セキュリティ対策

【注意】マルウェア「Emotet(エモテット)」の感染につながるメール

今年の2月の初めから注意喚起されてましたが、現在、マルウェア「Emotet(エモテット)」による攻撃手口が世界中で流行しています。弊社のお客様からも2、3件お問い合わせがありました。

JPCERTからも3月3日に注意喚起が発表されました。

■JPCERTからの注意喚起:https://www.jpcert.or.jp/at/2022/at220006.html

差出人がアドレス帳に登録されている名前になっているが、メールアドレスはその人のものではなく適当なアドレスだったり、過去のメールのやりとりを引用していたりと手口が巧妙です。

差出人名が知っている人だからといって無闇に添付ファイルを開いたり、メールに書いてあるリンクをクリックしてはいけません。

PCが感染してアドレス帳などが抜き取られ、さらにアドレス帳の登録者へ同じようなメールが送られてしまい、被害が拡大してしまいかねません。

取引先から「おかしなメールが届いたけど、送って覚えがある?」といった問い合わせがあった場合は、まずは感染の有無を確認しましょう。

■JPCERTの参考ページ:https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html#2

一度アドレス帳が漏洩してしまったら、被害を完全に抑えることは難しいかもしれません。

ウイルス対策ソフトを入れて、知らないメールは開かないという意識をもって日ごろから注意しましょう。

Apple製品で修正困難な脆弱性というニュース

■INTERNET Watch:iPhone 4S~Xなど複数のApple製品で修正困難な脆弱性、米CERT/CCが注意喚起

え?という衝撃的なニュースがありました。

「脆弱性情報サイト「JVN(Japan Vulnerability Notes)」では、ファームウェアアップデートによる対策ができないとして、脆弱性を含まない製品へ移行するよう呼び掛けている。」

「影響を受けるデバイスは以下の通り。」

・iPhone 4SからiPhone Xまで
・iPad第2世代から第7世代まで
・iPad mini第2世代および第3世代
・iPad AirおよびiPad Air 2
・iPad Pro 10.5インチおよび12.9インチ第2世代

えー!(笑)ほぼ最新機器以外は脆弱性ありってことじゃないですか。

十何万円もするものをすぐに買い替えられるお金の余裕がありません。

様子を見るしかないですね。

混合コンテンツとは?

2019年10月3日にGoogle社のセキュリティブログでWebコンテンツのセキュリティに関する重要なお知らせが発表されました。

■Google社セキュリティブログ:https://security.googleblog.com/2019/10/no-more-mixed-messages-about-https_3.html

2020年2月にリリース予定のChrome81で、独自SSL化(https)しているwebサイトの中で画像や動画などを表示するリンクがhttpsで記述されてなかった場合はブロックして表示されなくなるという内容です。

混合コンテンツとは、同一Webサイト内で暗号化されたコンテンツと、暗号化されていないコンテンツが混在していることによりセキュリティ上危険な状態のことです。

画像が表示されなかったり、レイアウトが崩れたりするので、私たち制作会社がチェックしなければなりません。

少し専門的なことを言いますと、リンクの記述を絶対パス(https://www.web-s.biz/parts/header_h1_top.png)で書いてある箇所は要チェックです。

「うちのホームページはhttpなんだけど大丈夫?」という方もいらっしゃると思います。

httpのアドレスバー表示

httpのホームページは混合コンテンツは関係ありませんが、そもそもセキュリティが弱い状態にあります。

サイトの改ざんやなりすましを防ぐ、サイトの訪問者に安心して閲覧してもらうために独自SSLの導入をおすすめします。

弊社のお客様にもお手ごろな価格で安心してご利用いただけるようにサービスを充実させていきます。

スマホページに足りない分をPCページが補ってくれる?

Googleからモバイルファーストインデックス(MFI)を開始する通知が順番に送信されてきてます。MFIとは、簡単に言うとGoogleはモバイル向けページの内容しか見なくなりますよということです。

例えば、PCページが100ページあって、スマホページが50ページだったら、スマホにないページをGoogleは補ってくれるのでしょうか?

答えはNoです。

モバイルファーストインデックスでは、スマホページがインデックスされます。スマホページがないものはインデックスされません。

現在のところランキングには影響がないようですが、検索結果はスマホのタイトルが反映されるなど、MFI後は明らかにスマホページの情報を参照しています。ランキングに影響が出るタイミングを見極めなければならないかもしれませんね。

Google Chromeで『非SSLサイト』の警告表示開始

「Chrome68」って、最近よく耳にしませんか?

Chrome68というのは、2018年7月にリリース予定のGoogle Chromeブラウザの新バージョンです。

Googleより、Chrome68のバージョンからHTTPで配信されているすべてのページに対して、通信が安全ではないことを通知する「保護されていません」のラベルを表示すると、警告表示強化の公式アナウンスがあったため、対応が必要かなども含め色々と話題になっています。

「HTTPで配信されているページ」とは、アドレスが http://で始まるページのことで、インターネット上で暗号化通信をしていないページとなります。
「非HTTPS」とか「非SSL」とも言われます。

 

どう変わるの?

Googleはこれまでも、非SSLサイトに対する警告表示を段階的に強化してきました。
ブログを書いている7月11日時点では、非SSLの何か入力する欄があるページにだけ警告が表示される状況となっています。

それが、Chrome68からはさらに1段階強化され、非SSLのすべてのページに対して警告が表示されるようになります。

 

  • SSL対応されたページ
  • 非SSLのページ

 

今回はChromeブラウザに対しての発表なので、他のブラウザ(Internet Explorer や Firefox など)には該当しませんが、Chromeはインターネットを閲覧する時に、今一番使われているブラウザです。
Chromeだけだからといってあっさり無視はできませんね。

 

日本国内のブラウザシェア

 

お客様のサイトの確認

現在のChromeのバージョンでも、シークレットモードを利用すると警告が表示されるかどうかを確認することができます。

シークレットモードで、お客様のホームページにアクセスしてみてください。

  • 「保護された通信」
  • 「保護されていない通信」

のとちらかが、アドレスバーの左側に表示されます。(EV証明書の場合の場合は組織名が表示され「保護された通信」となります)

現在はシークレットモードにだけ表示される警告ですが、Chrome68からは通常の閲覧モードでも同様に警告が表示されるようになります。

 

シークレットモードの使い方

Chromeブラウザの右上にある設定ボタンをクリックし、表示されたメニューから「シークレットウインドウを開く」をクリックします。
参考: Google Chrome ヘルプ:プライベート ブラウジング

 

「保護されていない通信」と表示されたお客様

ご安心ください。
ウェブサクセスでは、SSL化していないサイトでも、問い合わせフォームなどの個人情報を送信するようなページはSSL通信するよう制作しております。

ですので、問い合わせフォームでのデータの改ざんや漏洩の心配はございません。

しかしながら、他のページで警告が表示されると閲覧したユーザーに不安を与えてしまう心配があります。
今後ますます、セキュリティに対して意識が高くなっていく傾向ですので、常時SSL化(サイト全体をHTTPS化)を検討なさるのも、よい機会かと思います。

警告を表示させないようにするには、SSL証明書の導入が必要となり費用も掛かりますが、下記にあるような多くのメリットがあります。

 

SSL化することのメリット

セキュリティの効果

PCとサーバー間の通信データが暗号化されます。暗号化された情報は第三者が読み取ることができないので、「盗聴」や「改ざん」を防止することができます。

信頼性の向上

ホームページの運営者に対してSSL証明書が発行されます。情報を暗号化していることや、証明書によって運営者の身元を証明することができるので、ユーザーに対して安心感や信頼感を与えることができます。

SEO対策効果

Googleは、SSL化しているかどうかを検索結果の基準のひとつとすると発表しました。検索エンジンにおいてもそのホームページは信頼できるサイトであると判断されるため、SEO対策にも効果があるといわれています。

 

費用はお客様のプランによって異なります。
これを機会にサイト全体を常時SSL化したいというお客様は、下記からお問い合わせください。お客様に応じた最適なプランをご提案させていただきます。

お問い合わせはこちらから

 

SSLって何?

【今更聞けないWeb用語】

SSLって聞いたことありますか?
ネットショップをよくご利用になっている方はご存知かと思います。

SSLを利用すると、インターネット上での通信を暗号化することができ、データの盗聴や改ざんなどを防ぐことができます。

簡単に見分ける方法は、

EV SSL

上記の画像のように「https」になっていれば、SSL化されています。
ちなみに、アドレスバーが緑色になっているのは、さらに高度な暗号化によってセキュリティを強化した「EV SSL」になります。

「http」のお問い合わせフォームに個人情報を入力したら、情報が抜き取られる可能性が高いと思ってください。
「http」のサイトでカード決済したなんてことになったら、カード情報を抜き取られて覚えのない買い物をされていたなんてことも多いにあり得ます。

SSL化されていないフォームやカートで個人情報を入力しないのが安全ですが、Webサイトを運営する側にもセキュリティ意識を高くもっていただくことが肝心です!

高度な暗号化対策を詳しく知りたい方はこちら>>https://www.ssl-sign.jp/

ブルートフォース攻撃ってなに?

ブルートフォース攻撃とは、 ID やパスワードを手当たりしだいに入力されるもの、もしくはシステムの脆弱性を狙った攻撃です。

特に、世界シェアNo.1のブログシステム「WordPress」はその攻撃の対象にされています。

WordPressは無償で提供されているシステムなので利用しやすいですが、自己防衛の意識をしっかりと持って利用しなければなりません。

【対策について】

■WordPress 管理パネル(ダッシュボード)のログインパスワードの変更をしましょう。

一番間違いのない方法です。パスワードを変更する際は、以下の点に留意ください。

  • パスワードに ID と同じフレーズを入力しないこと( admin と admin など)
  • 英単語や類推されやすいような平易なパスワードを利用しないこと (admin 、1234、0000、password や利用ドメイン名など)
  • アルファベット(大文字小文字)、数字、記号を組み合わせたパスワードをご利用になることをお勧めします
  • 定期的にパスワードを変更すること

■WordPress のバージョンアップをしましょう。

ご利用の WordPress の更新がある場合は、セキュリティ上重要な更新が含まれている場合もあるため、定期的なご確認をしましょう。

また、プラグインにも脆弱性が潜んでいる場合もございますため、バージョンアップや、不要なプラグインは削除するなどの対策も有効です。

他にも対策はありますが、弊社でやれることは積極的に行ってお客様に安全にご利用いただけるよう努めてまいります。

インターネットエクスプローラー(IE)の脆弱性

マイクロソフトのホームページを閲覧するソフトIE(インターネットエクスプローラー)に新たな脆弱性(システム上の欠陥)が発生しました。

この脆弱性が悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御され、様々な被害が発生する可能性があります。

Windowsのパソコンを買えばIEは付属で入っているので、何も知らなければIEを使い続けるのもわかります。
IEはブラウザの中でシェアがNo.1ですし、それ故にハッカーの標的となりやすいのもあります。

やはり、他のブラウザを使用することをオススメします。

【参考ブラウザ】

■Google Chrome:https://www.google.com/intl/ja/chrome/browser/

■Firefox:http://www.mozilla.jp/firefox/

上記ブラウザは無料でダウンロードできますので、IEをご利用の方はお早めに移行してください。セキュリティ対策は事前の予防が大切です。例えパソコンを乗っ取られる可能性が低かったとしても、危険はできる限り避けるべきです。

サイバー攻撃の加害者になってしまう?

2013年4月ごろから企業のホームページを踏み台にした新たなサイバー攻撃が増加してきています。

狙われているのは大企業だけではありません。中小企業、個人サイトにいたるまで無差別に被害が広がっています。

最近のサイバー攻撃は、攻撃した企業サイトを踏み台として、そこにアクセスしてきた訪問者のPCなどにウイルスを送り込むことを目的としています。

そして、ウイルスに感染したPCで利用しているECサイトなどのID・パスワードを盗み、不正なサービス利用が行われます。

改ざんされても見た目や情報が変わったようには見えないため、改ざんされても気づかないことが多いのが現状です。

セキュリティへの先行投資は、なかなか理解を得られません。

自社サイトの訪問者を守るためにもEV SSLを理解するところからはじめてみてはいかがでしょうか。

静岡発!緑色のアドレスバーの暗号化【SSLサイン】 << HPを見る

踏み台にされているかも

あっという間に稲刈りから2ヶ月が経ち、年末になってしまいました。
ブログの更新が間延びしているので、弁護士の栗田先生のブログ記事のお言葉が身に沁みます。来年は一週間に一度更新します!

■記事URL:本の紹介277(掟破り)

■ブログURL:栗坊日記

さて、ここ2ヶ月間で6冊ほど本を読みました。
静岡県立大学の岩崎邦彦先生の「小が大を超えるマーケティングの法則」、「小さな会社を強くするブランドづくりの教科書」、宮部みゆきさんの「楽園(上・下)」、「蒲生邸事件」、ライトノベル2冊です。(ライトノベルはスルーしてください)

岩崎先生のセミナーを何度か聞きに行きましたが、本もマーケティングについて考える良い道標になります。
宮部みゆきさんの「楽園(上・下)」は、以前読んだことがあった・・・と自宅に戻って気付きました。でも、内容はあまり憶えてなかったのでおもしろかったです。

前置きが長くなりましたが、ここからが本題です。
「踏み台にされている」とは、悪意のある人が他人のメールアドレスを使って迷惑メールを送信している攻撃(踏み台攻撃)が最近増えおり、知らないうちに被害にあってしまうケースが増加しています。

皆様のメールアドレスが迷惑メール送信の踏み台として利用されてしまいますと、サーバーの評価(信頼性)が低下してしまい、結果、そのサーバーから送信されたメールが、受信側のサーバーで拒否されてしまう可能性もあります。

対応策としては、

  • メールアカウントのパスワードをできるだけ複雑なものに変更
  • (メールアドレスを利用していない場合)メールアカウントの削除

と設定変更をされるとよいでしょう。

なお、サーバーでメールアドレスのパスワード変更をしたら、ご利用のパソコンのメールソフトの設定も変更しないと送受信ができませんのでご注意ください。

IEに新たな脆弱性が発覚

Webサイトをユーザーが見ただけで被害に遭う可能性がある

IEの脆弱性ホームページを閲覧するソフトIE(インターネットエクスプローラー)に新たな脆弱性(システム上の欠陥)が発生しました。

Windowsのパソコンを使ってらっしゃる方は、「e」マークのボタンを押してホームページを閲覧することが多いと思います。

そのIEを使って、細工を施したWebサイトを見ただけで被害に遭う可能性があるとのことです。

また、ハッカーによるパソコンの遠隔操作が可能になるリスクも指摘されています。

■ヤフーニュース:
http://headlines.yahoo.co.jp/hl?a=20120918-00000004-zdn_ep-secu

なお、今のところは更新プログラムをリリースしていないので、当面の対策としては他のブラウザに切り替えることを勧めています。

【参考ブラウザ】

■Google Chrome:https://www.google.com/intl/ja/chrome/browser/

■Firefox:http://www.mozilla.jp/firefox/

上記ブラウザは無料でダウンロードできますので、IEをご利用の方はお早めに移行してください。セキュリティ対策は事前の予防が大切です。例えパソコンを乗っ取られる可能性が低かったとしても、危険はできる限り避けるべきです。

大事な情報が入っているパソコン。被害にあってからでは取り返しがつかないこともあります。「自分のパソコンは自分で守る」意識を高めましょう。

個人の意識で改善される脆弱性対策

【おすすめ】Web系システムとの付き合い方

私たちは日ごろよりオープンソースの構築を生業としております。

そのオープンソースに限らず、Web系システムは便利な分、常に脆弱性(ぜいじゃくせい)という問題を抱えています。

こんな時に必要になることは、1>開発者(システム提供者)、2>利用提案者(Web制作会社)、3>サービス利用者・情報管理者(ネットショップオーナーなど)、4>エンドユーザー(閲覧者)がインターネットの危険性の情報を共有することにあると思います。

つまり一部の者に危険性の管理を任せるのではなく、それぞれの立場で個々に高い意識を持つことが大切なのです。その至ってシンプルな共通認識を広めていくことも、今後便利になるのと同時にますます重要になります。

個人の意識で改善される脆弱性対策

「ログアウト」するという簡単な癖をつける

私たちがシステム選定をする時には、セキュリティの意識が高い1>開発者のシステムを採用します。そして、2>の立場の私たち自身が常に危険性の有無をチェックします。

ここで本題!3>ネットショップオーナーなどの情報管理者へのお願いです。以下のようなことを意識して、それを実践して下さい。

個人の意識で改善される脆弱性対策

個人情報を取り扱うネットショップオーナーさんは特にこのような意識を強く持っていただくべきです。管理者の安易な行動で漏洩するケースもあります。

脆弱性対策のポイント

システムを元から修正していくことは時間を要します。勿論、大きな問題がある時には最短で脆弱性への対策を講じる責任が業者にもあります。

ただ前述の通り「それぞれの立場で個々に危険性への高い意識を持つこと」が大切なので、(大企業の情報管理者でなくても)一商店の一担当者もシンプルな対策は把握しておくべきです。

それが「ログアウトしてから別の行動をする」ということです。何か脆弱性があるシステムでもログアウトしていれば危険性は低くなります。

投稿者:しずまち

BadooってFacebook内のスパム対処法

BadooってFacebook内のスパム対処法1

BadooってFacebook内のスパム対処法

今日、ある方よりfacebookのメッセージで「Badoo(ロシア発ワールドワイドな出会い系サイト) にひっかかってしまいました。無視してください。」と連絡をもらいました。

私もfacebookをたいして使っていないので、詳しいわけではないので、Badooって何だろう・・・って思っていましたが、たま~に上のように自分のウォールに書かれているのには気づいていました。

どうもfacebookユーザーにしてみたらBadooはスパムだということのようです。

自分のウォールにBadooについてい書かれた時の対処法

“BadooってFacebook内のスパム対処法”の続きを読む

スマートフォンのウイルスにご注意を!

IPA(独立行政法人情報処理推進機構)からの情報

スマートフォンのウイルスに注意!

得意じゃない人には、詳しい情報はわかりにくいかも知れませんので、なるべく簡単に・・・。

スマートフォンにまわりのウイルスの脅威』にご注意下さい!という話はチラチラと耳に入り始めているところでしょうか。

「じゃあ、どうすればいいか・・・だけを教えてくれ!」と聞こえてきそうです。

◆IPAは、次のように呼びかけています。

  1. 信頼できる場所から、正規版のアプリケーションを入手しましょう
  2. 普段は「提供元不明のアプリ」設定のチェックを外しておきましょう
  3. アプリケーションのインストール時の「アクセス許可」に注意しましょう
  4. セキュリティソフトを導入しましょう

今回は、特に『Android OS』を標的としたウイルスへの予防策として、上記のことがあげられていますが、そもそも利用しているスマートフォンの機種にどのようなOS(基本ソフト)が搭載されているのかを認識しましょうね!
PCでいうところの「Mac」か「Windows」かみたいなことは理解しましょう!ってことです。

OSがわからなければ、周囲の人に聞けばいいんですから・・・。

IPAのウイルスの発見届出状況 << 情報元を見る

投稿者:しずまち

ウィルスバスターの脆弱性

ウィルスバスターに脆弱性が見つかりました

任意コードの実行を許可してしまう脆弱性

セキュリティ対策ソフト『ウィルスバスター』から脆弱性(ぜいじゃくせい)が見つかりました。脆弱性とは、何らかの攻撃に悪用される可能性のある欠陥や仕様上の問題点のことです。

何に対しても言えることかもしれませんが、セキュリティ対策においてどんな状態であれ「完璧」ということはありません。ウィルス対策は、常に最新の状態を保っておく、すなわち、アップデート(更新)を常に行い、ウィルスに感染する可能性を低くすることが第一の対策です。

ウィルスバスター2010、ウィルスバスター2011、ウィルスバスター16をお使いの方は、まずは修正プログラムをダウンロードし、最新の状態にしてください。

>>>修正プログラムのダウンロードはこちら