年末年始休暇を目前にして気をつけておく事は何なのか

間もなく年末年始休暇が始まる方々も多いと思われます。 ここでは例年どおり長期休暇前の心構えを挙げて行きます。 1.年明けはすぐに月例更新 正月三が日が明けた1月4日は金曜日です。この日が年明け初出勤の方もいらっしゃるでしょうし、あるいはこの日を休暇にして翌週の1月7日が年明け初出勤となる方もいらっしゃるでしょう。いずれにしましてもそのすぐ後に1月の月例更新の日である1月9日となります。年明けの業務を開始してすぐに月例更新が待っていると覚えておきましょう。 2.休暇中に溜まっていたメールに注意 休暇中に沢山のメールが溜まっている場合は、一通一通の処理がおざなりになりがちです。うっかり添付ファイルを開いてしまわない様に、添付ファイルとリンクには注意をはらいましょう。 3.新型のランサムウェアのニュースに注意 長期休暇中に新型のランサムウェアが出現するかもしれません。通常の業務をしている時であればオフィスの誰かがこの様なニュースに気が付いてマルウェアなどの情報が広まるかもしれませんが、長期休暇明けはその様な情報無しでメール処理に向き合うかもしれません。まずはその様なニュースが流れていないかを確認しましょう。 4.バックアップをとっておく 不幸にして上記の様なランサムウェアに感染してしまってファイルを暗号化されてしまうかもしれません。それに対処するには長期休暇前にファイルのバックアップをとっておきましょう。 この他にも「酔ってメールを読んだせいでフィッシング…

続きを読む

平成30年をBIGLOBEセキュリティニュースで振り返る

平成30年もあと二週間ほどとなりました。 ここでは今年BIGLOBEセキュリティニュースに掲載したニュースを振り返って、何に注意すべきだったのか、来年以降もどう注意したら良いのかを考えて行きます。 1.CPU起因の脆弱性「Spectre」と「Meltdown」に対して今我々が出来る事(1月9日) CPUに起因する脆弱性の「Spectre」と「Meltdown」が話題になりました。 2.Avast脅威研究所が報告したアドウェア「Cosillon」に関する追加情報(5月28日) Androidデバイスにファームウェアのレベルで混入したマルウェアに対する防御方法です。 3.ソーシャルウェブサービスを利用した新たなプライバシー脅威「Silhouette」(7月19日) SNSで実装されているブロックの機能を利用してサイト訪問者がブロックされている人かどうかで特定すると言うものでした。 4.Googleを騙り「おめでとうございます」と表示して個人情報を求めるフィッシングが蔓延中(8月1日) 広告の中に悪意あるプログラムを仕込んでブラウザの画面に「おめでとうございます」などのページを表示してそこからフィッシングする手法です。 5.SMSによるフィッシングに警戒を(8月17日) 現在猛威を振るっているSMSによるフィッシングはこの頃から増加しました。 6.ノートPC全般に及ぶ脆弱性によって情報が盗まれる可能性が報告される(9月14日) コールドブート攻撃と呼…

続きを読む

ネットで販売される容量偽装SDカード

ネットで購入したSDカードが容量を偽装した物だったと言うニュースが話題になっています。これは容量128GBとうたわれて販売されていたのに、実際に使ってみたら遙かに少ない容量だったと言うものです。 ECサイトを見てみると本物の写真を使って偽SDカードを販売しているどころか、明らかに不審なメーカー名を記載したSDカードも販売されているのが分かります。 microSDカードは世界一安いとも言われる秋葉原において、128GBの海外パッケージ版でも2,000円以上しますし、ましてや256GBの物は4,000円以上します(2018年11月現在)。ネットでの購入の場合は異様に安価なSDカードには注意した方が良いでしょう。 容量偽装SDカードを購入して使用した場合に、想定していた容量の写真データを保存出来ないと言う問題以上に、もしファイルフォーマットも偽装していた場合には見た目が128GBなのに実際はそれより遙かに小さい容量へ書き込みを行う事になり、一度書き込みをした場所に重ね書きをして、最悪の場合は全てのデータを破壊する事もあります。この場合は大切なデータを一瞬にして失う事になりますのでECサイトでの利用は注意しましょう。

続きを読む

GoogleがとうとうGoogle+を終了

Googleからコンシューマ向け(一般向け)Google+を終了すると言う発表がありました。 Project Strobe: Protecting your data, improving our third-party APIs, and sunsetting consumer Google+ この発表によりますと、先ずは利用者が少ない点が挙げられています。Google+のユーザセッションの90%が5秒未満との事です。 その一方でGoogle+のAPIにはバグがあり、公開許可をしたユーザの情報だけでなく、非公開に設定したユーザの情報(メールアドレス、職業、性別、年齢など)もGoogle+のAPIを利用したサードパーティ製アプリによって取得が可能となっていたとの事です。参照可能になっていた情報の中に投稿、メッセージ、Googleアカウントのデータ、電話番号などは含まれていないとも発表されています。 Googleはプライバシーを念頭に設計している為、このAPIのログは2週間しか保存しておらず、この為実際にこのバグの影響を受けたユーザを特定は出来ないものの、バグ修正前の調査で最大で50万人のユーザ情報が流出した可能性があると言っています。 来年8月末にGoogle+を終了するにあたり、今後ユーザにデータをダウンロードするなどの移行方法を提供するとの事です。 ■出典:Project Strobe: Protecting your data, improving o…

続きを読む

Chrome69でGoogleにログインすると自動的にChromeブラウザにもログインしてしまう問題

Google Chrome69に更新するとGoogleのサービスにログインした場合自動的にChromeブラウザにもログインしてしまう変更がされました。 Chromeブラウザへのログインは、これによってマルチデバイス間でブックマークなどが同期出来る様にする機能です。これによって分かる様に、このログインは「ブラウザと言うアプリケーション」を利用する上での、ある機能を使う為のログインです。 それに対してGoogleのサービスへのログインはGmailやGoogle Driveなどの「Webサービスを使う」為のログインです。両者は同じ物ではありませんし、これを使い分けている人も居ると思います。 この変更は各方面から問題視され、GoogleはChrome70で修正すると言う約束をブログで発表しました。 Product updates based on your feedback なお、ChromeはChromiumと言うオープンソースのウェブブラウザを開発するプロジェクトの開発コードを使って開発されています。この他にもこのChromiumをベースとしたブラウザは沢山リリースされていて、有名なものではGoogle Chrome以外にOpera,Vivaldi,Kinzaなどがあります。 実はVivaldiやKinzaもつい最近Chrome69のリリースに歩調を合わす様にして新しいバージョンがリリースされ、KinzaはChrome69と同じ様にタブの角が丸みを帯びる様になりまし…

続きを読む

SMSによるフィッシングに警戒を

夏以降、SMSを利用したフィッシングが増えています。 ●何故最近増えているのか メールに比べてSMSは発信コストがかかる為、これまではそう多くは使われていませんでしたがここ最近は増加傾向にある様です。これには悪意のあるアプリを携帯電話にインストールさせてそこから発信させるなど、いくつかの可能性が言及されています。 また、攻撃者がSIMを購入して費用を覚悟の上で発信している可能性もあります。この場合はそれに見合うリターンがあるからでしょう。 さらにはSMSの場合はメールと違って攻撃相手のメールアドレスのリストを購入する必要がありません。必要なら電話番号を片端から宛先に出来ます。そしてメールとは違ってフィッシングメールのフィルタでは防衛される事はありません。 ●どう気をつければ良いのか どんな理由にせよ、この様に最近ではSMSを利用したフィッシングが増加傾向にあるので、油断をせずに、どんなメッセージが送られて来ようともそこに書かれたリンクをクリックしない様にするのがフィッシング被害に遭わないポイントです。 但しネット通販ではSMSを利用して通知しているサービスもありますので、本当に心当たりがあるのかと言うのをメッセージを見た時に今一度確認しましょう。 ── フィッシングの被害にあわないために・・・ BIGLOBEが提供するフィッシング対策サービスの『インターネットサギウォール』なら本物と見間違うような精巧な偽サイト、執拗な料金請求などの脅し…

続きを読む

ソーシャルウェブサービスを利用した新たなプライバシー脅威「Silhouette」

NTTによるとソーシャルウェブサービスを利用してサービス提供者とは無関係な第三者が来訪した利用者のアカウントを特定する事が可能になる「Silhouette」と言う脅威が存在する事を発表した。 この仕組みは一般的なソーシャルウェブサービス(Twitterなど)で、あるアカウントが別のアカウントに対してブロックと言う閲覧や通知などの拒否の設定が可能なのを利用する。アカウントを特定して何かをしようと企む攻撃者は、ソーシャルウェブサービスにいくつかのアカウントを用意して、特定しようとする相手のアカウントに対して、攻撃者のあるアカウントはブロックの設定をし、攻撃者が持つ別のアカウントではブロックをしないと言う設定にしておく。 その様にしておいて待ち構えたページに両方のアカウントのウィジェットをすぐには分からない様に仕込んで置くと、ブロックしたアカウントとブロックしていないアカウントでは反応速度が異なる事から、訪問者のブラウザがウィジェットのロードの完結にどれだけの時間がかかるかによって特定しようと言うもの。これらを組み合わせる事で限りなく個人の特定が可能になる。 この脅威はブラウザの脆弱性を利用したものではない為、ブラウザを最新版にしても回避は出来ない。回避する為にはソーシャルウェブサービスはどうしても必要となる場面以外では常にログアウトしておく事になる。利用者側としてはこうして回避するしかない。 一方でソーシャルウェブサービスの提供側はその様な応答時間に有意の差を生じない様に改…

続きを読む

大型連休目前、セキュリティ対策はしっかりと

大型連休が目前に来ています。これを機会にセキュリティ対策が確実にできているか確認しましょう。 これまでに出ているOSやソフトウェアの更新ができているか、ご自身のPCやスマートフォンの確認をしましょう。特に脅威に最も曝されるOSとブラウザは最新のバージョンにしておきましょう。オフィスソフトについても最新の状態にしておきましょう。 データのバックアップも大切です。連休明けを狙って攻撃を受けた場合、データを救出する間もなく端末を放棄したりクリアインストールする事になるかもしれません。ランサムウェアに感染してからでは手遅れです。 連休明けにも気をつけましょう。連休明けに出社して大量のメールを受信し、その中に期限が迫っている用件を見つけた場合に焦って添付ファイルを開けてしまうかもしれません。連休明けの添付ファイルには特に気をつけてまずは疑ってかかる程がよいかもしれません。 また連休明けの週には、各社が定例のセキュリティアップデートを公開する米国時間にして毎月第2火曜日の「パッチチューズデー」が5月9日(こちらは日本時間)がすぐにやって来ます。これも予め意識しておきましょう。 ── ウイルス感染などの被害にあわないために・・・ 被害を防ぐためには、パソコンのOSやソフトウェアの更新プログラムの適用と、ウイルス対策ソフトを利用して定義ファイルを最新に保つ、2つのことが重要です。 BIGLOBEの総合ウイルス対策ソフト『セキュリティセット・プレミアム』は、ウイルスや迷…

続きを読む