皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日はiPhoneであっても注意した方が良いという話です。

ここ最近、IPAにこんな相談が寄せられているようです。

カレンダーに身に覚えのないイベント

まず、この問題の結論から書きます。

今回の問題は、iCloudカレンダーの『共有機能』や『出席依頼機能』が悪用され、自身のiCloudメールアドレスが何らかの方法で知られてしまい、そのアドレスが共有先として設定されると、不審なカレンダーやイベントが自身のiPhoneに登録される可能性があるとされています。

この具体的な手口は以下のようになります。

＜１．iPhoneのカレンダーに身に覚えのないイベントがある＞

・iPhoneに身に覚えのないカレンダーの通知が表示される。

・iPhoneのカレンダーに身に覚えのないカレンダーやイベントが登録されている。

・イベントのタイトルには「ウイルスに感染している可能性があります」、「あなたのiPhoneは保護されていません！」などと記載されている。

・イベントにはURLが記載されている。

＜２．イベント内のURLから不審なサイトへ誘導される＞

・イベントに記載されているURLをタップして、不審なサイトにアクセスする。

＜３．アクセスした不審なサイト経由で被害にあう＞

・アクセスしたサイト経由で、不審なセキュリティ対策アプリ等のインストールへ誘導される可能性がある。

・アクセスしたサイトで、メールアドレス、電話番号、クレジットカード情報などの個人情報を入力すると、情報を詐取される可能性がある。

そして、アクセス先のサイト経由でアプリをインストールしたり、サイトに個人情報等を入力すると被害が発生する可能性があるとされています。

このような事象への対処法は以下の通りで紹介されています。

・身に覚えのない共有カレンダーの参加依頼が届いた場合は、参加依頼のスパム報告をする

・身に覚えのない共有カレンダーがある場合は、共有カレンダーを削除する

・身に覚えのないイベントの参加依頼が届いた場合は、不審な参加依頼のスパム報告をする

これらの対策法としては、

・手口を知る

・不審なカレンダーやイベントの参加依頼は削除する

・URLを安易にタップしない

・アプリのインストールは慎重に

・パスワードや認証コード等を安易に入力しない

ということになります。

念のため、IPAが掲載している『安心相談窓口だより（PDF版）』のURLを記載しておきますので参考にしてください。

『iPhone に突然表示される不審なカレンダー通知に注意！（PDF）』

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いた件に関しては『経済産業省』からも注意喚起が出ておりますので、今日はそれについてお伝えします。

EC-CUBE2系でクレカ情報流出被害増加

『EC-CUBE』の中でも『EC-CUBE2系』において特に発ししている事象として、セキュリティ対策などが十分に行われていないECサイトにおいて改ざんがされ、攻撃を受ける可能性があるとされています。

・正しいインストール環境設定

・EC-CUBEの既知の脆弱性修正対策

・利用しているサーバーのセキュリティ対策

・ECサイトの管理画面のセキュリティ対策

・同じ環境に設置されている他のCMSのセキュリティ対策

これらが十分に行われているかが重要であるとしています。

具体的な確認と対策方法に関しては、

・/data ディレクトリや /install などのディレクトリが運用環境で公開されてしまっていないかを確認し、公開されてしまっている場合には /install の削除、 /data ディレクトリへのアクセス制限を行う。

・過去にEC-CUBEより発表された脆弱性が修正されていない場合は修正を行う。

・管理画面のURLが /admin/ など推測されやすいURLになっている場合、それを推測されにくいものに修正する。

・IP制限やBasic認証をかけるなどし、管理画面へのアクセス制限行う。

・利用しているサーバー、CMSなどのセキュリティが担保されているかや、そのサーバーのOSやミドルウェアの脆弱性対応がされているかを確認する。

・WordPressなどのCMSなどにおいてデータベース接続を行うアプリケーションをインストールしている場合、アプリケーションのプラグインの脆弱性対応がされているかを確認する。

これらの確認が必要になってきます。

また、自社内での確認、対策などが困難な場合はインテグレートパートナーに相談するなどして対応するよう呼び掛けています。

今回のリリースは6件のセキュリティ問題を修正した『セキュリティリリース』となります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の昨日、『WordPress』の更新版『WordPress 5.2.4』が公開されました。

今日はそのニュースをお伝えします。

WordPress 5.2.4セキュリティアップデート

さて、今回のリリースは『WordPress 5.2.3以前のバージョン』で影響を受けるとされる『セキュリティリリース』となります。

『すぐにサイトを更新することを強くお勧めします』といったコメントは特別ありませんでしたがアップデートすることが無難でしょう。

以下、アップデートの内容です。

・格納型XSS(クロスサイトスクリプティング)がカスタマイザー経由で追加される可能性の問題が発見された件の修正

・認証されていない投稿を表示する方法が見つかった件の修正

・JavaScriptをスタイルタグに挿入する格納型XSSの作成方法が発見された件の修正

・Vary: Origin ヘッダーを介して JSON GETリクエストのキャッシュをポイズニングする方法が見つかった件の修正

・URLの検証方法でサーバーサイドリクエストフォージェリが発見された件の修正

・管理画面のリファラーバリデーションに関連する問題を発見された件の修正

以上のようになっています。

いつもの通り、早めの段階で『WordPress 5.2.4』へアップデートされることがお勧めです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

GW（ゴールデンウイーク）明けの休みボケを狙ってなのか、『日本郵便の偽サイト』が出てきました。

被害に遭う前に特徴を把握しておいてください。

日本郵便の偽サイトにご注意

まず、5月7日に日本郵便が注意喚起を行った部分をご紹介します。

ご注意ください

当社の名前を装った迷惑メール及び架空Webサイトにご注意ください。

当社を装った迷惑メールおよび架空のWebサイトが発見されました。
このWebサイトにアクセスしますと、お客さまの情報を盗み出そうとしたり、不正なアプリケーションがダウンロードされるおそれがありますのでご注意ください。
なお、当社ではショートメールによるご不在連絡のお知らせは行っておらず、また、Webサイト等に掲載するURLにおいて「.com」を使用しておりません。

このような不審なサイトを発見された場合は、アクセスすることのないよう、ご注意ください。

迷惑メールの文面（例）
お客さま宛にお荷物のお届けにあがりましたが、不在のため持ち帰りました。下記よりご確認ください。
http://jppost-●●●.com

偽サイトの画面
（Android端末からアクセスした場合）
不正なアプリケーションのダウンロードが行われます。

（iPhoneからアクセスした場合）
リンクをタップすると、Apple IDの入力を求められます。

もしパソコン版でも同様のサイトがあった場合、セキュリティソフトを入れていれば警告をしてくれるはずですが、スマートフォンの場合はセキュリティソフトを入れていないことが多いです。

その場合、URLを確認するなどして見極める必要があります。

日本郵便（郵便局）は『.jp』ですが、偽サイトは『.com』です。

また、日本郵便（郵便局）は暗号化された『https』サイトですが、偽サイトは『http』サイトになっています。

その他、迷惑メールの場合においても差出人や本文中のURLなどに注意を払う必要があります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

ビジネス上のファイルのやり取りに関する方法として、冒頭に書いた方法を用いた受け渡しは未だ多く使われていますが、これが安全であるかというとそうではありません。

ただし、暗号化してパスワードロックをかけずに送るよりは『マシ』ではあります。

では、いったいどのような方法でファイルの受け渡しを行うのが良いのか？

添付ファイル付メールから他の方法へ

この話しは以前にも書いたことがありますが、改めて投稿します。

まず、ウイルス感染する大きな1つの要因として『メールの添付ファイル』があります。

それを回避するため、事業者によっては特定の形式の付与されたメールを受信しないようにしているところもあります。

そして、前述の通りパスワードロックされた添付ファイルのパスワードは簡単に解読されてしまう可能性があるため、メールにファイルを添付して受け渡しを行う方法は避けた方が良いとも言えます。

そこで、以下の方法へ変更されることをお勧めします。

１．Google Drive などでファイルやフォルダを共有する

２．ファイル送信（転送）サービスを使う

１の場合、自身がアップロードしたファイルを共有（招待）する相手のみにすることで第三者からのアクセスを防ぐことができます。

２の場合、アップロードした際に発行されるURLを相手に送り、それを受け取ったものだけがファイルをダウンロード取得することになりますのでこちらも有効的と言えます。

そして、１と２に共通して言えるのはセキュリティが高いサービスが多いということもあり、少なくとも冒頭に書いた方法よりは賢明な方法と言えます。

諸外国と比べて日本はまだまだセキュリティへの意識が低いように思えます。

少しでもリスクを低減するため、これらの方法を取り入れてみて下さい。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日は注意喚起です。

楽天市場をかたるスパムメールが再び

以前にも楽天市場を装った『【楽天市場】注文内容ご確認（自動配信メール）』を件名とするフィッシングメールが出回っていたことがありましたが、ここ数日において再び拡散されています。

全ての内容がそうであるかはわかりませんが、概ね30,000円～40,000円前後の『液晶テレビ』を購入したとされる内容になっています。

以前のフィッシングメールも同じように『液晶テレビ』を購入したとされるものでした。

このメールの本文に記載されているうち、先頭の『楽天ロゴ』は楽天市場のURLへのリンクが張られているようですが、それ以外は全く不明なURLへのリンクが張られています。

ご自身が本当に液晶テレビなどを購入した記憶がない限りは何の反応もしてはいけません。

また、もし液晶テレビを購入したとしても、本当にそのお店から購入したのかをよく確認する必要があります。

くれぐれもご注意くださいませ。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

事業者であれば受け取ることの多い『営業・宣伝メール』ですが、本来、送る側は『特定電子メール法』の準拠した形で送らなければいけません。

しかし、そういったメールの大半は法を無視した形で送られています。

特定電子メール法の間違った認識

まず、事業者が事業者に送るメールであったとしても無作為に送って良いということはありません。

特定電子メール法においては『必ず相手の同意を得る』ということになっています。

ただし、これには例外があります。

１．取引関係にある

２．過去に名刺交換をしたことがある

３．ホームページ上などの広告宣伝物にメールアドレスの記載がある

これらに関しては規制の例外となります。

これらの規制を逸脱して行われるケースとしては以下のようなケースがあります。

１．ホームページのお問い合わせフォームから営業・宣伝行為を行う。

（メールアドレスが公開されていなければアウトです。）

２．事業者がよくつかう『info』や『contact』宛に営業・宣伝行為を行う。

この2つのケースが多く見られます。

ここからは受信者に向けた注意喚起になりますが、

2番目の手法は一番多いケースかと思いますが、このケースにおいては文末に配信停止用のリンクURLを記載し、そこから配信停止をさせようとするものや、送信したメールは『特定電子メール法に準拠して配信されている』と記載しているものがありますが、これはどちらも怪しいものだと思った方が良いです。

前者の場合、穿った見方をすればリンクURLをクリックさせることによってそのメールアカウントが生きているかどうかを確認するために使っているとも捉えることができます。

（ただ作成されていただけのものであれば誰もリアクションをしませんから。）

後者の場合、おそらく特定電子メール法に準拠していないことは承知の上で記載している可能性が高いです。

それを記載することで『やむを得ないものだ』と認識させ、再度送信するチャンスを得ておくといったことが考えられます。

ご丁寧に特定電子メール法に関するガイドラインが掲載されたリンクURLを記載してくるところもありますが、それも安心感を植え付けるだけのものでしかありません。

では、最後に送信される事業者、受信される事業者、双方へのコメントです。

送信される事業者の方、間違った認識のままメールを無作為に送信し続けることは非常に危険です。

場合によっては『行政指導』や『行政処分』、最悪の場合は『刑事罰』が待っていますので認識を改めた方が良いです。

受信された事業者の方、このようなメールには反応することなく、そのメールアドレスを淡々とブロックしてしまうことしかありません。

無駄に反応しない方が無難かと思われます。

＜緊急のお知らせ＞
！「三菱ＵＦＪニコス銀行」や「三菱ＵＦＪニコス」「ＭＵＦＧカード」をかたるメールを送り、お客さまの個人情報等を入力させる詐欺が発生しています。メール記載のＵＲＬをクリックせずにメールの削除をお願いいたします。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いた引用は『三菱UFJニコス』のトップページ上部に掲載されている『緊急のお知らせ』ですが、今、そのMUFGカードなどをかたるフィッシング（詐欺）メールが発生しており、セキュリティソフトウェアメーカーからも情報が提供されています。

MUFGをかたるフィッシングメール

現在、MUFGカードをかたるフィッシングメールが確認されており、フィッシングメール内のリンクURLをクリックすると、偽のサイトに誘導されてしまうようになっています。

内容としては以下のようになっている模様です。

＜メールの件名＞

通知
重要通知

＜差出人＞

◦◦◦@mufgcard.comなど、MUFGカードになりすましている可能性あり

＜メール内のURL＞

http://www.hclf.●●●●.tw/mufg.html
http://jw.●●●●.cn/mufg.html
http://lyk●●●●.cn/mufg.html
http://●●●●.co.za/mufg.html
など、MUFGカードWEBサービスのURLではないURL

＜転送先のURL＞
https://cr-mufg-ufj-jp.●●●●.com/

＜文末の連絡先＞
0120-●●●-●●●
など、MUFGカードではない電話番号

このようになっていますが、誤ってリンクを開いてしまうと偽画面が表示され、クレジットカード番号などの個人情報の入力が求められますので、間違っても入力してはいけません。

※　偽サイトのデザインは本物によく似ています。

このようなフィッシングの可能性があるメールにおいては、

１．メールをむやみに開かない
２．添付ファイルをむやみに開かない
３．リンクURLへむやみにアクセスしない
４．アカウント情報やクレジットカード情報などを入力しない
ことが重要です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の今日、GoogleのWebブラウザ『Chrome 69』の最新安定版がリリースされました。

Chromeブラウザが公開から10周年ということもあり、今回はいくつかの新機能などが搭載されています。

Chrome 69リリースでの新機能

まず、最新版にアップデート後に直ぐに気付くものとして、デザインが変わっています。

なかなか感じの良いデザインで、随所に円の要素が出ています。

次に、ログインパスワードをChromeブラウザが自動生成するようになり、生成されたパスワードはGoogleアカウントに保存され、ツールバー上のアカウントアイコン内の『パスワード』で一覧できるようになっています（要設定）。

その他、検索クエリとURLの両方を入力する『Omnibox』において、検索内容次第では検索候補の表示のみで情報が得られるようになっていることや、Chromeブラウザのユーザーに名前とアイコンが設定できるようになり、ユーザーごとに管理することも可能です。

セキュリティ面においては40件ほどの脆弱性修正がされ、通信の暗号化が行われているHTTPS採用のWebページに対してはアドレスバーに表示される鍵マークが『緑色』から『灰色』になり、『保護された通信』の文字も表示がなくなりました。

通信の暗号化が行われていないHTTPページに関しては『保護されていない通信』として残っており、現状は警告文字が灰色の表示となっています。

10月リリース予定のChrome 70からは『赤色』での警告に変わる予定ですが、現状でも文字表示されるものは危険を伴うという認識に変わっている感じです。

ご参考までに。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

今日は、先週末公開されたマルウェアレポートに関してお伝えします。

2018年の上半期マルウェアレポート

まず、2018年の上半期において日本国内で検出したマルウェアの検出数は2017年下半期と比べて半減しており、これは世界全体で見ても同様に減少しているとされています。

推測される要因として、ダウンローダーを添付したばらまき型メールの減少が大きいようです。

しかし、VBA形式のものは世界の中でも日本が最も多く検出されており、MicrosoftのWordやExcelなど、業務で使われるアプリケーションを悪用した攻撃は2017年以前から継続して確認されているとされていることと、JavaScriptなど、Webサイト上における脅威は以前に比べて増しているともされています。

次に、昨年末あたりに異常な高騰を見せた仮想通貨の取引所に対する攻撃に加え、それを採掘させるマイニングマルウェアの存在も目立ってきていることと、インターネットバンキングを狙ったものが取り上げられており、いずれも前述のメール添付のダウンローダーや本文中URLからのダウンローダー、Webサイト上におけるJavaScriptなどからの感染が主な要因のようです。

その他、Windowsの脆弱性を悪用したものも取り上げられていますが、全体的に言えることとして、Windowsやアプリケーションのセキュリティ対策プログラムは常に最新を保ち、セキュリティソフトは必ず常駐させ、不審なメールに対する認識の共有や不審なサイトへのアクセスを行わないなど、基本的なことが守られていればかなりの確率で感染を避けることができることがわかると思います。