皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書きました通り、今日はWeb系の脆弱性情報をお伝えします。

PHP･Apache･HTTP/2の脆弱性について

8月1日と8月20日に、JPCERTコーディネーションセンターは以下の脆弱性を発表しています。

＜PHP にバッファオーバーフローの脆弱性＞

PHP には、バッファオーバーフローの脆弱性があり、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能性がある。

対象は、

・PHP 7.3.8 より前のバージョン

・PHP 7.2.21 より前のバージョン

・PHP 7.1.31 より前のバージョン

PHP開発者や配布元提供の修正済みのバージョンへの更新で解決。

＜Apache HTTP Web Server 2.4 に複数の脆弱性＞

Apache HTTP Web Server 2.4 系に以下の脆弱性があり、情報改ざん、悪意のあるページへのリダイレクト、情報漏えい、サービス運用妨害（DoS）攻撃の影響を受ける可能性がある。

・mod_proxy のエラーページに限定的なクロスサイトスクリプティングの脆弱性

・mod_rewrite に潜在的なオープンリダイレクトの脆弱性

・mod_http2 に h2 コネクション切断時における解放済みメモリ読み込みの脆弱性

・mod_http2 にメモリ破壊の脆弱性

・mod_http2 に h2 worker 枯渇によるサービス運用妨害 (DoS) 攻撃の脆弱性

・mod_remoteip にスタックバッファオーバーフローおよび NULL ポインタ逆参照の脆弱性

対象は、Apache HTTP Web Server 2.4.41 より前のバージョン

Apache Software Foundation提供の修正済みのバージョンへの更新で解決。

＜HTTP/2 の実装に対するサービス運用妨害（DoS）攻撃＞

HTTP/2 通信の処理は、HTTP/1.1 通信の処理と比較して多くのリソースが必要であり、RFC7540 の Security Considerations セクションにおいても、サービス運用妨害（DoS）状態に関する検討が行われている(10.5. Denial-of-Service Considerations)。しかし、どのように対策すべきかは実装者にまかされており、これが以下の問題につながっている。

・Data Dribble

・Ping Flood

・Resource Loop

・Reset Flood

・Settings Flood

・0-Length Headers Leak

・Internal Data Buffering

・Empty Frame Flooding

各 HTTP/2 実装者が提供するアップデートの適用を実施。

これらのものに該当する場合、早めに修正済みバージョンへ更新されることをお勧めします。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

Microsoft（マイクロソフト）は2019年7月29日（米国現地時間）、全ての『コードサンプル』が閲覧できるポータルサイトの解説を発表しました。

今日はそれについてお伝えします。

Microsoftの全コードサンプルが閲覧可

今回、Microsoft（マイクロソフト）は開発者向けに『サンプルコード』のポータルサイトを公開しています。

これは、Microsoft製品やサービスを使用するか否かにかかわらず、開発者に役立つ『コードサンプル』が簡単に見つけられるというものです。

現状、『Browse code samples』というタイトルがつけられており、

『Browse code samples / https://docs.microsoft.com/ja-jp/samples/browse/』

ここにアクセスすれば閲覧できます。

言語的には、ASP.NET (C#)、Azure CLI、Azure PowerShell、C、C++、C++/WinRT、C#、F#、Go、HTML、Java、JavaScript、JSON、Node.js、Objective-C、PHP、PowerShell、Python、HTTP、Ruby、Scala、Solidity、SQL、Swift、TypeScript、U-SQL、VB、XAML、XML、YAMLからフィルタリングでき、

製品的には、.NET、Azure、Office、Powerプラットfホーム、Skype、Visual Studio、Windowsからフィルタリングできるようになっています。

もちろん検索ボックスもあります。

また、この『コードサンプル』は全て『GitHub』でホストされているということで、『コードサンプル』にバグが見つかった場合は『GitHub』のイシューに投稿すれば管理チームが目を通すようになっているとのことです。

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いた『HSTS Preload List Submission』は登録できなかったとしても特別問題はないのですが、『共用サーバ』を使っている場合には登録できないケースがあったりします。

HSTSのPreload Listが登録できない

『共用サーバ』の場合、全く知らない個人や事業者が同一のサーバに同居していますが、そのすべてのユーザーが適切に『HTTPS化』できているとは限りません。

その場合にホスティング会社はどのようなセッティングをするか？

『HSTS』は使えても『includeSubDomains』や『Preload』を無効にすることがあります。

理由として、『HTTPS化』への対応が適切にされていなかったりすることで表示上の問題が発生するケースがあるからです。

その場合、『HSTS Preload List Submission』の要件にある『includeSubDomains』と『Preload』が満たせないために登録できないということになります。

これを何とかしたい場合には以下の内容を『.htaccess』に記述してみて下さい。

<IfModule mod_headers.c>

Header always unset Strict-Transport-Security
Header set Strict-Transport-Security “max-age=31536000; includeSubDomains; preload”
</IfModule>

これで何とかなるケースがあります。

また、『www』サブドメインで正規化している場合、『.htaccess』でのリダイレクトではなくhtmlの『meta refresh』を使ったリダイレクトでないとうまく行かないことがありますので、苦肉の策ではありますがそれを使います。

（Googleは『meta refresh』を推奨していませんが、『やむを得ない場合』にはNGとはしていないので問題ないかと思います。）

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

GW（ゴールデンウイーク）明けの休みボケを狙ってなのか、『日本郵便の偽サイト』が出てきました。

被害に遭う前に特徴を把握しておいてください。

日本郵便の偽サイトにご注意

まず、5月7日に日本郵便が注意喚起を行った部分をご紹介します。

ご注意ください

当社の名前を装った迷惑メール及び架空Webサイトにご注意ください。

当社を装った迷惑メールおよび架空のWebサイトが発見されました。
このWebサイトにアクセスしますと、お客さまの情報を盗み出そうとしたり、不正なアプリケーションがダウンロードされるおそれがありますのでご注意ください。
なお、当社ではショートメールによるご不在連絡のお知らせは行っておらず、また、Webサイト等に掲載するURLにおいて「.com」を使用しておりません。

このような不審なサイトを発見された場合は、アクセスすることのないよう、ご注意ください。

迷惑メールの文面（例）
お客さま宛にお荷物のお届けにあがりましたが、不在のため持ち帰りました。下記よりご確認ください。
http://jppost-●●●.com

偽サイトの画面
（Android端末からアクセスした場合）
不正なアプリケーションのダウンロードが行われます。

（iPhoneからアクセスした場合）
リンクをタップすると、Apple IDの入力を求められます。

もしパソコン版でも同様のサイトがあった場合、セキュリティソフトを入れていれば警告をしてくれるはずですが、スマートフォンの場合はセキュリティソフトを入れていないことが多いです。

その場合、URLを確認するなどして見極める必要があります。

日本郵便（郵便局）は『.jp』ですが、偽サイトは『.com』です。

また、日本郵便（郵便局）は暗号化された『https』サイトですが、偽サイトは『http』サイトになっています。

その他、迷惑メールの場合においても差出人や本文中のURLなどに注意を払う必要があります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

現在、Webアクセスのプロトコルは『HTTP/1.1』と通信効率を改善した『HTTP/2』が使われていますが、近い将来、『HTTP/3』が登場し、さらに効率化されたものとなりそうです。

HTTP/3の登場で効率化されるWEB

まず、現状使われている『HTTP/1.1』や『HTTP/2』は以下のように動作しています。

＜HTTP/1.1＞

・基本的には1回のリクエストで1回のレスポンスを返す

・主にTCPを使う

・リクエスト数などによってはレスポンスが重い

＜HTTP/2＞

・1回のTCPコネクションで複数のリクエストを通信し、並列処理を可能にしているためHTTP/1.1と比べWebサイトのパフォーマンスが向上する

・実質的にはHTTPS（SSL/TLS通信）であるため安全性も確保される

そして、新バージョンとなる『HTTP/3（HTTP over QUIC）』は以下のように改善されるようです。

＜HTTP/3（HTTP over QUIC）＞

・TCPではなくUDPを使うため効率的な通信が行える

・TLS1.2より効率の良いTLS1.3を使った暗号化となる

このように改善されます。

（詳細にはもっとあると思います。)

TCPではなくUDPを使うことに対してセキュリティ的に疑問視する方もおられるようですが、その部分は新たに採用される『TLS1.3』などにおいて安全性にも優れいていることがテストで証明されているようです。

安全性が保持され、さらにパフォーマンスが向上するのであれば非常にありがたい話しです。

今、モバイル通信が『5G』へと進化しようとしていることもあり、Webにおいても早い段階で『HTTP/3（HTTP over QUIC）』が導入されることに期待ができそうです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨今、インターネットに接続されたIoT機器がサイバー攻撃を受ける被害が多発しています。

それを受けてと思われますが、NICT（国立研究開発法人情報通信研究機構）が事前調査を行うようです。

NICTによるIoT機器等の事前調査実施

国立研究開発法人情報通信研究機構（NICT）は、パスワード設定等に不備のあるIoT機器の調査等をNICTの業務に追加（５年間の時限措置）する「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」が今月1日に施行されたことを受け、同調査等の業務の実施（今年度内に開始予定）に向けた検討、準備を進めてまいります。
今後の具体的な検討にあたっては、日本国内でインターネットに接続されたIoT機器等につき、当該接続状況などの全体的な傾向、概数等を把握する必要があることから、ポート開放状況の把握など、現状に関して、事前の準備のための調査を実施することといたします。

このように、NICT（国立研究開発法人情報通信研究機構）が来週の14日から事前調査を実施するようです。

事前調査の内容としては、日本国内のIPv4アドレスを対象に、以下のポートスキャンが実施され、ポートの開放状態のアドレス数の規模などが調査されます。

・22Port/TCP（SSH）

・23Port/TCP（Telnet）

・80Port/TCP（HTTP）

・etc…

また、ポート開放状態のアドレスに対してバナー情報（機器自身が公開しているサービスの種類やバージョンなどを知らせるメッセージ）の取得を行い、サービス種類やバージョン情報、機器種別などの状況調査を行うとしています。

事前調査に使用されるIPアドレスは以下の通りです。

210.150.186.238

122.1.4.87
122.1.4.88

このIPアドレスから実施されます。

以上、ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の今日、GoogleのWebブラウザ『Chrome 69』の最新安定版がリリースされました。

Chromeブラウザが公開から10周年ということもあり、今回はいくつかの新機能などが搭載されています。

Chrome 69リリースでの新機能

まず、最新版にアップデート後に直ぐに気付くものとして、デザインが変わっています。

なかなか感じの良いデザインで、随所に円の要素が出ています。

次に、ログインパスワードをChromeブラウザが自動生成するようになり、生成されたパスワードはGoogleアカウントに保存され、ツールバー上のアカウントアイコン内の『パスワード』で一覧できるようになっています（要設定）。

その他、検索クエリとURLの両方を入力する『Omnibox』において、検索内容次第では検索候補の表示のみで情報が得られるようになっていることや、Chromeブラウザのユーザーに名前とアイコンが設定できるようになり、ユーザーごとに管理することも可能です。

セキュリティ面においては40件ほどの脆弱性修正がされ、通信の暗号化が行われているHTTPS採用のWebページに対してはアドレスバーに表示される鍵マークが『緑色』から『灰色』になり、『保護された通信』の文字も表示がなくなりました。

通信の暗号化が行われていないHTTPページに関しては『保護されていない通信』として残っており、現状は警告文字が灰色の表示となっています。

10月リリース予定のChrome 70からは『赤色』での警告に変わる予定ですが、現状でも文字表示されるものは危険を伴うという認識に変わっている感じです。

ご参考までに。

これにより、非HTTPSサイト（ページ）への影響が見込まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

以前より申し上げてきた通り、とうとうChromeブラウザにて警告表示が始まりました。

今日はその話題を少しだけ。

Chrome68リリースで警告表示始まる

今回のChrome 68では、暗号化されていないサイト（ページ）、つまりHTTPSではない、HTTPのままのサイト（ページ）に対して以下のように警告を表示します。

『！保護されていません｜www.example.com』

この警告はアドレスバーの先頭に表示されます。

さらに、10月にリリース予定の『Chrome 70』では、HTTPのままのサイト（ページ）でユーザーがパスワードを入力しようとした際、もっと目立つように色付きの警告表示になる予定です。

『！保護されていません｜www.example.com』

このような感じにです。

これらの警告表示による訪問者の離脱は避けたいところですので、まだ『HTTPS化』をされていない方、早急に対応されることをお勧めします。

PS：Firefoxではもっと影響度の高い警告表示になる可能性があります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

このブログでも何度となく取り上げてきた『WebのHTTPS化』に関して、2月にもお伝えした通り、Googleのブラウザ『Chrome』では全面的な警告が行われるようになります。

しかし、これに対する認識が不足している事業者もまだまだ残っているため、再度お伝えすることにします。

Chrome68では全面的な警告になる

以前からお伝えしている通り、Googleのブラウザ『Chrome』の『バージョン68』からは『非HTTPS』サイト（ページ）に対して全面的な警告表示を出します。

そのようになってしまう『Chrome 68』は来週の7月24日にリリース予定となっています。

現時点では、お問い合わせフォームなどのフォームに文字入力をした時に『！保護されていません』と警告するにとどまっていますが、来週リリース予定のバージョンではそうはいきません。

お問い合わせなどのフォームに文字入力するか否かは関係なくなり、シンプルに『非HTTPS』サイト（ページ）すべてに警告表示をするようになります。

これはGoogleのブラウザ『Chrome』に限った話しではなく、Mozillaのブラウザ『Firefox』においても同じ方向へ切り替わります。

あなたがそのウェブサイト（ウェブページ）を閲覧しようとするユーザー（訪問者）であった場合、それはどのように感じるでしょうか？

おそらく、大半の方は『危険』とか、『怪しい』とかのマイナスのイメージを持ってしまい、直ぐにそのサイト（ページ）から離れてしまうことでしょう。

それが自社や自店のサイト（ページ）にて起こってしまう。

つまり、『イメージダウン』、『信用低下』といったことを招くことになってしまいます。

それを回避する方法は1つしかありません。

ウェブサイト（ページ）を全面的に『HTTPS化（暗号化）』することです。

余談ですが、このような話しを何度お伝えしても理解を示さない方がおられるのも事実です。

おそらく、実際に何かが起きてみないと実感がわかないのだろうと思います。

このセキュリティ更新プログラムには、深刻度が『緊急』のものが含まれていますので、早急なアップデートが望まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の昨日、Microsoft（マイクロソフト）から2018年6月のセキュリティ更新プログラムがリリースされました。

今回も緊急度の高い脆弱性修正が含まれていますので、今日はそれをお伝えします。

2018年6月のセキュリティ更新プログラム

2018年6月のセキュリティ更新プログラムの中には、深刻度が『緊急』のもの（Spectre Variant 4 緩和策対応を含む）が含まれており、脆弱性が悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりするなどの被害が発生する可能性があり、かつ、その後の影響も大きいため、Microsoft Update、もしくはWindows Updateなどにて早急にセキュリティ更新プログラムを適用することがアナウンスされています。

脆弱性に関する内容は以下の通りです。

・Microsoft Edge のメモリ破損の脆弱性

・Windows のリモートでコードが実行される脆弱性

・Windows DNSAPI のリモートでコードが実行される脆弱性

・Chakra スクリプト エンジンのメモリ破損の脆弱性

・HTTP プロトコル スタックのリモートでコードが実行される脆弱性

・Internet Explorer のメモリ破損の脆弱性

・メディア ファンデーションのメモリ破損の脆弱性

・スクリプト エンジンのメモリ破損の脆弱性

などとなっており、Microsoft Office 関連の脆弱性もリリースされています。

また、Adobe Flash Player の脆弱性対応は、数日前に先行してリリースされています。

ここ数日の間にWindowsなどが更新された形跡がなければ、手動でWindows Updateなどを行うことをお勧めします。