皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

16日（月）、17日（火）に続き、19日（木）も何もできませんでしたがご容赦ください。

さて、今日は冒頭に書いた『楽天カード』の『フィッシング詐欺』メールに関してお伝えします。

楽天カードの詐欺メールが拡散される

昨日の日曜日、『楽天カード』を騙る『フィッシング詐欺』と思われるメールが非常に多く拡散されたようです。

最近は内容が非常に巧妙化しているため見分けづらいところではありますが、必ずどこかに問題の箇所は存在します。

例えば今回の場合、楽天カード側の不正利用検知システムによって第三者による不正利用を検知したため連絡をして欲しいというメールで、連絡先の『信用管理グループ モニタリングチーム』という部署も実際に存在しますし、記載の電話番号をインターネットで検索すると、実際に電話を掛けて問題がないことを確認できてホッとしたというブログ記事なども散見されます。

それにプラスし、文末の楽天カード株式会社へのリンクも正規の楽天カードへのリンクが張られています。

しかし、メッセージをテキストではなく『HTML』で表示させた場合には一箇所だけ問題のある誘導リンクが張られているところがあります。

今回のメールには『クリックしてアカウント確認を入力します』とされており、その先の偽サイトにて『ID』や『パスワード』を盗み取る手法のようです。

（冒頭下部の画像を参照）

楽天カードのコールセンターによると非常に多く拡散しているとのことで、念のために『ID』と『パスワード』の変更をお願いしているそうです。

このような場合で不安になった場合、正規のサイトから問い合わせ電話番号を調べ、そこに電話で確認を行うことが安全と言えます。

くれぐれもお気を付けください。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今年も『年末調整』の時期になったこともあり、今日は年末調整関連の話題をお伝えします。

年末調整関係書類も電子保存を

中小・零細企業、とりわけ小規模事業者においては意外と知られていないかもしれませんが、年末が近づくと従業員に紙を配布して記載と提出をさせている『給与所得者の扶養控除等申告書』などの年末調整関係書類に関しても電子保存が可能です。

昨年の『平成30年分の年末調整注意事項』でもご紹介した通り、今は国税庁のホームページで入力用ファイルを提供してくれていますから、小規模であればそれを配布して入力してもらったものを提出してもらって保存するというのもありかと思います。

ただしルールがあります。

１．所轄の税務署へ『源泉徴収に関する申告書に記載すべき事項の電磁的方法による提供の承認申請』を事前に行っておくこと

２．従業員の電子署名（マイナンバーカード）か、事業者が付与したIDとパスワードを使用して提出させること

この2つが必要になります。

１に関しては『みなし承認』となりますから、承認申請書を提出した月の翌月末日までに承認がなければ承認があったものとみなされます。

２に関しては本人であることを特定するためのルールですから、電子署名が難しければ事業者が独自のルールでIDとパスワードを付与すれば問題ありません。

そして、従業員から提出してもらったものをチェックし、後は電磁的に保管されていればOKです。

また、昨今はスマートフォンで簡単に提出できるクラウドサービスも多数出ていますから、それを利用されるのも良いかと思います。

フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法で、クレジットカード番号、アカウント情報（ユーザID、パスワードなど）といった重要な個人情報を盗み出す行為のことを言います。なお、フィッシングはphishingという綴りで、魚釣り（fishing）と洗練（sophisticated）から作られた造語であると言われています。

（総務省 / 国民のための情報セキュリティサイトより）

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

近年非常に多く拡散されている『フィッシングメール』、その多くは『大手企業（サービス）』をかたって拡散し続けられており、今年に入っても多数の『フィッシングメール』が拡散されていますので今日はそれをお伝えします。

フィッシングメール（2019年上期）

今年に入って確認されている『フィッシングメール』には以下のものがあります。

＜1月＞

・三井住友銀行をかたるフィッシングメール

・Amazonをかたるフィッシングメール

＜2月＞

・Amazonをかたるフィッシングメール

・三井住友銀行をかたるフィッシングメール

＜3月＞

・PayPalをかたるフィッシングメール

・ゆうちょ銀行をかたるフィッシングメール

・VJAグループ（Vpass）をかたるフィッシングメール

・Amazonをかたるフィッシングメール

＜4月＞

・メルカリをかたるフィッシングメール

＜5月＞

・MyEtherWalletをかたるフィッシングメール

・NTTグループカードをかたるフィッシングメール

＜6月＞

・MyJCBをかたるフィッシングメール

・MUFGカードをかたるフィッシングメール

・ゆうちょ銀行をかたるフィッシングメール

・楽天をかたるフィッシングメール

・セブン銀行をかたるフィッシングメール

・ドコモをかたるフィッシングメール

今年の前半だけでもこれだけの『フィッシングメール』が拡散されており、企業名やサービス名などが同じでも内容が変わっていたりします。

ちなみに、この7月も既に拡散されているものがあります。

『エポスカード』をかたる『SMS（ショートメッセージ）』です。

SMSに記載のURLには『http://epos-●●●●.com/、http://www.epos-●●●●.com/』にて誘導しているようですので、その他のものと併せてご注意ください。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭に書いたウェブサイトがジャックされた事件、今回はたまたま人気アニメシリーズの公式サイトであったものの、他でもあり得る話しです。

ウェブサイトがジャックされてしまった

この事件においてまず思い浮かんだこと、それは『脆弱性』です。

脆弱性をつかれてしまった場合、ウェブサイトが書き換えられてしまう可能性はあります。

しかし、今回は別の問題が起きているようです。

ウェブサイトというより、『ドメイン』がジャックされた感じを受けます。

この人気アニメシリーズの公式サイトに使われているドメインの情報を見てみると、2019年4月5日 01:18:00に最終のアップデートが行われており、『Registrant（登録者名）』がS社からU個人名に、『Name Server』もIからSに変更されており、『Contact Information（公開連絡窓口）』も変わってしまっています。

一説には、『人為的ミスにより、外部からのドメイン移管リクエストを承諾してしまったのでは？』という意見もありますが、そうでなかった悪意のある『ドメインジャック』であった場合には以下のことが考えらえます。

DNSサーバがジャックされ、DNSレコードを書き換えられてしまうなどによりドメインが不正に移管されてしまった。

これらのことへの対応策としては、

１．ドメイン管理に使用しているID・パスワードの適切な管理

２．WHOIS情報の定期的なチェック

３．DNSサーバが正しく設定されているかの確認

４．登録情報をロックして書き換えを防止する『レジストリロック』の導入

５．登録情報変更時などのメール通知サービスの活用

これらの備えが必要であると言えます。

近年、IoT機器※を悪用したサイバー攻撃が増加していることから、利用者自身が適切なセキュリティ対策を講じることが必要です。
総務省及び国立研究開発法人情報通信研究機構（NICT）は、インターネットプロバイダと連携し、サイバー攻撃に悪用されるおそれのあるIoT機器の調査及び当該機器の利用者への注意喚起を行う取組「NOTICE（National Operation Towards IoT Clean Environment）」を平成31年2月20日（水）から実施します。
※　Internet of Thingsの略。インターネットに接続が可能な機器。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

皆さん、一昨日の2月20日（水）からインターネット上のIoT機器に対する調査が行われていることをご存知ですか？

今日はその件についてお伝えします。

総務省とNICTが行うNOTICEとは

冒頭に書いた通り、総務省とNICT（国立研究開発法人情報通信研究機構）がIoT機器の調査と注意喚起を行います。

この経緯として、昨今のあらゆるものがインターネット等のネットワークに接続されている時代においてサイバーセキュリティは非常に重要な課題です。

そして、諸外国においてはIoT機器を悪用した大規模なサイバー攻撃（DDoS攻撃）で深刻な被害が発生しています。

また、インターネット等のネットワークに接続されているIoT機器は用意に推察されるIDやパスワードが使われていることが多いのも事実で、これでは簡単に侵入を許し、諸外国のような深刻な被害を受けてしまう可能性が高いとも言えます。

さらには、2020年の東京オリンピック・パラリンピックなどを控えていることもあり、これらのセキュリティ性の弱いIoT機器を洗い出し、注意喚起を行っていくことは不可欠と言えます。

この実施に反対の意見もあるようですが、1つのIoT機器が被害に遭えばそこから連鎖し、自身のところの被害だけでは済まず第三者をも巻き込んでしまう可能性もありますので、全体で協力をしていくしかありません。

これに関する簡単な資料が総務省から出ていますので、下記をクリックして確認してみてください。

IoT機器調査及び利用者への注意喚起の取組「NOTICE」について（別紙1）

さて、この『Password Checkup』とは？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本国内においてもウェブブラウザのシェアが半数を超える『Google Chrome』ですが、今回、スタンフォード大学の協力を得て『Password Checkup』というものを開発しました。

では、『Password Checkup』とは？

Password Checkupで漏えいチェック

さて、『Google Chrome』の拡張機能として登場した『Password Checkup』とは、名前の通りパスワードをチェックしてくれるものです。

Chromeブラウザでアクセスしているサイトへのログイン情報が第三者に漏えいしていないかをチェックしてくれ、入力したIDとパスワードが流出データと一致していれば警告を発するようになっています。

元々、Googleアカウントに限ってはパスワードの漏えいや悪用を検知するとパスワードが自動的にリセットされる仕組みになっており、その仕組みの効果もあってリスクは通常の1/10程度にまで抑えられているとされています。

今回リリースされた『Password Checkup』はこのGoogleアカウントの保護機能の仕組みを応用し、他のサイトにおけるログイン情報の漏えいなどを検知できるようにしたものです。

ログイン情報が流出したアカウントは40億以上もあるとされており、そういったアカウントの流出は自身ではなかなか気づかないものです。

そのため、今回リリースされた『Password Checkup』などを使うことで警告が発せられた時点で即座にパスワード変更などの対応を取ることができることから、不正利用などによるデータ侵害を未然に防ぐことが期待できそうです。

参考：『Google Security Blog “Protect your accounts from data breaches with Password Checkup”』

それにより、非常に多くの労力を強いられることになってしまったそうです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

ある方はSNSをはじめとするウェブサービスにおいて『2要素認証（Two Factor Authentication）』を使っていました。

そして、ある時スマートフォンの機種を変更した際に悲劇が起きてしまったそうです。

2要素認証は安全だがリスクもある

2要素認証（Two Factor Authentication）というのは、ウェブサービスにログインする際、ID・パスワードなどで認証させた後、さらにスマートフォンなどでワンタイムパスワードを使って認証させるといった、2つの要素で認証をすることですが、これは安全ではあるものの若干リスクを伴うとも言えます。

何がリスクか？

2要素目の認証部分はスマートフォンなどにQRコードを読み込ませて登録したり、アプリケーションを入れ、そのアプリケーションで認証させたりします。

そして、もしスマートフォンを機種変更したり、トラブルで初期化してバックアップから復元するようなことが起きた場合においてはそれは元に戻りません。

簡単に言えば、スマートフォンの機種変更やバックアップからの復元の際には『2要素認証を解除』しておく必要があるということです。

もし解除していなかった場合、『バックアップコード』などにてウェブサービスにログインすることは可能ですが、これも保管していなかったとしたら最悪なことが起きる場合があります。

ウェブサービスに完全にログイン不可能になります。

とは言え、救済方法が全くないわけではありません。

登録されている携帯電話番号宛にSMS（ショートメール）で認証コードを送って救済してくれるものもあります。

しかし、SMS（ショートメール）に認証コードを送って救済してくれるウェブサービスばかりではありません。

サポートセンターに連絡をし、そのウェブサービスに登録されている情報を細かく提示した上で完全に情報を一致させるなどしなければ解除してもらえないものも多くあります。

このように、最終的な解決までには非常に労力を要することにもなります。

もっと最悪な場合はアカウントが使えなくなる場合もあり得るでしょう。

2要素認証（Two Factor Authentication）を使われている方、くれぐれもお気を付けください。

注：2要素認証（Two Factor Authentication）と2段階認証（Two Step Verification）は厳密には異なるものですが、前述のような事例の場合にはどちらにおいても一時解除した方が良いと言えます。

＜緊急のお知らせ＞
！「三菱ＵＦＪニコス銀行」や「三菱ＵＦＪニコス」「ＭＵＦＧカード」をかたるメールを送り、お客さまの個人情報等を入力させる詐欺が発生しています。メール記載のＵＲＬをクリックせずにメールの削除をお願いいたします。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いた引用は『三菱UFJニコス』のトップページ上部に掲載されている『緊急のお知らせ』ですが、今、そのMUFGカードなどをかたるフィッシング（詐欺）メールが発生しており、セキュリティソフトウェアメーカーからも情報が提供されています。

MUFGをかたるフィッシングメール

現在、MUFGカードをかたるフィッシングメールが確認されており、フィッシングメール内のリンクURLをクリックすると、偽のサイトに誘導されてしまうようになっています。

内容としては以下のようになっている模様です。

＜メールの件名＞

通知
重要通知

＜差出人＞

◦◦◦@mufgcard.comなど、MUFGカードになりすましている可能性あり

＜メール内のURL＞

http://www.hclf.●●●●.tw/mufg.html
http://jw.●●●●.cn/mufg.html
http://lyk●●●●.cn/mufg.html
http://●●●●.co.za/mufg.html
など、MUFGカードWEBサービスのURLではないURL

＜転送先のURL＞
https://cr-mufg-ufj-jp.●●●●.com/

＜文末の連絡先＞
0120-●●●-●●●
など、MUFGカードではない電話番号

このようになっていますが、誤ってリンクを開いてしまうと偽画面が表示され、クレジットカード番号などの個人情報の入力が求められますので、間違っても入力してはいけません。

※　偽サイトのデザインは本物によく似ています。

このようなフィッシングの可能性があるメールにおいては、

１．メールをむやみに開かない
２．添付ファイルをむやみに開かない
３．リンクURLへむやみにアクセスしない
４．アカウント情報やクレジットカード情報などを入力しない
ことが重要です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、国税庁は来年から『確定申告等作成コーナー』をリニューアルします。

事業者であればパソコンからしか行わないかもしれませんが、スマートフォン・タブレットに最適化された画面が用意されるようです。

スマホで確定申告 スマート申告が始まる

画面まわりのデザイン変更が行われるだけではありません。

e-Taxの送信方式が、『マイナンバーカード方式』と『ID・パスワード方式』の選択ができるようになります。

マイナンバーカード方式：マイナンバーカードとICカードリーダライタを利用してe-Taxを行う方法

ID・パスワード方式：ID・パスワード方式の届出完了通知」に記載されたe-Tax用のID・パスワードを利用してe-Taxを行う方法

※ マイナンバーカード方式はパソコンのみです。スマートフォン・タブレットでe-Taxを行う場合は『ID・パスワード方式』になります。

『ID・パスワード方式』の場合、マイナンバーカードとICカードリーダライタは不要ですが、『ID・パスワード方式の届出完了通知』が必要となります。

『ID・パスワード方式の届出完了通知』の発行は、税務署で職員による本人確認を行った上での発行となるため、運転免許証などの本人確認書類を持参し、最寄りの税務署に出向く必要があります。

（平成30年1月以降、確定申告会場などで既にID・パスワード方式の届出完了通知を受け取っていれば平成31年1月から利用可能です。）

参考資料１：『いつでもどこでもスマホで申告 ～5つのステップで手続完結！～ （PDF/896KB）』

参考資料２：『平成31年1月からe-Taxの利用手続がより便利になります （PDF/1,477KB）』

ご参考までに。

国税庁では、マイナンバーカードに標準的に搭載される電子証明書やマイナポータルの連携機能の活用などにより、個人納税者の方のe-Tax利用をより便利にするためのシステム改修を進めており、平成31年1月から以下の２つの方式がご利用いただける予定です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先月、国税庁から『e-Tax利用の簡便化』について情報公開がされています。

個人納税者向けではありますが、個人事業主の方には楽になるケースもありますのでご紹介します。

確定申告等へのe-Tax利用の簡便化

来年、平成31年1月から個人納税者向けに『e-Tax利用の簡便化』が行われます。

国税庁では、それに向けて現在システム改修を進めているところです。

では、どのように利便性が向上するのか？

それには2つの方式が用意されます。

1つは『マイナンバーカード方式』と呼ばれるものです。

従来、e-Taxを利用するためには事前に税務署長へ届出をし、e-Tax利用のID・パスワード通知を受け、これらを管理・入力する必要があったわけですが、マイナンバーカード方式ではマイナンバーカードを用いてマイナポータル経由又はe-Taxホームページなどからe-Taxへログインするだけで、より簡単にe-Taxの利用を開始し、 申告等データの送信ができるようになります。

もう1つは『ID・パスワード方式』と呼ばれるもので、マイナンバーカード及びICカードリーダライタを持っていない場合、税務署で職員との対面による本人確認に基づいて税務署長が通知した『ID・パスワード方式の届出完了通知』に記載されたe-Tax用のID・パスワードのみで国税庁ホームページの『確定申告書等作成コーナー』e-Taxによる送信ができるようになります。

ただし、これはマイナンバーカード及びICカードリーダライタが普及するまでの暫定的な対応とされており、確定申告書等作成コーナーのみの使用になります。

また、平成31年1月以降、e-Taxホームページから確認できるメッセージボックスに保管されている受信通知（e-Taxでの申告履歴等）の閲覧には、原則としてマイナンバーカード等の電子証明書での認証が必要になります。

まだe-Taxを使われていない方、来年の申告からは是非『e-Tax』を使ってみてください。