、ある方から電話をいただきました。

しかし、ちょうどその時は他の方と電話中であったため『着信のお知らせ』が携帯キャリアからショートメールで送られてきました。

私の場合、相手が不明な場合には表示された電話番号へは直ぐにコールバックしません。

電話帳で誰から電話をいただいたのかを調べ、電話帳に登録されている方からいただいた電話であった場合にコールバックします。

しかし、その時は『電話番号』で『番号検索』をしても検索にヒットすることはなく、知らない方だと判断してスルーしてしまいました。

その後にわかったことですが、実は電話帳に登録されていた知人からの電話でした。

何故そのようになったのか？を電話帳の編集画面を開いて確認してみると、過去のガラケー（折り畳み携帯）からデータ移行したもので、『姓』と『名』を分けて入力されていなかった。

つまり、名前を含めて『姓』の欄にすべてが入っており、『名』の欄は空白の状態でした。

これを『姓』と『名』それぞれ正確に入力し直してあげるとあっさり『番号検索』にヒットするようになったのです。

もちろん、電話番号の一部だけを使った部分検索でもヒットするようになりました。

本当にそれが原因なのだろうかと、他でも同じ状態になっているものを探して検索してみると、やはり『姓』の欄にしか情報が入っていないものはヒットしませんでした。

さて、これは仕様なのか不具合なのか？

個人的にはこれは不具合という見解ではありますが．．．

皆さんもお気を付けくださいませ。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日はiPhoneであっても注意した方が良いという話です。

ここ最近、IPAにこんな相談が寄せられているようです。

カレンダーに身に覚えのないイベント

まず、この問題の結論から書きます。

今回の問題は、iCloudカレンダーの『共有機能』や『出席依頼機能』が悪用され、自身のiCloudメールアドレスが何らかの方法で知られてしまい、そのアドレスが共有先として設定されると、不審なカレンダーやイベントが自身のiPhoneに登録される可能性があるとされています。

この具体的な手口は以下のようになります。

＜１．iPhoneのカレンダーに身に覚えのないイベントがある＞

・iPhoneに身に覚えのないカレンダーの通知が表示される。

・iPhoneのカレンダーに身に覚えのないカレンダーやイベントが登録されている。

・イベントのタイトルには「ウイルスに感染している可能性があります」、「あなたのiPhoneは保護されていません！」などと記載されている。

・イベントにはURLが記載されている。

＜２．イベント内のURLから不審なサイトへ誘導される＞

・イベントに記載されているURLをタップして、不審なサイトにアクセスする。

＜３．アクセスした不審なサイト経由で被害にあう＞

・アクセスしたサイト経由で、不審なセキュリティ対策アプリ等のインストールへ誘導される可能性がある。

・アクセスしたサイトで、メールアドレス、電話番号、クレジットカード情報などの個人情報を入力すると、情報を詐取される可能性がある。

そして、アクセス先のサイト経由でアプリをインストールしたり、サイトに個人情報等を入力すると被害が発生する可能性があるとされています。

このような事象への対処法は以下の通りで紹介されています。

・身に覚えのない共有カレンダーの参加依頼が届いた場合は、参加依頼のスパム報告をする

・身に覚えのない共有カレンダーがある場合は、共有カレンダーを削除する

・身に覚えのないイベントの参加依頼が届いた場合は、不審な参加依頼のスパム報告をする

これらの対策法としては、

・手口を知る

・不審なカレンダーやイベントの参加依頼は削除する

・URLを安易にタップしない

・アプリのインストールは慎重に

・パスワードや認証コード等を安易に入力しない

ということになります。

念のため、IPAが掲載している『安心相談窓口だより（PDF版）』のURLを記載しておきますので参考にしてください。

『iPhone に突然表示される不審なカレンダー通知に注意！（PDF）』

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

16日（月）、17日（火）に続き、19日（木）も何もできませんでしたがご容赦ください。

さて、今日は冒頭に書いた『楽天カード』の『フィッシング詐欺』メールに関してお伝えします。

楽天カードの詐欺メールが拡散される

昨日の日曜日、『楽天カード』を騙る『フィッシング詐欺』と思われるメールが非常に多く拡散されたようです。

最近は内容が非常に巧妙化しているため見分けづらいところではありますが、必ずどこかに問題の箇所は存在します。

例えば今回の場合、楽天カード側の不正利用検知システムによって第三者による不正利用を検知したため連絡をして欲しいというメールで、連絡先の『信用管理グループ モニタリングチーム』という部署も実際に存在しますし、記載の電話番号をインターネットで検索すると、実際に電話を掛けて問題がないことを確認できてホッとしたというブログ記事なども散見されます。

それにプラスし、文末の楽天カード株式会社へのリンクも正規の楽天カードへのリンクが張られています。

しかし、メッセージをテキストではなく『HTML』で表示させた場合には一箇所だけ問題のある誘導リンクが張られているところがあります。

今回のメールには『クリックしてアカウント確認を入力します』とされており、その先の偽サイトにて『ID』や『パスワード』を盗み取る手法のようです。

（冒頭下部の画像を参照）

楽天カードのコールセンターによると非常に多く拡散しているとのことで、念のために『ID』と『パスワード』の変更をお願いしているそうです。

このような場合で不安になった場合、正規のサイトから問い合わせ電話番号を調べ、そこに電話で確認を行うことが安全と言えます。

くれぐれもお気を付けください。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭に書いた通り今日から『ドコモ』、『au』、『ソフトバンク（Y!mobile）』から他キャリアへ送信可能なSMS（ショートメッセージサービス）の文字数が全角70文字から全角670文字に拡張されます。

しかし、これに疑問を感じる方はいないのでしょうか？

SMSが670文字に拡大される時代錯誤

これだけIT技術の進化や通信インフラが整備され、かつ『定額通話』や『定額データ通信』という状況にある中で何故『SMS（ショートメッセージサービス）』の仕様を拡張するのか？

１．スマートフォンアプリの認証に広く普及してしまっている

２．フィーチャーフォン（ガラケー）であっても簡単に使える

３．携帯キャリアの貴重な収入源になっている

といったことがあるかと思います。

しかし、１に関しては過去に『インターセプト』された事件があり、NIST（National Institute of Standards and Technology / アメリカ国立標準技術研究所）が3年程前に『SMS認証を推奨しない』と発表しています。

２に関しては、2020年後半から2021年あたりにかけて『3G』が終了していくため、純粋なフィーチャーフォン（ガラケー）というものがなくなり、俗に言う『ガラホ（見た目はガラケー、中身はスマホ）』に切り替えていくことになるため、『LINE』などのアプリも使えるようにもなり、料金的にも『定額プラン』を選択することになるでしょう。

そして、３に関しては言うまでもないでしょうが『SMS（ショートメッセージサービス）』は携帯キャリアにとって貴重な収入源になっているはずです。

昨年始まった『＋メッセージ』もあまり普及はしておらず、『打倒LINE』というのは遠い話しの状況で、受信者が『＋メッセージ』のアプリを使っていなければ送信した側は通常の『SMS（ショートメッセージサービス）』扱いとなるため料金が発生します。

結果的にはどの部分をとっても中途半端な状態なわけです。

これは利用者側にも問題があるでしょう。

ちょっとしたメッセージであればあっさり『SMS（ショートメッセージサービス）』を使ってしまう。

相手と『LINE』で繋がっていなかったり『携帯メール』を知らなかったりすると、結果的には電話番号だけで簡単に送れてしまうことからある意味便利なのでしょう。

では、iPhone同士の場合はどうでしょうか？

『iMessage』という仕組みができ上っています。

つまり、携帯キャリア次第で何とでもなる話しだということです。

これを改善していくとすれば、各アプリケーションでの『SMS認証』を廃止してしまうことでしょう。

そうすれば『SMS（ショートメッセージサービス）』の利用率は今よりも格段に減る可能性があります。

そして、利用者が減少すれば携帯キャリアも違うことを考えるに違いありません。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

ここ最近、『○○Pay』という『モバイル決済サービス』があちらこちらから登場してきていますが、そのモバイル決済サービスの1つである『7pay』においてアカウントが乗っ取られ、クレジットカードが『不正利用』されてしまう被害が出ています。

7payで不正利用が起きた理由

どうやら『7pay』には致命的な弱点があるようです。

『パスワードを忘れた場合』、生年月日、電話番号、メールアドレスがわかれば変更できてしまうようです。

しかも『二段階認証（二要素認証）』がない。

もう1つあります。

登録したメールアドレスとは別のメールアドレスに『パスワードリセットメール』を送信できてしまうようなのです。

つまり、『生年月日』と『電話番号』がわかればパスワードを変更できてしまうという仕様になっています。

ここまで読んで『？？？』の方は非常に危険な方です。

この仕様、あり得ない仕様になっています。

普通に考えると、登録したメールアドレス以外には『パスワードリセットメール』を送信できないですし、昨今においてクレジットカードなどの金銭が絡むものに『二段階認証（二要素認証）』が存在しないというのは『論外なシステム』と言わざるを得ないです。

『セブンｰイレブン』ともあろう大手企業が何故これほどまでにお粗末なミステイクを犯してしまったのかは謎ですが、他の『モバイル決済サービス』を含め、このような脆弱なシステムであるならば利用しない方が良いとも言えます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨今Webサイトを制作する場合はPC版、スマホ版、セットで制作することが多くなっていますが、その際、スマートフォンの場合だけ電話番号のリンクを有効にしておきたいといったことを思われたことはありませんか？

これ、単純に<a>タグに『href=”tel:0521234567″』と書いてしまうとPC版もリンクを張られてしまうことになるためお勧めではありません。

では、どのようにしておくのがお勧めなのでしょうか？

レスポンシブ対応サイトの電話番号

まず、記述方法の前に1つ別のことをクリアしておく必要があります。

iPhoneなどのiOSデバイスの場合、電話番号は自動でリンクが有効になるようにはなっているのですが、これは電話番号だけでなく、電話番号以外の番号の羅列にも反応してしまいます。

（ブラウザ：Safari）

また、Androidデバイスの場合にはそもそもiOSのような機能がないため反応しません。

（ブラウザ：Chrome）

そのため、<head></head>の中に以下の記述を追加し、まずは電話番号の自動リンクを無効化しておく必要があります。

<meta name=”format-detection” content=”telephone=no”>

次に、電話番号の部分に『data属性』を記述します。

例：<span data-action=”call” date-tel=”0521234567″>052-123-4567</span>

そして、この『data-action=”call”』が指定されている<span>タグだけを<a>タグにする『JavaScript』を用意します。

（要『jQuery』）

例：function isPhone(){return navigator.userAgent.indexOf(“iPhone”)>0||navigator.userAgent.indexOf(“Android”)>0}
$(function(){isPhone()&&$(“span[data-action=call]”).each(function(){var n=$(this);
n.wrap(‘<a href=”tel:’+n.data(“tel”)+'”></a>’)})});

（JavaScriptが圧縮された記述になっていますがそのまま使えます。）

といった感じです。

スマートフォンの場合、Webサイトにアクセスした後に電話番号をタップして電話を掛けようとすることは結構あるのではないでしょうか。

そのような場合にはお勧めです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日、SBIホールディングスと子会社のSBI Ripple Asiaが事務局を務め、国内の銀行61行が加盟する内外為替一元化コンソーシアムが、分散台帳技術（DLT）を活用した次世代金融プラットフォームを利用する送金アプリ『Money Tap』を発表しました。

では、これによってどのようなことが可能になるのでしょうか？

分散台帳技術によるスマートフォン送金

分散台帳技術と聞いて、ブロックチェーンを思い浮かべた方もおられるでしょう。

これらの定義に関してはまだ曖昧なところもあるようですが、ブロックチェーンは分散台帳技術の一部とされています。

この技術は、昨今メディアで取り上げられることも多い仮想通貨の取引に用いられています。

このコンソーシアムの場合、米国Ripple社の『xCurrent』というソリューションが実装されたものがベースとなっており、それとスマートフォン向けアプリの『Money Tap』が接続することで送金を実現するというものです。

＜xCurrentの仕組み動画＞

↓

これにより、ユーザー間の個人間送金を24時間365日リアルタイムで実施することが可能となり、銀行口座番号、電話番号、QRコードの読み取りによって送金ができます。

現時点においては個人間送金の機能に限定されていますが、将来的には外為機能の追加や法人向けソリューションの提供を目指すとされています。

システムの安全性

仮想通貨と同じような仕組みで送金することに懸念を抱く方もおられるでしょうが、ビットコインなどで使用されているものはオープン型と呼ばれる分散台帳技術で、今回のシステムはクローズド型と呼ばれる分散台帳技術であることから、悪意の攻撃の可能性は無いと説明されています。

また、ネットワークに関してオープン型は『信頼できない者同士のネットワーク』であるのに対して、クローズド型は『信頼できる者同士のネットワーク』であることも説明されています。

ちなみに、このサービスは4月以降に一部の銀行にて試験運用が開始され、夏以降に一般公開を目指しています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

Googleが2017年4月27日付けのセキュリティブログに投稿した記事によると、Chromeブラウザのセキュリティ判定は、今後益々厳しいものになっていくようです。

Chromeブラウザのセキュリティ強化

現在、Chromeのバージョンは58ですが、バージョン62において現状よりもセキュリティが強化されます。

通常モードの場合、現在のパスワードやクレジットカード情報に限らず、氏名、メールアドレス、電話番号など、何らかの情報を入力するページがHTTP（暗号化されていない）のままの場合、『保護されていない通信』として処理されるようになります。

また、Chromeのシークレットモードにおける場合はさらに厳しくなります。

シークレットモードの場合、すべてのHTTPページが『保護されていない通信』として表示されるようになります。

どちらも表示される位置はURLが表示されるアドレスバーの先頭に表示されるため、ユーザーには直ぐに目につく位置に表示されることになります。

バージョン62といってもそれほど遠い話しではなく、2017年10月リリース予定ですので、あと半年を切っています。

HTTPS化は直ぐにでも行うべし

『保護されていない通信』と表示されてしまった場合、ユーザーはどのように思うでしょうか？

ややもすると、危険なウェブサイトとして認識されてしまう可能性もあります。

特に事業者の場合、それは信用問題にもつながってしまうため、今直ぐにでもHTTPS化は行うべきでしょう。

昨今、これだけセキュリティ関連の問題が取りざたされる状況下において、当然ながらWebも例外ではありません。

そして平成29年5月30日より、改正個人情報保護法が全面施行されます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

まもなく改正個人情報保護法が施行されるわけですが、それに際して個人情報取扱事業者の定義が変わります。

個人情報取扱事業者は大半の事業者に該当

まず、個人情報保護法上の義務を負う個人情報取扱事業者とは、個人情報データベース等をその事業活動に利用している者のことですが、実際のところほとんどの事業者はこの定義に当てはまります。

例えば、顧客管理情報として会社名、住所、電話番号、担当者名が管理されていたとすると、この担当者名が個人名であることから個人情報を取り扱っていることになるわけです。

そして、今回の改正において『個人情報取扱事業者への対応（5,000件要件の撤廃）』があり、5,000件以下の個人情報を取り扱う事業者であっても『個人情報取扱事業者』となります。

個人情報保護法ガイドライン

個人情報保護法上のガイドラインに関して、中小規模事業者の場合においては『安全管理措置』が少々緩和された内容になっています。

例えば、外部からの不正アクセス等の防止における手法の例示としては以下のような違いがあります。

＜通常の手法の例示＞

・情報システムと外部ネットワークとの接続箇所にファイアウォール等を設置し、不正アクセスを遮断する。
・情報システム及び機器にセキュリティ対策ソフトウェア等（ウイルス対策ソフトウェア等）を導入する。
・機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。
・ログ等の定期的な分析により、不正アクセス等を検知する。

＜中小規模事業者における手法の例示＞

・個人データを取り扱う機器等のオペレーティングシステムを最新の状態に保持する。
・個人データを取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の活用により、これを最新状態とする。

ごく一部ですが、このような違いがあります。

『中小規模事業者』とは、従業員（※）の数が 100 人以下の個人情報取扱事業者をいう。ただし、次に掲げる者を除く。
・その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去 6 月以内のいずれかの日において5,000を超える者
・委託を受けて個人データを取り扱う者

（※）中小企業基本法（昭和 38 年法律第 154 号）における従業員をいい、労働基準法（昭和 22 年法律第 49 号）第 20 条の適用を受ける労働者に相当する者をいう。ただし、同法第 21 条の規定により同法第 20 条の適用が除外されている者は除く。

これらを踏まえ、中小・零細企業、小規模事業者であっても個人情報保護に関する見直しをする必要があります。

その状態でお問い合わせはどれくらいきていますか？

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

ホームページを使って少しでも集客に役立てようと思っているならば、お問い合わせフォームは当然重要になってきます。

では、アクセス数はそこそこあるのにお問い合わせフォームのページでは離脱されてしまうのは何故なのでしょうか？

お問い合わせフォームの入力項目

お問い合わせフォームを入力する人にとって、項目数が多いのは非常に面倒であったり嫌悪感を抱かれるだけです。

例えば、郵便番号を入力しているのに住所が自動表示されないお問い合わせフォームなどは利便性に欠ける面倒なものとして捉えられ、入力しなければいけない項目数が多いお問い合わせフォームは、入力しなければいけない個人情報が本当に必要なのか？と思われたりすることもあります。

見込客を少しでも確保したいとしても、このような理由でお問い合わせフォームから離脱されてしまってはもともこもありませんから、入力項目はできるだけ少なくしておくのが良いのです。

少なくともメールアドレスは入力していただくわけですから。

住所や電話番号を必須にしない

お問い合わせフォームは、極論、メールアドレスと用件が書かれていれば回答を差し上げることはできますので、入力する側としてみればこれだけで済ませて欲しいと思う人は多いはずです。

問い合わせ内容などによっては名前すら名乗りたくないことも当然あります。

しかし、それ以上に入力者の住所や電話番号などの個人情報はもっと取得されたくないものです。

それでも住所や電話番号を必須入力にしているお問い合わせフォーム、これを並べておくのであればそれは任意項目として並べておく方が入力者にとっては良いイメージとなります。

（むやみに個人情報を取得するつもりがないと判断できる。）

まだ他にもありますが、長くなってしまいますので次回以降にでもまた書かせていただきます。

今日のところはこのへんで。