投稿者: master

先日、”楽天”がDocomo、ａｕ、ＳｏｆｔＢａｎｋに続く、第４のＭＮＯ（移動体通信事業者）
として参入するというニュースが報道されました。
早ければ、２０１９年１０月にもサービス開始される様です。
私たちスマートフォンやタブレットを使う利用者にとっては、さらに新たな製品やサービス
の選択肢が増えて、快適なモバイルライフが期待できそうです。楽しみですね＾＾

　さて今回は、これからスマートフォンやタブレットなどの”モバイル端末”やＳＩＭカードの
購入を検討される方に、知って得する情報をお話したいと思います。
　モバイル端末には大きく分けて、「ＳＩＭロック端末」と「ＳＩＭフリー端末」があります。
「ＳＩＭロック端末」とは、ＳＩＭカードが予め端末に挿入された状態で提供される端末の事
で、通話や通信は通信事業者の回線に限定されます。
「ＳＩＭフリー端末」は、ＳＩＭカードがセットされていないモバイル端末の事を言います。
SIMフリー端末で通話や通信を行うには、MNOやMVNO（仮想移動体通信事業者）が
提供するＳＩＭカードを別に購入して端末に挿入することで通信可能となります。
(WiFi環境に接続して通信する端末もあります。）

　SIMフリー端末は、様々な通信事業者のSIMカードを差し替えて利用できるメリットが
ありますが、そのメリットを賢く活用するにはＳＩＭカードとSIMフリー端末の相性をちゃんと
確認しておく必要があります。
　SIMフリー端末でネット通信を行うには、通信事業者が提供する回線の電波を利用して
通信しますが、その回線は通信事業者ごとに複数の電波の周波数帯（バンド）が割り当て
られていて（図１参照）、どの回線を利用するかは端末に挿入したＳＩＭカードで決まります。
例えば、ＵＱモバイルのＳＩＭカードを挿入したらａｕの回線を利用します。
　しかし、ここからが大切です。ＳＩＭカードを挿してどの回線を利用するか決まっても、端末
の通信仕様（図２）がその回線の電波の周波数帯（バンド）に対応していないと、その周波数
帯での通信はできなかったり、繋がりにくい状態となります。

　ＳＩＭフリー端末を購入（又は買い換え）するときや、ＳＩＭカードを購入（又は買い換え）する
ときは、デザインや操作性・サービス・値段だけでなく、端末とＳＩＭカードの通信に関する相性
も確認して購入しましょう。

最近はいろんなところでパスワードの設定を求められ、ついつい覚えやすい安易なパスワードを付与してしまいがちです。

米国のインターネット・セキュリティ企業スプラッシュデータの専門家が発表した、2017年「ハッカーに最も解読されやすい危険なパスワード」は下記の通り！
最も危ないパスワード「123456」、第2位「password」、第3位「12345678」となっています。
このほか、トップ20の中には、「football」、「iloveyou」、「admin」、「welcome」、「monkey」、「login」、「abc123」、「starwars」、「123123」、「dragon」、「passw0rd」、「master」等が含まれます。

ドキッとされた方もおられるのではないでしょうか。とはいえ、設定したパスワードを忘れてしまっては元も子もないですよね。
そこで、難解だけど覚えやすいパスワード作成のコツを紹介します。

1. まずは、1~2つの文を考え、英語またはローマ字表記に変換する
   （例）Ashita no Tenki ha Hare（明日の天気は晴れ）
2. 次に、スペースを消し、単語の短縮や一部をわざと間違えたものにする
   （例）ashitanotenkinihahaha　または、頭文字をとって　anthh
3. 最後に、どこかに数字を追加して完成！！
   （例）ashitanotenkinihahaha0327　2983anthh

新年度を機会に、パスワードを見直してみてはいかがでしょうか。

PCI DSS（クレジットカード事業者向けのセキュリティ標準）で、2018年6月30日までに「安全でないSSL/TLS」を「安全なTLS1.1以上」に移行する勧告が出されました。
SSL/TLSはセッション層に位置するセキュアプロトコルで、通信の暗号化、データ完全性の確保、サーバ（場合によりクライアント）の認証を行うことができます。
簡単に言うと、ブラウザからhttps://〜でアクセスすると、SSL/TLSのプロトコルにより、通信が暗号化され、盗聴を防ぐことができるということです。
SSL（Secure Socket Layer）は1994年にNetscape社によって作られたプロトコルで、その後継にあたるのがTLS（Transport Layer Security）です。
TLSのプロトコルバージョンは現在TLS1.2まであり、バージョンが後になるほど、以前の攻撃に対する対策が盛り込まれるため、より安全性が高くなります。
このため、普段利用しているサイトがTSL1.1以上に変更となり、利用できなくなる場合がありますので、その時は、ブラウザの設定を変更する必要があります。
ちなみに、Internet Explorerの場合は、｢インターネットオプション｣の中の｢詳細設定｣－
｢セキュリティ｣の中の｢TSL1.1の使用｣｢TSL1.2の使用｣にチェックを入れて下さい。

通販サイトは自宅にいながら買い物できるため、多くの方が日常的に利用し便利な買い物の手段として定着してきています。しかしながら、実在する通販サイトに見せかけた偽サイトによる情報や金銭をだまし取られてしまう被害も多く報告されています。　そこで、偽サイトによく見られる共通点とトラブルを回避する対策を紹介します。

＜偽サイトによく見られる共通点＞

表示義務を果たしていない
通販サイトでは、特定商取引法に基づいた表示をすることが事業者に義務付けられています。少なくとも、運営業者名や所在地、電話番号、代表者名の記載があるかどうかを確認し、それらの項目が1つでも欠けている場合は偽サイトを疑いましょう。

価格が極端に安い
相場より極端に安い商品が並んでいる場合は、何らかの裏があると考えて複数の通販サイトで検索し相場を調べましょう。

決済方法が前払いしか選択できない
決済方法として後払いが用意されておらず、銀行振り込みによる前払いしか選択できない場合には偽サイトの疑いがあります。

不自然な日本語表記がある
明らかに不自然な日本語の言い回しや、誤字、脱字が頻出する通販サイトの利用は控えましょう。

＜トラブルを回避する対策＞

アカウント管理を適切に行う

専用のショッピングアプリを利用する

セキュリティソフトを利用する

ネットでの情報入力は必ず一度立ち止まってから行う

購入前に口コミを確認する

詐欺の最新手口を知る

クレジットカードの利用明細をこまめに確認する

利用しなくなった通販サイトのアカウントを削除する

＊偽サイトにだまされてしまったかもと思ったら、警察や国民生活センターの相談窓口に連絡し、対処方法を確認しましょう。

都道府県警察サイバー犯罪相談窓口 https://www.npa.go.jp/cybersafety/　
国民生活センター　http://www.kokusen.go.jp/map/index.html

近年，Webサイト構築にCMSを利用する企業が増えてきている。

CMSとは，Contents Management Systemの略で，技術的な知識がなくとも，より簡単で効率的にWebサイトの作成ができるシステムである。Webサイトの管理画面からコンテンツを入力しWebサイトに反映させることで，Webサイトを運営する仕組みのものが一般的だ。テンプレートを使用することで，本格的なWebサイト作成が可能となっており，導入事例が今後一層増えていくと考えられている。

CMSには様々なものがあり，最もメジャーな存在となっているのが，WordPressである。

※画像はWordPressの公式サイトより

豊富なテンプレート，わかりやすいUIに加え，圧倒的なシェアを誇るWordPressは，日本でもその人気は高く関連書籍やハウツーサイトも多く情報を収集しやすい点も魅力の一つである。ユーザー同士で情報共有ができるサポートフォーラムでの情報交換も活発だ。
その他，国産CMSを売りにするbaserCMSや，ブログ形式で更新できるMovable Type，ECサイト構築を得意とするEC-cube等も，多くのユーザーに利用されている。

便利で簡単なWebサイト構築をうたうCMSだが，オープンソースであるが故の脆弱性も多く報告されており，サーバー上でコンテンツを改ざんされるケースも確認されている。そのため，CMSでのWebサイト運営には積極的なセキュリティ対策が必須となっている。

>>IPA情報処理推進機構｜WordPress の脆弱性対策について
http://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html

>>IPA情報処理推進機構｜WordPressやMovable Typeの古いバージョンを利用しているウェブサイトへの注意喚起
https://www.ipa.go.jp/security/topics/alert20130913.html

CMSのセキュリティ対策として有効なものは以下の通り。

1. 常に最新のバージョンへアップデート
2. パスワードを複雑なものに設定する
3. 管理画面にアクセス制限をかける
4. 必要に応じて，海外からのアクセスを制限する　　等

便利で簡単なWebサイト運営ができるCMS。しかし対策をしなければ，時に甚大な被害を受ける可能性もある。適切な対策で，安全なサイト運営を心がけたい。

クラウドサービスを利用する際の認証はどのような方式を利用されていますか
パスワード認証のみで利用しているとパスワードの解析や漏洩によりアカウントを乗っ取られ不正利用される危険性が高まります。
Goolgleアカウント、Apple ID、Microsoftアカウントなどを利用するクラウドサービスでは、2段階認証プロセスにセキュリティコードを使用できるようになっています。
2段階認証により、パスワードだけではクラウドサービスにアクセスできなくなるので、セキュリティを向上させることが可能となります。
セキュリティコードは利用者の携帯電話のSMSやメールなどを介して受信できるので、他人が不正利用しようしていることを知ることができます。
GoogleアカウントやMicrosoftアカウントではモバイル端末用のセキュリティコードを専用アプリを利用して作成することもできます。
面倒だと思って利用されていない方は、2段階認証の設定を行い利用することをお勧めいたします。

＜外部リンク＞
Google アカウント
https://www.google.com/intl/ja/landing/2step/#tab=why-you-need-it

Apple ID
https://support.apple.com/ja-jp/HT204915

Microsoft アカウント
https://support.microsoft.com/ja-jp/help/12408/microsoft-account-about-two-step-verification

私達が日常で使用しているスマートフォンやパソコンに搭載されている無線LANの通信を暗号化する仕組みに新しい規格「WPA3」が2018年に登場します。2017年10月に脆弱性が発覚した暗号化通信規格「WPA2」の後継規格となります。

WPA3では、主に以下の機能が備わると発表されており、次世代に向けてセキュリティが強化されます。

① 複数回のパスワード入力をブロック
② 公衆無線LANの暗号化
③ IoT（Internet of Things：モノのインターネット）機器など画面がない端末の認証
④ 暗号化の強化（鍵長が128bitから192bitに変更）

日頃、街中で公衆無線LANに接続する機会があるのですが、やはりセキュリティが心配なので、私個人としては、②「公衆無線LANの暗号化」に期待しております。③ 「IoT機器など画面がない端末の認証」は次世代を意識した取組みだと感じられます。
ただ、WPA3は端末とアクセスポイント双方の対応が必要と考えられますので、実現するにはしばらく時間が必要ではないでしょうか。「端末のファームアップのみでWPA3に対応」が最良だと思いますがいかがでしょうか。今後の動向が楽しみです。

昨今、ランサムウェアや標的型メールを利用した身代金詐欺やフィッシング詐欺等のサイバー犯罪の被害にあったニュースをよく耳にします。
これらの犯罪の被害者にならないよう対策を行う訓練があるのをご存知でしょうか。

ランサムウェアやフィッシング詐欺等のサイバー犯罪は、メールが入口となることが多いです。
不審なメールの添付ファイルを開いてしまい、パソコンがランサムウェアやマルウェアに感染しデータを人質にとられてしまったり、フィッシング詐欺用のURLに誘導されてしまったりします。

そのために弊社では、「標的型メール攻撃訓練サービス」を行っています。
従業員の皆様が、標的型メールやばらまき型メール等の不審なメールを受信した際に、迅速かつ適切に対応が可能なように訓練を行うサービスです。

当該サービスの目的は以下となります。

・不審なメールかどうかの見極め力を鍛える
・不審なメールを受信したときに、社の規定どおり対応できるかを確認する
・標的型メールやばらまき型メールの最新の傾向を周知する

メールに対するセキュリティ意識を高めたい。事故発生時に適切に対応できるか不安だ。等の懸案をお持ちの方は弊社までご相談ください。

2017 年10 月17 日 ＩＰＡ（独立行政法人 情報処理推進機構）ＨＰに
“WPA2における複数の脆弱性について”という記事が掲載されました。
（https://www.ipa.go.jp/security/ciadr/vul/20171017_WPA2.html）
WPA2（無線通信暗号化のしくみ）とは、無線LAN における通信を暗号化する方法の
ひとつで，現在流通している機器の規格としては主流のもののひとつです。
この脆弱性が悪用された場合、無線LAN の上でWPA2 通信を盗聴される可能性があります。
脆弱性対策が必要となる対象機器はWPA2アクセスポイント（無線ルータ等），無線ＬＡＮ上で通信しているクライアント（パソコン，Android 端末，iOS 端末）と多岐にわたります。
WPA2アクセスポイント，クライアント毎に対策は異なりますので，安全なＷｉ－Ｆｉの利用のため各製品提供元からの情報をご確認いただき，ソフトウェアをアップデート等の対策をご検討下さい。

スマートフォンやタブレットでの Web閲覧時に突然表示される「ウイルスに感染」警告からの誘導が多発しております。
表示内容は一様ではなく様々です。
警告内では「Virus」や「Scan」などウイルス検出を思わせる文字列を含んだサイト名の使用や、使用しているスマートフォンの機種名を表示して利用者に自分の情報が相手に伝わっているように思わせるなどの手法があるようです。
これらの警告はあくまでも偽物であり、不安かもしれませんが何もしないのが一番の対処方法になります。
「修復する」などのボタンは絶対に押下せず、Webの画面を閉じてください。

このようなウイルス感染を理由に利用者をだます手口をFake Alert（フェイクアラート）と呼ばれます。
画像のような警告が出ても動揺せずに対処してください。