皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、昨日に引き続き少々ラフ目になりそうですが、今回の『WWDC2019』で発表された『iOS 13』の新機能の中に『Sign in with Apple』というものがあります。

今日はこれについてお伝えします。

Sign in with Appleで秘匿される

この秋にリリースされる『iOS 13』の機能『Sign in with Apple』は、ログイン認証でよく見かける『Sign in with Google』や『Sign in with Facebook』と見た目は同じログイン認証用の機能です。

ただし、GoogleやFacebookとは少々考え方が違います。

『Sign in with Google』や『Sign in with Facebook』も一応『匿名』ではありますが、彼らの場合は『広告表示』のために個々の利用情報を取得して使っています。

しかしAppleは違います。

Appleはユーザーのプライバシーを取得しようとはしません。

今回発表された『Sign in with Apple』はユーザーの本来のメールアドレスを渡しません。

ランダムに生成されるメールアドレス『xxxxxxxxxx@privaterelay.appleid.com』といったメールアドレスが渡されます。

このランダム生成されるメールアドレスはそのローカルユーザーのみと紐づけされる仕組みになっているため、本来のメールアドレスを渡さなくて良いのです。

そして、パスワードは『iCloudキーチェーン』が管理してくれます。

ブラウザに『Safari』を使っていれば強固なパスワードが提案され、そのパスワードも管理してくれますので何も考える必要がありません。

今回感じるのは、やはりAppleはGoogleやFacebookとは違うということを改めて認識させてもらったような気がします。

そのような方々が使うSNSツールとは？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、長いGW（ゴールデンウイーク）明けですので今日は軽い話題をお届けします。

日本においては圧倒的に『LINE』というSNSアプリを使っている方が多いとは思いますが、海外やセキュリティを重要視しなければいけない立場にある方などはこんなSNSアプリを使っているようです。

米国上院議員が使うSNS『Signal』

元CIA職員『エドワード・スノーデン』も高く評価し、米国上院議員も公式連絡ツールとして認められている『Signal（シグナル）』というSNSアプリがあります。

これ、『Open Whisper Systems』というところが開発しているオープンソースのメッセンジャーソフトで、すべての通信内容が『エンドツーエンドで暗号化』されることから非常にセキュリティ性の高いSNSアプリです。

この『Signal』で採用されている『エンドツーエンドの暗号化』は、運営者、管理者、サーバ所有者のいずれも会話内容を盗聴することはできない仕組みとなっています。

また、『Signal』の暗号化に使われている『プロトコル』はオープンソースのため、他のSNSアプリでも導入されています。

・WhatsApp：標準ですべての通信にSignalプロトコルを適用

・Facebook Messenger：一部の機能にのみSignalプロトコルを適用

・Skype：一部の機能にのみSignalプロトコルを適用

さて、日本はまだまだセキュリティに対する意識が低いように思いますが、あなたの会社はビジネスにおいて何を選択しますか？

しかし、それは連鎖を避けただけで、単独では情報漏えいは起きています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

オンラインサービスから情報漏えいが起きた場合、そこに登録されているメールアドレスやユーザーID、パスワードなどの情報が流出することになります。

しかし、それは知らない間に起きていることも多く、パスワードの使い回しなどを行っている場合は他のサービスでもリスクを抱えることにもなります。

そのため、自身の情報がどこで漏えいしているかは把握しておく必要があるとも言えます。

アカウントの情報漏えいを確認する

あるサイトにおいて、不正侵入などによるアカウントの侵害があったサービスがあるかどうかを調べることができます。

『have i been pwned』というサイトです。

このサイトでは、メールアドレスを入力するだけで、どこのサービスで、いつ、何が原因で、どのデータが侵害されたが確認できるようになっています。

例えば、以下のように表示されます。

Dropbox: In mid-2012, Dropbox suffered a data breach which exposed the stored credentials of tens of millions of their customers. In August 2016, they forced password resets for customers they believed may be at risk. A large volume of data totalling over 68 million records was subsequently traded online and included email addresses and salted hashes of passwords (half of them SHA1, half of them bcrypt).
（Dropbox：2012年中頃、Dropboxは数千万の顧客の保存された資格情報を公開するデータ違反を被った。 2016年8月には、危険にさらされていると思われる顧客のパスワードリセットを強制しました。合計6800万件を超える大量のデータがオンラインで取引され、電子メールアドレスとパスワードの塩漬けハッシュ（SHA1の半分、bcryptの半分）が含まれていました。）

Compromised data: Email addresses, Passwords
（侵害されたデータ：電子メールアドレス、パスワード）

このようなものが見つかった場合、そのサービスに登録されている情報の見直し（場合によっては退会）、他のサービスでも使いまわしているパスワードがあれば他のサービスに登録されている情報の変更など、相応に措置を施しておく必要があります。

また、ここ最近では『have i been pwned』が提供しているデータを使い、Mozillaが公開しているチェックサイトも登場しています。

『Firefox Monitor』というサイトです。

どちらでも構いませんので、一度チェックしてみると良いでしょう。

そして、両社のCEO（最高経営責任者）であるイーロン・マスクは個人のFacebookアカウントも削除し、SNS上では『#deletefacebook（フェイスブックを削除せよ）』が拡散されている。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

海外では『#deletefacebook（フェイスブックを削除せよ）』という動きが広まっているようですが、とは言えFacebook（フェイスブック）というコミュニケーションツールを手放してしまうことはなかなか難しいとも言えます。

そんな中、Mozillaが新たなものをリリースしてきました。

Facebookによるデータ追跡を制限する

Mozillaは、『予想外の副作用からユーザーを守る』として、ブラウザのFirefoxのアドオンに『Facebook Container』というものを加えてきました。

このアドオンを使うことにより、以下のことに対処できるとされています。

Facebook Container works by isolating your Facebook identity into a separate container that makes it harder for Facebook to track your visits to other websites with third-party cookies.
（Facebookコンテナは、FacebookのIDを別のコンテナに隔離することによって機能し、FacebookがサードパーティのCookieを使用して他のWebサイトへの訪問を追跡することを困難にします。）

ただし、このアドオンですべてが解決できるわけではありません。

It is important to know that this extension doesn’t prevent Facebook from mishandling the data that it already has, or permitted others to obtain, about you. Facebook still will have access to everything that you do while you are on facebook.com, including your Facebook comments, photo uploads, likes, any data you share with Facebook connected apps, etc.
（この拡張機能によって、Facebookが既に持っているデータを誤って取り扱うことや、他の人にあなたの入手を許可することが妨げられることはありません。あなたのFacebookのコメント、写真のアップロード、好きなもの、あなたがFacebookに接続しているアプリケーションと共有しているデータなど、facebook.comにいる間にあなたがやっているすべてのことにFacebookは依然としてアクセスします。）

This extension focuses on limiting Facebook tracking, but other ad networks may try to correlate your Facebook activities with your regular browsing. In addition to this extension, you can change your Facebook settings, use Private Browsing, enable Tracking Protection, block third-party cookies, and/or use Firefox Multi-Account Containers extension to further limit tracking.
（この拡張機能はFacebookのトラッキングを制限することに重点を置いていますが、他の広告ネットワークはあなたのFacebook活動をあなたの通常のブラウジングと相関させようとするかもしれません。この拡張機能に加えて、Facebookの設定を変更したり、プライベートブラウジングを使用したり、トラッキングの保護を有効にしたり、サードパーティのCookieをブロックしたり、Firefoxのマルチアカウントコンテナの拡張機能を使用してトラッキングをさらに制限することができます。）

NOTE: If you are a Multi-Account Containers user who has already assigned Facebook to a Container, this extension will not work. In an effort to preserve your existing Container set up and logins, this add-on will not include the additional protection to keep other sites out of your Facebook Container. If you would like this additional protection, first unassign facebook.com in the Multi-Account Container extension, and then install this extension.
（注：Facebookにコンテナを割り当て済みのマルチアカウントコンテナユーザーの場合、この拡張機能は動作しません。既存のコンテナの設定とログインを維持するため、このアドオンにはFacebook Containerから他のサイトを保護するための追加の保護は含まれません。この追加の保護をご希望の場合は、まずマルチアカウントコンテナ拡張でfacebook.comの割り当てを解除し、この拡張機能をインストールしてください。）

このようなアドオンも有効的ではあるものの、利便性を優先したプラットフォームの連携を行わないようにすることも必要かと思います。

例えば、Facebook以外のサイトなどのログインに『Facebookアカウントでログイン』を使わないということです。

ご参考までに。

2018年3月28日
現在、ひかり電話オフィスＡ(エース)／ひかり電話オフィスタイプ対応アダプター「Netcommunity OG シリーズ（以下、本装置）」のセキュリティ設定を無効にしている場合に、本機器に接続した端末（PC 等）から Web サイト等を閲覧しようとすると、「Facebook 拡張ツールバックを取り付けて安全性及び使用流暢性を向上します」というメッセージが出てインターネット接続ができなくなるという事象が発生しています。
本事象が発生している場合は、ご利用装置の設定を変更いただくことで解消いたします。
本機器を安全にご利用いただくための基本的対策として、装置設定用ログインパスワードの変更及び、セキュリティ設定を有効にしていただくことを推奨しております。本機器をご利用のお客様は今一度設定内容をご確認いただくよう
お願いいたします。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日、NTT東日本、NTT西日本が法人向けに販売するインターネット接続用ルーターがサイバー攻撃を受けた可能性があります。

今日はそのニュースをお伝えします。

NTT東西のインターネットが接続不可に

冒頭での引用は、NTT東日本・NTT西日本において同じアナウンスが行われており、対象機器や発生条件などは以下のようにアナウンスされています。

１．対象機器
ひかり電話オフィスＡ(エース)／ひかり電話オフィスタイプ対応アダプター
・Netcommunity OG410Xa
・Netcommunity OG410Xi
・Netcommunity OG810Xa
・Netcommunity OG810Xi
（ファームウェアバージョンは最新版 2.20（2017 年 12 月 18 日提供）を含む全バージョンが対象）

２．発生条件
以下の条件を満たす場合に発生する可能性があります。
(1)本機器をインターネット接続用途で利用している場合。
(2)インターネット接続設定でセキュリティ設定を無効にして利用している場合。
(3)装置設定用ログインパスワードを初期値より変更していない場合。

３．発生事象
本機器に接続した端末（PC 等）からブラウジングしようとすると、「Facebook 拡張ツールバックを取り付けて安全性及び使用流暢性を向上します」というメッセージが出てインターネット閲覧ができなくなります。（メッセージが表示された場合、「OK」を押さないようにしてください。）
４．対処方法
ご利用装置の設定変更により解消します。

このようにアナウンスされています。

この件はNICT（国立研究開発法人情報通信研究機構）などが既に調査をしているようで、前述のメッセージが表示された後、マルウェアウイルスが送り込まれることも確認しているようです。

前述のルーターの出荷台数は26万5千台とされていますが、これらのルーターに限った問題ではなく、他のメーカー製ルーターなどでも問題が起こる可能性があります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

最近、ウェブの表示スピードの話しがよくでるようになってきています。

理由は簡単です。

Google（グーグル）がウェブページの表示スピードにこだわっているところがあるからです。

Googleは、『スクロールせずに見える範囲のコンテンツは1秒以内に読み込まれるようにすべき』という見解をもっています。

1秒は1000ミリ秒ですが、『1秒以内に読み込まれるようにすべき』をクリアするには、非常に細かな部分にこだわって表示速度を追求する必要性があります。

数日前、『DNSプリフェッチでの速度改善』に関して書いた記事を覚えていますでしょうか？

それに近いものはありますが、もう1つの方法をお話しします。

ウェブの表示速度をさらに追求する

先日の記事にも書いた通り、昨今のウェブサイト（ページ）では外部リソースの読み込みが多くあります。

FacebookやTwitterなど、SNS系のプラグインを使っているのであれば間違いありません。

そして、先日ご紹介した『DNS prefetch（プリフェッチ）』は事前にDNS lookup（ルックアップ）を解決しておくものでしたが、それより少し先に行っているものがあります。

『preconnect（プリコネクト）』というものです。

この『preconnect』を指定した場合、DNSの解決、TCPハンドシェイク開始、TLSネゴシエーションを事前に行えるようにしてくれます。

では、実際にどのように記述するのか？

内に以下のような記述を加えればOKです。

<link rel=”preconnect” href=”//example.com”>

ただし、『DNS prefetch（プリフェッチ）』と『preconnect（プリコネクト）』では若干ブラウザの対応状況が異なります。

例えば、ChromeとFirefoxはpreconnect、DNS prefetchのどちらにも対応していますが、IE11（internet explorer11）はpreconnectは現時点で対応しておらず、DNS prefetchには対応しています。

従って、メジャーなブラウザに幅広く対応しておくには、preconnect、DNS prefetch、どちらも記述しておく方が得策ですので、

<link rel=”preconnect dns-prefetch” href=”//example.com”>

という感じで、preconnectとDNS prefetchを併記しておくことも良いでしょう。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

インターネット上の多くのウェブサイト（ページ）では、さまざまなリンクが貼られています。

その中でも、Google MapsやGoogle Analytics、FacebookやTwitterなどのSNSとの連携がある場合にはそれぞれの個別のスクリプトファイルを読み込んでいます。

これらにおいて、実行に必要なアクセス先のURLを参照する際に『DNS lookup（ルックアップ）』が発生します。

そのため、外部との連携がある場合においてはホスト名とIPアドレスの変換が生じ、ウェブサイト（ページ）の表示にロスが生じます。

では、それはどのようにして解決すれば良いのでしょうか？

DNSプリフェッチで速度改善を図る

前述のDNS lookup（ルックアップ）における表示ロスを改善するには、DNS prefetch（プリフェッチ）を用いて改善を図ることができます。

ウェブサイト構築によく用いられる『WordPress』においても、バージョン4.6以降からはそれが実装されています。

では実際の対処法ですが、<head></head>内に以下のような記述を加えることになります。

（WordPress 4.6以降は自動挿入）

<link rel=”dns-prefetch” href=”//example.com”>

WordPress 4.6以降では、<link rel=”dns-prefetch” href=”//s.w.org”>が自動挿入されるようになっています。

ただし、この『DNS prefetch（プリフェッチ）』による対処は爆発的な改善を及ぼすことはありません。

また、デフォルトではHTTPSページでホスト名をプリフェッチしないとされています。

（Googleのサイトには未だDNS prefetch（プリフェッチ）の記述が残っていますが。。。）

私が試した限りでは、速度測定サイトにおけるスコアが＋１～＋３アップする程度ではありますが、ごくわずかな変化はありそうです。

現在、ウェブの高速化は軽視（無視）できない時代になっていますので、少しでも速度改善を望まれる方は一度試してみるのも良いでしょう。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

皆さん、『WhatsApp』というアプリをご存知でしょうか？

日本で利用率が高い、『LINE（ライン）』と同じ系統のアプリケーションで、昨年の段階でユーザー数が10億人を超えた世界最大のメッセージアプリです。

このメッセージアプリ『WhatsApp』に複数の偽物が『Google Play Store』で配信されており、偽物はすでに削除されましたが、100万回以上もダウンロードされたようです。

WhatsAppの偽物は開発元もWhatsApp Inc.

本物のWhatsAppの開発元は当然『WhatsApp Inc.』になっているわけですが、偽物のアプリにおいても開発元は『WhatsApp Inc.』としてGoogle Play Storeで配信されており、区別がつかない状態であったようです。

ただし、画面上表示されない文字列が入っていたためGoogleのシステムは別アプリとして認識し、配信登録を許可してしまっていたようです。

今回登場していた偽物のアプリにマルウェアウイルスなどの問題はなかったようですが、アプリケーションをインストールする場合においても注意を払って行う必要性がありそうです。

また、Google Play StoreはAppleのApp Storeほどは厳格に審査されていないことから、このような問題が起きるケースは大半がGoogle Play Storeからのものです。

あくまでも確率論での話しにはなりますが、iOSデバイスを選択するかAndroidデバイスを選択するかにおいては、まだiOSデバイスの方が問題の起きる確率が低いと言えるため、個人的にはiOSデバイスをお勧めしたいところです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、皆さんも日常的に使われている『Facebook Messenger』、『LINE』、『Twitter』、『WhatsApp』など、SNSと呼ばれるものでのやりとりも、リアルタイムでやりとりができる『チャット』です。

このようなチャット機能を顧客サポートに採用してみようと思ったことはありませんか？

お問い合わせなどにビジネスチャット

企業やお店のウェブサイトなどを見ると、お問い合わせは電話かお問い合わせフォーム（メール）というのが大半です。

しかし、電話をしてもなかなかつながらないとか、お問い合わせフォームからメールを送信しても返事をもらえるまでに時間がかかるといったことがあります。

そんな煩わしさを解消する方法の1つとして、『チャット』を使うという方法があります。

ユーザーは、わからないことや知りたいことがあればすぐに回答を得たいと思うのは普通です。

そんな状況下において、電話などの待ち時間はユーザーにとっては苦痛な話しです。

ユーザーが苦痛を感じれば不満が残り、それが積もればユーザーは離れていってしまうということもあり得ます。

これらを改善するためにも、気軽にお問い合わせができる『チャット』を活用するのは有効的であると言えます。

iOSもBusiness Chatを準備している

先日行われたAppleの開発者会議、WWDC2017において、AppleはiOS11からメッセージアプリ（iMessage）でBusiness Chatが使えるようになることを発表おり、問い合わせを受ける企業側がBusiness Chatを採用していれば、『Spotlight』、『Siri』、『Map』、『QRコード』からメッセージアプリ（iMessage）を起動してチャットを開始することができるようになるのです。

また、ここには『Apple Pay』での決済も用意されています。

このように、よりシンプル、かつ便利で、スピーディーな方法で完結できるサービスが今後は増えてくると思われます。

それらを踏まえ、顧客サポートなどに『チャット』の導入を検討してみてはいかがでしょうか。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今の時代、多くの企業はCDN（コンテンツ・デリバリー・ネットワーク）サービスを使って負荷分散をしたりしていますが、そのCDNサービスの1つであるCloudFlare（クラウドフレア）において『Cloudbleed』と揶揄されるような問題が起きました。

※　2014年に発覚したOpenSSLの脆弱性『Hearbleed』を思い起こさせることから『Cloudbleed』と呼びたくなると言われてしまったようです。

CloudFlareのバグによる影響

現在CloudFlareのCDNサービスは、Uber、FitBit、Feedlyなどをはじめとする世界550万以上の企業に使われています。

ということは、そのUber、FitBit、Feedlyなどのサービスを利用しているユーザーへの影響が想定されるということになります。

しかし、CloudFlareのバグは既に修正され、キャッシュされたデータについては、Google、Yahoo、Bingなどの協力もあり、既にパージ（一掃・抹消）されたとのことで、現時点において流出したデータが悪用されたという報告はないとしています。

ただし、一度は流出してしまったわけですから、念のためにご自身が使われているウェブサービスのパスワードを変更しておく方が良いでしょう。

※　GoogleやFacebook、Twitter、LINEなどは、Akamai（アカマイ）など、他社のCDNを使っているはずです。

影響を受けた可能性のある企業リストはGitHubが公開していますので、それにて確認が可能です。

CloudFlare使用サイトリスト by GitHub

CloudFlare公式ブログは下記のリンクからどうぞ。

『Incident report on memory leak caused by Cloudflare parser bug』