投稿者: master

PCI DSS（クレジットカード事業者向けのセキュリティ標準）で、2018年6月30日までに「安全でないSSL/TLS」を「安全なTLS1.1以上」に移行する勧告が出されました。
SSL/TLSはセッション層に位置するセキュアプロトコルで、通信の暗号化、データ完全性の確保、サーバ（場合によりクライアント）の認証を行うことができます。
簡単に言うと、ブラウザからhttps://〜でアクセスすると、SSL/TLSのプロトコルにより、通信が暗号化され、盗聴を防ぐことができるということです。
SSL（Secure Socket Layer）は1994年にNetscape社によって作られたプロトコルで、その後継にあたるのがTLS（Transport Layer Security）です。
TLSのプロトコルバージョンは現在TLS1.2まであり、バージョンが後になるほど、以前の攻撃に対する対策が盛り込まれるため、より安全性が高くなります。
このため、普段利用しているサイトがTSL1.1以上に変更となり、利用できなくなる場合がありますので、その時は、ブラウザの設定を変更する必要があります。
ちなみに、Internet Explorerの場合は、｢インターネットオプション｣の中の｢詳細設定｣－
｢セキュリティ｣の中の｢TSL1.1の使用｣｢TSL1.2の使用｣にチェックを入れて下さい。

通販サイトは自宅にいながら買い物できるため、多くの方が日常的に利用し便利な買い物の手段として定着してきています。しかしながら、実在する通販サイトに見せかけた偽サイトによる情報や金銭をだまし取られてしまう被害も多く報告されています。　そこで、偽サイトによく見られる共通点とトラブルを回避する対策を紹介します。

＜偽サイトによく見られる共通点＞

表示義務を果たしていない
通販サイトでは、特定商取引法に基づいた表示をすることが事業者に義務付けられています。少なくとも、運営業者名や所在地、電話番号、代表者名の記載があるかどうかを確認し、それらの項目が1つでも欠けている場合は偽サイトを疑いましょう。

価格が極端に安い
相場より極端に安い商品が並んでいる場合は、何らかの裏があると考えて複数の通販サイトで検索し相場を調べましょう。

決済方法が前払いしか選択できない
決済方法として後払いが用意されておらず、銀行振り込みによる前払いしか選択できない場合には偽サイトの疑いがあります。

不自然な日本語表記がある
明らかに不自然な日本語の言い回しや、誤字、脱字が頻出する通販サイトの利用は控えましょう。

＜トラブルを回避する対策＞

アカウント管理を適切に行う

専用のショッピングアプリを利用する

セキュリティソフトを利用する

ネットでの情報入力は必ず一度立ち止まってから行う

購入前に口コミを確認する

詐欺の最新手口を知る

クレジットカードの利用明細をこまめに確認する

利用しなくなった通販サイトのアカウントを削除する

＊偽サイトにだまされてしまったかもと思ったら、警察や国民生活センターの相談窓口に連絡し、対処方法を確認しましょう。

都道府県警察サイバー犯罪相談窓口 https://www.npa.go.jp/cybersafety/　
国民生活センター　http://www.kokusen.go.jp/map/index.html

近年，Webサイト構築にCMSを利用する企業が増えてきている。

CMSとは，Contents Management Systemの略で，技術的な知識がなくとも，より簡単で効率的にWebサイトの作成ができるシステムである。Webサイトの管理画面からコンテンツを入力しWebサイトに反映させることで，Webサイトを運営する仕組みのものが一般的だ。テンプレートを使用することで，本格的なWebサイト作成が可能となっており，導入事例が今後一層増えていくと考えられている。

CMSには様々なものがあり，最もメジャーな存在となっているのが，WordPressである。

※画像はWordPressの公式サイトより

豊富なテンプレート，わかりやすいUIに加え，圧倒的なシェアを誇るWordPressは，日本でもその人気は高く関連書籍やハウツーサイトも多く情報を収集しやすい点も魅力の一つである。ユーザー同士で情報共有ができるサポートフォーラムでの情報交換も活発だ。
その他，国産CMSを売りにするbaserCMSや，ブログ形式で更新できるMovable Type，ECサイト構築を得意とするEC-cube等も，多くのユーザーに利用されている。

便利で簡単なWebサイト構築をうたうCMSだが，オープンソースであるが故の脆弱性も多く報告されており，サーバー上でコンテンツを改ざんされるケースも確認されている。そのため，CMSでのWebサイト運営には積極的なセキュリティ対策が必須となっている。

>>IPA情報処理推進機構｜WordPress の脆弱性対策について
http://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html

>>IPA情報処理推進機構｜WordPressやMovable Typeの古いバージョンを利用しているウェブサイトへの注意喚起
https://www.ipa.go.jp/security/topics/alert20130913.html

CMSのセキュリティ対策として有効なものは以下の通り。

1. 常に最新のバージョンへアップデート
2. パスワードを複雑なものに設定する
3. 管理画面にアクセス制限をかける
4. 必要に応じて，海外からのアクセスを制限する　　等

便利で簡単なWebサイト運営ができるCMS。しかし対策をしなければ，時に甚大な被害を受ける可能性もある。適切な対策で，安全なサイト運営を心がけたい。

クラウドサービスを利用する際の認証はどのような方式を利用されていますか
パスワード認証のみで利用しているとパスワードの解析や漏洩によりアカウントを乗っ取られ不正利用される危険性が高まります。
Goolgleアカウント、Apple ID、Microsoftアカウントなどを利用するクラウドサービスでは、2段階認証プロセスにセキュリティコードを使用できるようになっています。
2段階認証により、パスワードだけではクラウドサービスにアクセスできなくなるので、セキュリティを向上させることが可能となります。
セキュリティコードは利用者の携帯電話のSMSやメールなどを介して受信できるので、他人が不正利用しようしていることを知ることができます。
GoogleアカウントやMicrosoftアカウントではモバイル端末用のセキュリティコードを専用アプリを利用して作成することもできます。
面倒だと思って利用されていない方は、2段階認証の設定を行い利用することをお勧めいたします。

＜外部リンク＞
Google アカウント
https://www.google.com/intl/ja/landing/2step/#tab=why-you-need-it

Apple ID
https://support.apple.com/ja-jp/HT204915

Microsoft アカウント
https://support.microsoft.com/ja-jp/help/12408/microsoft-account-about-two-step-verification

私達が日常で使用しているスマートフォンやパソコンに搭載されている無線LANの通信を暗号化する仕組みに新しい規格「WPA3」が2018年に登場します。2017年10月に脆弱性が発覚した暗号化通信規格「WPA2」の後継規格となります。

WPA3では、主に以下の機能が備わると発表されており、次世代に向けてセキュリティが強化されます。

① 複数回のパスワード入力をブロック
② 公衆無線LANの暗号化
③ IoT（Internet of Things：モノのインターネット）機器など画面がない端末の認証
④ 暗号化の強化（鍵長が128bitから192bitに変更）

日頃、街中で公衆無線LANに接続する機会があるのですが、やはりセキュリティが心配なので、私個人としては、②「公衆無線LANの暗号化」に期待しております。③ 「IoT機器など画面がない端末の認証」は次世代を意識した取組みだと感じられます。
ただ、WPA3は端末とアクセスポイント双方の対応が必要と考えられますので、実現するにはしばらく時間が必要ではないでしょうか。「端末のファームアップのみでWPA3に対応」が最良だと思いますがいかがでしょうか。今後の動向が楽しみです。

昨今、ランサムウェアや標的型メールを利用した身代金詐欺やフィッシング詐欺等のサイバー犯罪の被害にあったニュースをよく耳にします。
これらの犯罪の被害者にならないよう対策を行う訓練があるのをご存知でしょうか。

ランサムウェアやフィッシング詐欺等のサイバー犯罪は、メールが入口となることが多いです。
不審なメールの添付ファイルを開いてしまい、パソコンがランサムウェアやマルウェアに感染しデータを人質にとられてしまったり、フィッシング詐欺用のURLに誘導されてしまったりします。

そのために弊社では、「標的型メール攻撃訓練サービス」を行っています。
従業員の皆様が、標的型メールやばらまき型メール等の不審なメールを受信した際に、迅速かつ適切に対応が可能なように訓練を行うサービスです。

当該サービスの目的は以下となります。

・不審なメールかどうかの見極め力を鍛える
・不審なメールを受信したときに、社の規定どおり対応できるかを確認する
・標的型メールやばらまき型メールの最新の傾向を周知する

メールに対するセキュリティ意識を高めたい。事故発生時に適切に対応できるか不安だ。等の懸案をお持ちの方は弊社までご相談ください。

2017 年10 月17 日 ＩＰＡ（独立行政法人 情報処理推進機構）ＨＰに
“WPA2における複数の脆弱性について”という記事が掲載されました。
（https://www.ipa.go.jp/security/ciadr/vul/20171017_WPA2.html）
WPA2（無線通信暗号化のしくみ）とは、無線LAN における通信を暗号化する方法の
ひとつで，現在流通している機器の規格としては主流のもののひとつです。
この脆弱性が悪用された場合、無線LAN の上でWPA2 通信を盗聴される可能性があります。
脆弱性対策が必要となる対象機器はWPA2アクセスポイント（無線ルータ等），無線ＬＡＮ上で通信しているクライアント（パソコン，Android 端末，iOS 端末）と多岐にわたります。
WPA2アクセスポイント，クライアント毎に対策は異なりますので，安全なＷｉ－Ｆｉの利用のため各製品提供元からの情報をご確認いただき，ソフトウェアをアップデート等の対策をご検討下さい。

スマートフォンやタブレットでの Web閲覧時に突然表示される「ウイルスに感染」警告からの誘導が多発しております。
表示内容は一様ではなく様々です。
警告内では「Virus」や「Scan」などウイルス検出を思わせる文字列を含んだサイト名の使用や、使用しているスマートフォンの機種名を表示して利用者に自分の情報が相手に伝わっているように思わせるなどの手法があるようです。
これらの警告はあくまでも偽物であり、不安かもしれませんが何もしないのが一番の対処方法になります。
「修復する」などのボタンは絶対に押下せず、Webの画面を閉じてください。

このようなウイルス感染を理由に利用者をだます手口をFake Alert（フェイクアラート）と呼ばれます。
画像のような警告が出ても動揺せずに対処してください。

　昨今、大勢の人が集まる場でのテロや銃撃事件が多発しています。
　海外で起こる特機な事件に限らず、国内でも学校やイベント会場・デパートなど大勢の人が集まる場所では、不審者による事件が発生すれば被害も大きくなると思われます。
　事前に不審者を特定することで被害を食い止めることができるため、専用の防犯システムが導入されているところも多いようです。

サーバーの顔情報と監視カメラの顔画像を照合して不審者を特定する顔認証防犯システムが一般的となってますが、最近では次のようなシステムも開発・研究・実用化されているようです。

①影で人物を特定！
　ＮＡＳＡ研究技術者の岩下友美さんが開発したのは、ビルなど高所から撮影した人の「影」の形から人物を特定するシステム。

　人の歩く姿から人物を特定する「歩容認証」というのがありますが、影の形または動きを解析することで、さらに精度を上げられたそうです。

データベースと照合することで、迷子など人物捜索や不審者捜索にも役立てられるとのこと。

②精神状態を認証！
　ロシア発祥の画像解析システム「DEFENDER-X」。
　これは監視カメラで撮影した人物の目や口など各パーツの「振動」から「精神状態」を割り出し、攻撃的な人物を割り出すというシステム。

　照合するデータベースが必要なく、リアルタイムでなくても過去の映像から不審者を割り出すことも可能とのこと。

　なんといっても未然に犯罪を防げるということで、海外の空港や施設で導入されているそうです。

　2020年には東京オリンピックが開催される予定で、会場は勿論、交通機関要所への防犯対策強化が求められていると思います。
　このような最新の防犯システムで、100%安全安心な会場になるといいですね。