セキュリティ

ロシアのウクライナ侵攻以降、世界の状況が非常に不安定でサイバー攻撃が急激に増加しています。サイバー攻撃とは、サーバやパソコンなどのコンピューターシステムに対し、ネットワークを通じて破壊活動やデータの窃取、改ざんなどを行うことです。 攻撃対象は個人や組織だけでなく、不特定多数を対象に無差別に行われる場合もあります。サイバー攻撃は国境を容易に越えることができるため、世界中のどこからでも可能で、犯人の特...

攻撃がどんどん過激になってきています。ロシアのウクライナ侵攻のことではなく、インターネットでの不正メールやサイバー攻撃のことです。WEBサーバーへの不正侵入も増えています。添付ファイルを開くと感染するコンピューターウイルス「Ｅｍｏｔｅｔ（エモテット）」が猛威をふるっていますし、ランサムウェア（身代金要求型ウイルス）の被害も急増しています。 もはやセキュリティ対策なしてインターネットを使うことは不可...

国（経済産業省）からサイバー攻撃の注意喚起がでました。 ロシアのウクライナ侵攻に対して世界は制裁を発表しましたが、その制裁の報復措置としてサイバー攻撃が懸念されています。ロシアからだけでなくロシアになりしました第三者や詐欺サイトも便乗してサイバー攻撃をしているようで、インターネット上では不正なアクセスが急増しています。 ここで通信環境の防御力を高めていきましょう。

昨日の記事とは別のサーバでの脆弱性乗っ取られ案件です。けっこう深刻な状況になってしまい、もうこのサーバーを諦めて別のサーバに移転しようかというくらいの状況になっています。（サーバはさくらインターネットですが、さくらインターネットが悪いわけではありません） 状況としては、不正なアクセスによる侵入でPHPファイルが汚染されました。該当ファイルは「.htaccess」と「index.php」の２つだけで...

強固なパスワードを求められる場面が増えてきた。自動的にパスワードを生成してくれるサービスもでている。しかし自分はAIら乱数で自動的に作成したパスワードをそのまま使うことに抵抗を感じている。そのため手間はかかるが、自動生成したパスワードを２つ以上組み合わせてオリジナルのパスワードを生成している。 しかもそのパスワードは記録せず１回きりとして、毎回パスワードを生成する、ということを意識している。

企業サイトは「https」で始まる常時SSLが必須の状況になってきた。この常時SSLにするためには証明書の発行が必要だが、証明書を発行する団体により「有料のSSL証明書」と「無料のSSL証明書」がある。 無料のSSL証明書でよいのかどうかという質問をよくされるようになってきたが、中小企業ならば当面は「Let's Encrypt」などの無料証明書で十分だと考える。その理由は以下のとおりである。

宅ふぁいる便で顧客データ漏えい事件がおきたようである。約480万人というからかなり大規模な漏えいだ。現在サイトは閉鎖されており利用できない状況である。運営会社のオージス総研では漏れた情報内容について「メールアドレス、ログインパスワード、生年月日、氏名、性別、業種・職種、居住地（都道府県のみ）」としている。 メールアドレスとパスワードの組み合わせを使い回ししているユーザーはこの機会に他のサービスでも...

さくらインターネットからSSL証明書の再発行をするよう促されるメールが届いた。今年３月にも同様のメールが届いたが、今回はあらたに対応が必要なようだ。原因はGoogle Chromeの時期バージョンのセキュリティが厳しくなったことで、そのままの証明書では「保護された通信」という表示がされなくなってしまう恐れがあるということだ。 まずは、自社サイトのSSL表示が問題ないかどうかを専用のチェックサイトで...

フェイスブックは顔出し実名で交流するSNSである。アカウントを乗っ取られた場合は、深刻な問題が起きる場合がある。イメージダウンはもちろんだが、信頼性の低下からSNSの利用がしにくくなってしまうこともある。 乗っ取り防止策としては二段階認証を有効にしておくのがよい。これだけセキュリティ問題が起きていることを考慮すると、フェイスブックやGoogleは基本的に二段階認証にしておくべきだろう。

IT導入補助金申請に必須であるセキュリティアクション自己宣言のロゴマークをダウンロードした。 ダウンロードページは であるが、IDとPWでログインしないとこのページを見ることはできない。また、マニュアルやガイドラインをちゃんと読まないと、ダウンロードボタンが表示されないようなしくみになっていた。

Googleクロームのアドレスバーに「保護されてません」と表示されるサイトが増加しそうだ。2018年3月15日リリースのGoogle Chrome66ベータ版では、常時SSLサイトであっても「保護されていません」と表示される場合もある。 問題なのは、シマンテック系のSSLで、特にさくらインターネットなどで利用者が多い「ラピッドSSL（RapidSLL）」だ。2017年7月以前に発行されたSSLサー...

さくらインターネットでRapidSSLを使ってWEBサイトを常時SSLにしている場合は証明書の有効期限をチェックしてみよう。 古い証明書だと「保護された通信」という表示ができなくなる恐れがある。さくらインターネットから手続き期限が迫っていることを告知するメールが届いているはずである。

さくらインターネットが無料SSLのサーバー証明書を簡単に使えるようになった。利用するサーバー証明書は「Let's Encrypt」のもので、無料で発行してくれる団体としては有名だ。すでにエックスサーバなどでは「Let's Encrypt」を利用しており常時SSLにするサーバー証明書として定評がある。 利用者が多いさくらインターネットが無料のサーバー証明書を導入したことでいっきにhttpsは増えそう...

WEBブラウザのGoogleChromeは10月にバージョン62にアップデートが予定されている。そのさいにセキュリティに関しては大幅に強化されるようだ。例えば、メールフォームなど入力を求めるページでhttps化されていないと「保護されていません」という警告がアドレスバーの横に表示される。https化（常時SSL対応）は時代の流れである。未対応のWEBサイトはすみやかに対応しよう。

昨日あたりから「支払依頼書」や「ご請求額」というタイトルのメールが急増。内容はほとんど同じで、請求書と書かれたエクセルファイルが添付されている。メールには宛先が書かれておらず一斉同報した迷惑メールのように見えたため調べてみると、マクロウイスルが仕込まれた悪質なウイルスメールだった。日本サイバー犯罪センター（JC3）のWEBサイトで公開された情報によると、「添付ファイルを開き、インターネットバンキン...

個人情報保護法が改正され、個人のセキュリティ情報を扱うことには今後より一層配慮せざるを得ない状況となった。高度情報社会となり、個人情報の保護は社会的な責務として重要になっている。 個人情報保護法は2005年に施行されたが今回大幅な改定があった。改正個人情報保護法のポイントは、これまで対象外だった5000件未満の個人情報を取扱する小規模事業者も規制の対象となるということだろう。事実上、すべての事業者...