2014年12月27日土曜日

長時間のパソコン操作で疲れていませんか? 疲れを予防・軽減する方法とは?

インターネットの普及で、パソコンやスマホを利用する時間が多くなった人が増えていると思います。毎日、長い時間、パソコンをやっていると、身体的・精神的な疲労がたまります。今回は、パソコン利用時の疲れの予防として、生活のコツ、正しい姿勢、疲労を軽くするための方法を紹介したいと思います。

パソコン作業は、長時間同じ姿勢をとることで、首、肩、腕のこりや痛みの「身体的な疲労」や、さらには「精神的な疲労やストレス」を与えます。

平成20年の厚生労働省の調査では、パソコンなどのコンピュータ機器の使用で、約7割の人が身体的な疲労や症状を、約4割の人が精神的な疲労やストレスを感じているそうです。


■パソコンを使うときの正しい姿勢
パソコンを使うときの正しい姿勢を、動画(漫画)で紹介しているホームページがあります。自分のパソコンの姿勢を思わず正したくなります、ぜひ参照下さい。

 Laptop Ergonomics - Tips to Maintaining a Good Posture
 http://www.labnol.org/home/laptop-working-postures/19329/



■ パソコンを利用する時の疲れとは


パソコンの作業は、長時間同じ姿勢をとることで、首、肩、腕などのこりや痛みの原因となり、視線が画面とキーボード間の移動するので、疲れやすく、その上、集中して画面を見続けるため、まばたきの回数が極端に減り、目が乾きやすく、目に負担がかかります。

パソコンを使って起きる疲労の原因には、一般的に次のようなものが言われています。さらに進行すると、イライラや不快感、抑うつといった精神的な疲労にもつながります。

 1. 長い時間、椅子に座ったままの姿勢による、首、肩、腕、背中、腰などの疲労。

 2. 高度な判断を連続的に行なうことなどによる精神的な疲労。

 3. ディスプレイに表示された文字を見続けることによる目の疲労。



平成20年の厚生労働省のコンピュータ機器の使用状況に関する労働者調査によると、労働者の精神的な疲労・身体的な疲労について以下の状況だそうです(詳しくは≪補足≫参照下さい)。

 1. 身体的な疲労や症状を感じている労働者の割合は68.6%
 2. 精神的な疲労やストレスを感じているとする労働者の割合は34.6%。



■ パソコンライフのコツとは

パソコンを使う機会が多い人(IT関係)の為に、負担を軽減する7つのコツが以下で紹介されていました。実は、この”7つのコツ”、パソコンを何時間も使う人にも、有効な方法です。

特に、「家事や運動が面倒になりがち、しかし、動くことが大切」という事は、なかなか有効ですね。

パソコンでインターネットをしていると、ついつい日常すべきことがおっくうになりがちですが、時々、パソコンから離れ、意識的に、掃除・散歩・音楽や読書に時間を使うようにすると、気分転換にもなり、なかなか良いです。


 IT関係の人に贈る、お手軽フィットネス術・7つのコツ  | ライフハッカー[日本版]
 http://www.lifehacker.jp/2008/11/it_fitness7tips.html

 
 1. コンピュータに張り付いている人には椅子は大切、ちゃんとした椅子を選び使う。
 2. 計画どおりに物事を進め、エクササイズを継続する。
 3. 毎日歩く、新鮮な空気を体にとりこめるので、フィットネス効果が高い。
 4. 頭の体操をする。
 5. 定期的に目を休ませる時間をとる。
 6. 10分のヨガ。たった10分でも深い呼吸をしながら体を動かす。
 7. コンピュータをしていると、家事や運動が面倒になりがち、しかし、動くことが大切。



■ パソコンを使うときの正しい姿勢


パソコン使用時の基本姿勢は「直角90度、背筋を伸ばし、ディスプレイの高さは目線の高さよりもやや下」と言われていますが、なかなかピンときませんね。

以下のホームページでは、動画で正しい姿勢を漫画で教えてくれます。まず、間違った姿勢が表示され、どこが間違っているかを指摘、その後、正しい姿勢を教えてくれます。

 Laptop Ergonomics - Tips to Maintaining a Good Posture
 http://www.labnol.org/home/laptop-working-postures/19329/

パソコンを長時間使っている人に、この動画は必見です。なお、この動画では、姿勢以外に、休憩やリラックスさせるために、席を立ち少し歩いたり、身体を動かすことも進めています。

なお、動画を日本語で説明したホームページもあります。

 ラップトップ作業が楽になる「正しい姿勢」への改善法がわかる動画 | ライフハッカー
 http://www.lifehacker.jp/2011/05/110519vodafoneergonomics.html



■ 疲労を軽くするためには


下記のホームページには、パソコンの利用と健康について、分かりやすく解説されています。

 パソコンの利用と健康 パソコンの利用と健康 : 富士通
 http://jp.fujitsu.com/about/design/ud/vdt/index.html

このホームページで、疲労を軽くするため方法として、”適度な休憩”、”ストレッチ”、”パソコンの手入れや周囲の整頓”が紹介されています。


(1) 同じ姿勢を長く続けないため、また、ディスプレイの文字を長時間見続けないようにするため、適度な休息をとる。

(2) 休憩の目安として、連続作業時間が1時間を超えないようにし、次の連続作業時間までの間に10分~15分の作業休止時間を設け、下記を実施する。

  ・リラックスして、遠くの景色を眺める、
  ・作業中に使用しなかった身体の各部を動かすなどの運動を行なうとよい
  
(3) 連続作業時間内において1~2回程度の小休止(1~2分程度の作業休止)をとる。

(4) 長時間パソコンを使う前や、使った後には、体操、ストレッチなど軽い運動等を行う。

(5) ディスプレイを拭いて見やすくし、動きやすいようにマウスを定期的に清掃、適切な作業姿勢をとるためのパソコン周辺の整理整頓を行う。


なお、厚生労働省の下記資料も参考になります。

 新しい「VDT作業における労働衛生管理のためのガイドライン」の策定について
 http://www.mhlw.go.jp/houdou/2002/04/h0405-4.html



■ ストレス解消法


以下のホームページで、簡単にできる”5分でできるリラックス法”が、「癒し&リラックス」、「運動&リラックス」、「生活&リラックス」と分けて紹介されています。

 簡単!ストレス解消法
 http://stress-labo.com/2nd_5min.htm


次のホームページでは、オフィスでいつでも簡単にできる医学的なリラックス法として、「呼吸法」「筋弛緩法」「自律訓練法」が紹介されています。

 IT現場のストレス解消法 - 第5回 医学的アプローチ:簡単・即効の3大リラックス法:ITpro
 http://itpro.nikkeibp.co.jp/article/COLUMN/20080407/298147/

なお、たまには、パソコンを全く使用しない日を設けるというのも有効な方法だと思います。

「ちょっと最近調子が悪いな」とか「疲れているかな」と思ったら、パソコンから一定期間離れて本格的にリフレッシュをしてみましょう。時には、休暇中にパソコン作業を一日中断つ勇気も必要です(かなりの勇気が必要ですが)。



■ ≪補足≫ ”平成20年技術革新と労働に関する実態調査結果の概況(厚生労働省)”

■  コンピュータ機器の使用で労働者の約7割の人が身体的な疲労や症状
■  精神的な疲労やストレスを感じている労働者の割合は約4割

平成20年の厚生労働省のコンピュータ機器の使用状況に関する労働者調査(回答数9,107人)によると、労働者の精神的な疲労・身体的な疲労について以下の状況だそうです。

 平成20年技術革新と労働に関する実態調査結果の概況(厚生労働省)
 http://www.mhlw.go.jp/toukei/itiran/roudou/saigai/anzen/08/dl/20kaku-10.pdf

(1) 身体的な疲労や症状を感じている労働者の割合は68.6%
   1日あたりの作業時間が長くなるほど、身体的な疲労を感じる割合が高い
   1日当たりの利用時間「6時間以上」は84.9%


(2) 精神的な疲労やストレスを感じているとする労働者の割合は34.6%。
   1日あたりの作業時間や連続作業時間が長くなるほど、ストレスを感じる割合は高い
   1日あたりの利用時間「6時間以上」は39.6%


2014年12月26日金曜日

使っているインターネット・サービスがとつぜん終了! そのための対策とは

2012年から2014年に終了した(または無料版の廃止の)人気のインターネット・サービスを、自分なりにまとめてみました。以前はインターネットや雑誌などで、便利なサービスとして紹介されていたものです。

これからは、このようにサービスが終了したり、無料版が廃止されたりすることが増えてくると予想されます。この事は、インターネット・サービスの選び方、使い方について教えてくれますね。

例えば、オンラインストレージサービスであれば、安心できる企業で利用者が多いサービスを選ぶとか、大事なデータは複数のサービスに保存するとか、USBなどの媒体にバックアップしておくことが必要ですね。



なお、さいごに「インターネット・サービスを使うときの注意事項」をまとめてみたので参考にして下さい。


■ 2012年から2014年に終了した主なインターネット・サービス

■  *個人的に把握できた内容です。

 

 (1) 「Picnik」 オンライン画像編集サービス 2012年4月サービス終了
 
 (2) 「ZumoDrive」 オンラインストレージサービス 2012年5月サービス終了

 (3) 「Googleリーダー」 RSSリーダー 2013年7月サービス終了

 (4) 「Nドライブ」 オンラインストレージサービス 2013年11月サービス終了

 (5) 「KDrive(無料版)」 オンラインストレージサービス 2014年2月サービス終了

 (6) 「livedoorメール」 Webメール 2013年10月サービス終了

 (7) 「gooメール(無料版)」 Webメール 2014年3月サービス終了

 (8) 「Yahoo!グループ」コミュニティサービス 2014年5月サービス終了



■ インターネット・サービスを使うときの注意事項








(1) 安心できる企業が提供しており、利用者の多いサービスを選ぶ。

   Google、マイクロソフトなど安心できる企業や利用者の多いサービスを選ぶと良いですね。

(2) サービスが突然中止されることを考え、一つのサービスに依存しすぎない。

   Webメールやオンラインストレージサービスなどは複数のサービスを活用する。

(3) 使わなくなったサービスは、できるだけ速やかに解約(会員登録削除)する。

   何ヶ月以上も使っていないサービスはありませんか?
   登録しているサービスを定期的に確認して、利用していないサービス、
   今後は利用しないサービスがあれば、できるだけ速やかに解約しましょう。

(4) 大事なデータは、別にバックアップしておく。

   サービスが永遠に存続することは不可能。別なサービスにバックアップしたり、
   自分のパソコンのハードディスクやUSBディスクなどにバックアップすること。

(5) 流出した場合の危険性を考え、重要な個人情報はサービスに保管しないようにする。

   もし、保管する必要がある場合は、データを暗号化する。

(6) サービスをFacebookやGmailなどのID・パスワードで使用せず、独自に会員登録する。

   最近のサービスは他のID、例えばFacebookやGmaiのIDで利用可能なものも多い。
   便利なようだが、FacebookやGmaiのID・パスワードが悪用される危険性があり、
   面倒でも、個々のサービスで会員登録する。


(7) インターネット・サービスの鍵「パスワード」は慎重に決める。

   パスワードは、「英字の小文字・大文字、数字、記号を混合させ、8桁以上のパスワード
   を使い、パスワードを定期的に変更する。

   なお、下記をパスワードに使用しないように注意下さい。
   
    ・辞書にある単語などの一般的な単語
    ・”0123456”のような単純な並びの単語
    ・IDと同じもの、又はIDから安易に想像がつく単語
    ・誕生日や電話番号などの個人情報

(8) 同じパスワードを複数のサービスに利用せず、パスワードは定期的に更新する。

   複数のサービスに同じパスワードを利用すると、あるサービスのID・パスワードが盗まれた場合、
   別なサービスにアクセスされ、危険です。
   出来るだけ、複数のサービスで同じパスワードは使用しないようにして、パスワードは定期的に
   更新する。

2014年12月23日火曜日

年賀状の住所録、オンライン・ストレージを使って管理・バックアップ

年賀状の住所録、とても大事ですね。実は、以前、この住所録データが年末に使えなくなり大変でした。大急ぎで、一から作り直した経験があります。このときは、昔の数百枚の年賀状を見ながら、一つずつ、住所録データを入力したので、本当に大変でした。

このときの経験から、年賀状の住所録データを、いつでも、どこからでも最新状態が使え、自動バックアップの、同期型オンラインストレージ「Dropbox」に置くことにしました。

しかし、個人情報が満載の「住所録データ」を安全に保管するためには、オンラインストレージの不正アクセスを防ぐ対策や、データにパスワードを付加したり、データを暗号化したりすることが大事です。今回は、このオンライン・ストレージを使って、「住所録データ」を安全に管理する方法を紹介します。



 (1) ”同期型”のオンライン・ストレージ・サービスを活用する
 
   「Dropbox」、「Googleドライブ」、「OneDrive」 *お勧めは、「Dropbox」
 
 (2) 同期型オンライン・ストレージ「Dropbox(ドロップボックス)」を活用する
 
 (3) オンライン・ストレージのパスワードの付け方

 (4) 不正アクセス防止のため”2段階認証”を実施

 (5) オンライン・ストレージ・サービスに、年賀状の住所録をパスワード付きで保管
 
 (6) 重要なデータは暗号化して保管



なお、住所録データは個人情報なので、十分な安全対策が必要であり、以上のように方法は面倒ですが、この方法だと、インターネット上に住所録データがあり、パソコンがどんな状態になっても、また、パソコンを交換しても、いつでも、最新のデータが使えるので大変便利です。

話は変わりますが、私が愛用している年賀状ソフト「筆まめ」から提供されている、インターネットに保管する「クラウド住所録」も、なかなか便利です。

 サービスの特長 | 筆まめクラウド住所録 | 筆まめネット
 http://fudemame.net/products/service/address/about/

様々な端末から、どこでも住所録や顧客情報の作成・編集・管理・共有が可能。さらに、2014年11月より「筆まめ」との連携も開始されました。




■ (1) ”同期型”のオンライン・ストレージ・サービスとは


インターネットのサービスの中に、「オンライン・ストレージ」というのがあります。ユーザ登録すると、インターネットのコンピュータ中に、自分専用のフォルダーが確保でき、そこにデータを保存できるというものです。パソコンやスマホのデータバックアップには最適のサービスです。

オンライン・ストレージの中でも、便利なのが、パソコンで作業しながら、自動的にインターネットにデータをバックアップしてくれる、”同期型”のオンライン・ストレージ・サービスです。

この”同期型”サービス、まずは、サービス専用のクライアントソフトをパソコンにインストールします。

そうすると、パソコンに特定フォルダーが作成され、そこにデータを入れておくと、自動的にインターネットにバックアップしてくれます。

このサービスの定番として、「Dropbox」、「Googleドライブ」、「OneDrive」がありますが、「Dropbox」が一番のお勧めですね。



■ (2) 同期型オンライン・ストレージ「Dropbox(ドロップボックス)」とは


 https://www.dropbox.com/

機能はシンプルで使いやすく、オンライン・ストレージではトップの人気を誇るサービスです。無料で容量2GBが使用できるサービスです。機能はシンプルですが、使えば使うほど、良さが分かってくるサービスですね。

動作も機敏で、ファイルの棋歴管理もできます。私は数年、このサービスを使っていますが、このサービスのお陰で、どのパソコンからでも、WindowsのOSが異なっても、必要なデータを利用することが可能になりました。

Dropboxの使い方は、以下が分かりやすいです。

 ファイル同期のDropbox入門と、便利テクニックまとめ | nanapi [ナナピ]
 http://nanapi.jp/2516



■ (3) オンライン・ストレージのパスワードの付け方


また、インターネットではパスワードを盗む攻撃も盛んです、パスワードを安易に考えると、不正アクセスなど危険な目に会いますので、注意下さい。パスワードの基本は次です。

 ・英字の小文字・大文字、数字を(できれば記号も)混合させ、8桁以上のパスワードを使う。
 
 ・パスワードを定期的に変更する。
 
 ・複数サイトで同じパスワードを使い回ししない。


(注)「英字(大文字・小文字の区別無)」のパスワードの場合、”4桁で約3秒”、”6桁で約37分”という短時間に見破られるという報告もあります。



■ (4) 不正アクセス防止のため”2段階認証”を実施

2段階認証を有効にすると、ログインに際し、パスワードに加えてセキュリティコードの入力が必要になり、安全になります。なお、2段階認証を一度設定すれば、次からは入力が不要なので、面倒なのは最初だけです。

こういう私も、実は、最近まで、 ”2段階認証”面倒だな? と考えていましたが、毎日活用しているGoogleとDropboxは、重い腰を上げて、ようやく2段階認証にしました。

次のブログに、GoogleとDropboxの”2段階認証”の方法をまとめましたので、参考にして下さい。

 Googleの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/09/500google2.html

 Dropboxの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/10/dropboxid.html



■ (5) オンライン・ストレージ・サービスに、年賀状の住所録をパスワード付きで保管

私が愛用している、年賀状ソフト「筆まめ」は、データをパスワード付きで保管できます。また、マイクロソフトのExcelで住所録データを作成している場合も、データにパスワードをつけることができます。

しかし、このようなパスワードは、別なソフトを使えば、見破られる可能性があるため、決して安全とはいえません。

但し、オンライン・ストレージ・サービス利用で、ログイン時のパスワードを見破られないようにして、さらに、”2段階認証”というセキュリティをつけておけば、まず不正アクセスの危険性は少なくなり、安全といえます。

ソフトに詳しい人であれば、次の”データの暗号化”をお勧めします。



■ (6) 重要なデータは暗号化して保管


私が一番気に入っているのが、 ”一般的に使われている「圧縮形式Zip」で暗号化”です。暗号化圧縮形式Zipは、一般的な圧縮形式であり、このデータ形式をサポートする様々なソフトがあります。

圧縮形式Zipは、圧縮するだけでなくパスワードを付けて内容を保護するという機能も用意されており、「パスワード文字列」を指定するだけで、簡単に暗号化/復号化(解凍)できます。

なお、圧縮形式Zipの暗号化は「AES-256」がお勧めです。ただし、解凍する側にもAES-256に対応したツールが必要になります。お勧めのソフトは、次の「7-Zip」です。


■ 暗号化圧縮形式Zip対応のフリーソフト「7-Zip」 (海外:日本語対応)

このソフトは、高圧縮率を実現し、ポータブルタイプの圧縮・解凍ソフトでは、代表的な人気のあるソフトです。専用の形式「7zフォーマット」に対応するほか、各種の圧縮・解凍形式をサポートしています。

強力な「256AES 暗号化機能」、自己解凍形式、ファイルの分割・結合、テストの実施、お気に入り機能などをサポートしています。

 ダウンロード : 圧縮・解凍ソフト 7-Zip
          http://sevenzip.sourceforge.jp/

7-zipのダウンロードは、32ビット版と64ビット版が用意されているので、環境に合わせてダウンロードしましょう。ちなみに、「32ビットか64ビットか?」は、OSの違いで判断します。

スタートメニューの「プログラム」に「7-Zip File Manager」の項目が追加されますので、これを実行します。または、7zFM(7zFM.exe)をダブルクリックして起動します。

7-Zipは”2画面分割”で使うと操作が便利になります。

なお、USBでも使えるポータブルタイプの「7-Zip Portable」もあります。

 7-Zip Portable | PortableApps.com
 http://portableapps.com/apps/utilities/7-zip_portable


7-Zipで圧縮形式ZIPにパスワードを付ける方法は、下記を参考にして下さい。

 ZIPにパスワードを付ける方法
 http://sevenzip.sourceforge.jp/howto/zip-password.html


■超カンタン・超強力なファイル暗号化ツール 「ED」

 EDのダウンロード : Vector
 http://www.vector.co.jp/soft/dl/win95/util/se119287.html

ED(イーディー)は強力な暗号化アルゴリズムと、使い勝手が良いWindows用フリーウェアファイル暗号化ツールです。簡単な操作で、ファイルやフォルダーを自在に暗号化することができます。

なお、USBメモリまたはUSB接続ポータブルHDDに保存して活用することもできます。EDは、鍵長最大256ビット暗号アルゴリズムをベースにした、強力な暗号強度を保っています。

使い方は簡単で、暗号化する場合は、暗号化したいファイルやフォルダを選択後、それを「E」ボタン上にドロップし、パスワードを入力するだけです。

復号する場合は、ファイルやフォルダを選択した後、それを「D」ボタン上にドロップし、パスワードを入力します。

2014年12月12日金曜日

別なサービスのID・パスワードで不正アクセスするパスワードリスト攻撃と、その対策とは

パスワードリスト攻撃とは、別のサービスやシステムから盗んだID・パスワードを用いて不正にログインを試みる攻撃手法です。

何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いて、様々なサイトに不正なログインを試みます。

そのため、複雑なパスワードを使っていても、同じパスワードを複数のサイトで使っていると、不正に利用される危険性が高まります。


例えば、サイトA~Cで、以下のように同じID・パスワードを使っていた場合、サイトAから盗まれたID・パスワードを使い、他のサイトB、サイトCに不正ログインするというものです。

  サイトA・・・ログイン ID=abc パスワード=xyz12345

  サイトB・・・ログイン ID=abc パスワード=xyz12345
    *サイトAとID・パスワードが同じ

  サイトC・・・ログイン ID=abc パスワード=xyz12345
    *サイトAとID・パスワードが同じ


なお、下記の記事によると、パスワードリスト攻撃の種類は4つに分類できるそうです。

 萩原栄幸の情報セキュリティ相談室:
 パスワードリスト攻撃につながる4つの原因と、ほんとに怖い2つのケース
 - ITmedia エンタープライズ
 http://www.itmedia.co.jp/enterprise/articles/1412/12/news046.html



  (1) プライベートで利用するWebサイトで作成したパスワードを、別のプライベートのWebサイトでも利用するケース

 (2) プライベートで利用するWebサイトで作成したパスワードを、勤務先のパスワードでも利用するケース

 (3) 上記(2) とは逆で、勤務先から与えられた(もしくは生成された)パスワードをプライベートで利用するケース

 (4) 企業内のAシステムのパスワードをBシステムでも利用するケース

良く聞くパスワードリスト攻撃のイメージは(1)ですが、現場で本当に怖いのは(2)もしくは(3)だそうです。

私は、プライベートで利用するパスワードと、勤務先で利用するパスワードは、別なものを利用しましたが、これは明確に分けるべきですね。




■ パスワードリスト攻撃による不正ログイン防止


IPA(独立行政法人情報処理推進機構)およびJPCERT/CC(一般社団法人 JPCERTコーディネーションセンター)は、パスワードリスト攻撃への対策として次の内容を紹介しています。

 STOP!! パスワード使い回し!!
 パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ
 https://www.jpcert.or.jp/pr/2014/pr140004.html



(1) パスワードの使い回しを避けるための適切な管理方法
a. 紙のメモ
IDとパスワードを記載したリストを紙のメモに保持します。IDとパスワードを別々の紙に分けて管理するとより安全です。

b. 電子ファイル(パスワード付き)
IDとパスワードを記載したリストを「パスワード付きの電子ファイル」として保持します。パスワードは表計算ソフトの機能でファイルそのものにかける方法と、zipなどの圧縮ファイルにかける方法とがあります。。

c. パスワード管理ツール
パスワード管理のための信頼のおける専用ツール(ソフトウェア)を使用し、IDとパスワードを保存します。


(2) 不正なログインに気付く、または防止するための機能

a. ログイン通知
通常とは異なるIPアドレスや国などからログインが行われた場合に、メール等で通知を受けることで、不審なアクセスに気付くことが可能です。

b. ログイン履歴
ログインした時刻、アクセス元(IPアドレス、国等)、URL等の履歴に自分がログインしていない時間のログイン履歴や、見覚えのない地域からのログイン履歴が無いか確認し、不審なアクセスの有無を確認できます。

c. 認証コード
IDとパスワードに加え、予め登録しておいた携帯電話等に送信された認証コードを使用してログインを行う、二段階認証という仕組みです。

d. ワンタイムパスワード(OTP)
ログイン時に一定時間だけ有効なワンタイムパスワードを生成する機器やソフトウェアを併用し、ログインに複数の認証情報を用いることで、不正ログインを防ぐことが可能です。



■ この機会に2段階認証を活用しよう!


なお、この機会に、

 ①「同じID、パスワードを複数のサービスで使わない」という対策以外に、
 ②「不正アクセスを防ぐ”2段階認証”」を活用することも

大事になってきました。

2段階認証を有効にすると、ログインに際し、パスワードに加えてセキュリティコードの入力が必要になり、安全になります。なお、2段階認証を一度設定すれば、次からは入力が不要なので、面倒なのは最初だけです。

こういう私も、実は、最近まで、 ”2段階認証”面倒だな? と考えていましたが、毎日活用しているGoogleとDropboxは、重い腰を上げて、ようやく2段階認証にしました。


次のブログに、GoogleとDropboxの”2段階認証”の方法をまとめていますので、参考にして下さい。

 Googleの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/09/500google2.html

 Dropboxの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/10/dropboxid.html


通販大手の楽天の請求書を装った偽のメールでウイルス感染! 年末は危険なメールに注意!

インターネット通販大手の楽天の請求書を装った偽のメールを送って、コンピューターウイルスに感染させるサイバー攻撃が今月に入って急増しています! くれぐれも、普段と違うメールが来たら用心ください。

とにかく、”いつもと違うメールだな?”、”なんでこんなメールが来るんだろう?”と感じたら、これは危険なメールと判断することが大事です。

 ネット通販装った偽請求書メールに注意 NHKニュース
 http://www3.nhk.or.jp/news/html/20141212/k10013918721000.html

NHKニュースによると、メールは、「ご注文」などというタイトルで、「請求書」と称するファイルが添付されており、このファイルを開いて請求内容を見ようとすると、ウイルスに感染し、インターネットバンキングのパスワードなどの情報を盗み取られるおそれがあるそうです。


トレンドマイクロの下記記事によると、このような、オンラインショッピングなどの請求書を偽装して不正プログラムを感染させようとするマルウェアスパムの手口は以前から存在しているとのこと。

 12月8日から急増の請求書偽装スパム、主な狙いは国内銀行15行の認証情報か?
  | トレンドマイクロ セキュリティブログ
 http://blog.trendmicro.co.jp/archives/10558

このブログで、次のような注意事項がありました。これから、ますます、このような悪質なメールが増えてきますので、くれぐれも注意ください。

『クリスマスや年末といったショッピングや贈答の機会が増えるシーズンを狙い、同様の攻撃が増える可能性があります。いつもと異なる様式の請求書メールなど、不審なメールや添付ファイルは受信しても開かないようご注意ください。』

なお、世界的にクリスマス時期は、お楽しみメールとして添付ファイル付きのメールがやりとりされることが多く、友人、知人からのクリスマスカードを装ったウイルス付きのメールが届き、添付ファイルを開いてしまい感染被害に遭う可能性が高くなります。

この場合、差出人を変更して、友人と偽り、危険なメールを送信する場合があるので、送信先が友人からのメールといえども、安心はできません。



■ 危険メール対策 その1

危険メールは年々巧妙になっており、数年前までは、あきらかに危険メールと分ったものが、最近では判断が難しくなっています。今一度、危険メールの対策を考える必要があります。

・いつもと違うメールがきたら、危険なメールと判断する

・友人のメールだからといって安心しない 差出人を偽るメールもあります
   *これは"差出人詐称ウイルスメール"(詐称(さしょう))と言われています

なお、危険メール対策をまとめると以下のようになります。

(1) 危険メールの基本は、 ”無視し、何もせず、そのまま削除する” こと

(2) 危険メールに返信するのは× 絶対にダメです(メールアドレスがばれます)

(3) 危険メールの添付ファイルを実行するのは× 絶対にダメです(ウイルスに感染します)

(4) 危険メールのURLをクリックするのは× 絶対にダメです(不正なサイトに誘導されます)


例えば、危険メールに腹を立て、「こんなメールは送信しないで欲しい」と抗議のメールを返信したら、悪徳業者のメールリストに記録され、危険メールの餌食になります。



■ 危険メール対策 その2


セキュリティ対策の基本である、次の対策も大事ですね。

  (1) セキュリティソフトの導入

  (2) 修正プログラムの適用

セキュリティソフトを導入し、ウイルス定義ファイルを最新に保った状態で、パソコンを使用することは、セキュリティ対策の基本です。

またソフトウェアの不具合を狙ってウイルスが侵入します。そのため、Windowsなどの更新情報を適用し、ソフトウェアの不具合を修正しておく必要があります。


2014年11月2日日曜日

Webブラウザの暗号化処理「SSL 3.0」に不具合が発見!! ブラウザ毎の対策が必要

Webブラウザが、通信するデータを暗号化して通信する技術に「SSL 3.0」ありますが、この技術、18年前の技術で、最近、通信の一部が第三者に解読可能な不具合があると、発見されました。

そのため、Webブラウザがインターネットとの通信において、SSL 3.0 を使用している場合、通信の一部が第三者に漏えいする可能性があります。


インターネットで商品を購入するような場合、パスワードなどの重要なデータ入力の場合、このSSLという暗号化技術を使うことで、通信するデータを暗号化でき、通信するデータを漏えいしないよう(盗まれないよう)にできます。

しかし、今回発見された「SSL 3.0」の不具合は、暗号化された通信データが漏えいする(盗まれる)というもので、暗号化の意味が無くなる不具合です。

なお、SSL 3.0の次のバージョンから「TLS」(Transport Layer Security)に変更されたため、現在広く利用されているのは正確には「TLS」の方ですが、いまだに、インターネットのコンピュータには、データ通信の暗号化に「SSL 3.0」を使っているものもあります。

下記の「IPA 独立行政法人 情報処理推進機構」の記事に詳しい内容が書かれていますが、
この記事を参考に、私が実施した対策を、簡単に紹介します。



 更新:SSL 3.0 の脆弱性対策について(CVE-2014-3566):IPA
 https://www.ipa.go.jp/security/announce/20141017-ssl.html




■ 「SSL 3.0」不具合の対策概要


対策は、インターネット側のコンピュータ(サーバー)で実施する場合と、パソコン側(クライアント)で実施する場合と二通りあります。


もし、パソコン側(クライアント)で実施する場合は、利用者の方で、現在、使用している全ブラウザで、「SSL 3.0」を無効化する必要があります。

なお、SSL 3.0 を無効化することで次の影響を受ける可能性があります。

 自分のパソコン(クライアント側)で SSL 3.0 を無効にした場合
  一部のサーバに接続できなくなる可能性があります。

 インターネットのコンピュータ(サーバ側)で SSL 3.0 を無効にした場合
  一部のクライアントから接続ができなくなる可能性があります。
 


■ 主なブラウザでの対策  (注)2014.11.2現在の対策です



■Internet Explorerの対策

設定を変更することにより、SSL3.0を無効化することができます。詳しくは、下記URLのマイクロソフト セキュリティアドバイザリを参照してください。

私は、”Internet Explorer11”を使っていますが、 [ツール] メニューの [インターネット オプション] で、[SSL 3.0 を使用する] チェック ボックスをオフにし、[TLS 1.0 を使用する]、[TLS 1.1 の使用]、および [TLS 1.2 の使用] チェック ボックスをオンにしました。詳しくは下記を参照下さい。

 マイクロソフト セキュリティ アドバイザリ 3009008
 https://technet.microsoft.com/ja-jp/library/security/3009008.aspx


■ Firefoxの対策

Firefox は、次期バージョンからデフォルトで SSL 3.0 を無効化すると発表しています。

なお、現行バージョンの Firefox で SSL 3.0 を無効化するアドオンが公開されています。私は、このアドオンを導入しました。

 Mozilla Japan ブログ
 http://www.mozilla.jp/blog/entry/10433/


■Chromeの対策

現時点で Google 社からは SSL 3.0 を無効化する方法は公開されていませんが、数ヵ月後には SSL 3.0 のサポートを完全に打ち切る予定であると発表しています。私は、Chromeブラウザは、通常、使ってないので、バージョンアップされるまで待つことにしました。

 This POODLE bites: exploiting the SSL 3.0 fallback(English)
 http://googleonlinesecurity.blogspot.jp/2014/10/this-poodle-bites-exploiting-ssl-30.html


≪補足≫SSL 【 Secure Sockets Layer 】

インターネットなどのTCP/IPネットワークでデータを暗号化して送受信するプロトコル(通信手順)の一つ。データを送受信する一対の機器間で通信を暗号化し、中継装置などネットワーク上の他の機器による成りすましやデータの盗み見、改竄などを防ぐことができる。

≪補足≫TLS 【 Transport Layer Security 】

元はSSL(Secure Socket Layer)と呼ばれるプロトコルで、SSL 3.0の次のバージョンがTLS 1.0という関係(機能的にはほぼ同じ)にある。

2014年11月1日土曜日

特定の企業を狙う標的型攻撃とは ウイルス添付のメールで情報を盗み取る攻撃

標的型攻撃は、特定の企業や官公庁を狙って、ウイルス添付のメールを送信し、ウイルスに感染させ、内部から情報を盗み取ろうとする攻撃です。

「標的型のサイバー攻撃」の代表的な攻撃方法は、ウイルス付きの「標的型メール」で、「日本語で自分に関係ありそうな用件」なので、油断しているとダマされます。

この攻撃は、今後も増えることが予想されますので、その内容を知り、対策を考えておくことが必要ですね。まず、「標的型のサイバー攻撃」を理解するために必要な用語を以下にまとめます。


「標的型攻撃」・・・特定のターゲットを狙う攻撃のこと。

「サイバー攻撃」・・・インターネットを通じた特定の国家・企業・団体を狙った攻撃のこと。

「標的型メール」・・・官公庁・企業などの特定の人に送られるウイルス付きメールで、「サイバー攻撃」の代表的方法。



■ 「標的型攻撃」とは


特定のターゲットを狙う攻撃のこと。従来、ウイルスなどの危険の多くは、インターネット全体を狙う攻撃でしたが、最近増えてきたのが、特定のターゲットへの標的型攻撃です。

実は、この”特定のターゲットを狙う”という特徴が、対策を難しくしています。

ウイルス対策ソフトの多くは、ウイルスを収集し、そのウイルスの情報を登録することで、ウイルスを検知しています。

標的型のサイバー攻撃の場合、ウイルス情報を入手するチャンスが少ないため、ウイルスソフトに対策処理を組み込みことが困難です。

そのため、ウイルス対策ソフトを使っているから大丈夫だとは言い切れません。




■ 「サイバー攻撃」とは


”インターネットを通じた特定の国家・企業・団体を狙った攻撃。社会に混乱をもたらしたり、国家の安全保障を脅かしたりすることが目的。

「サイバー攻撃」は、インターネット経由で、パソコンなどのコンピュータに不正アクセスや不正メールを送信し、特定の国家、企業、団体にダメージを与えようします。


「サイバー(cyber)」とは、「サイバースペース(cybe spacer)」「サイバネティックス スペース(cybernetics space)」の略語です。

「電脳世界」「電脳空間」「ネットワーク世界」という意味であり、そこから、インターネットの仮想空間での事象に「サイバー」と付ける事が多くなりました。「サイバー攻撃」「サイバーテロ」「サイバー犯罪」などと呼ばれます。



■ 「標的型攻撃」・「サイバー攻撃」の代表的な攻撃、「標的型メール」の特徴は


「標的型メール」は、企業のビジネスマン、官庁の公務員、政府要人などを狙って、ウイルスが添付されたメールを送り、ウイルスに感染させて企業秘密・国家機密などを盗み取ろうとするものです。

「標的型メール」は、メールの添付ファイルに不正ソフトを忍ばせものが多く、メールの内容も、注意をしていないと、すぐにダマされる内容です。


また、ウイルス付きの添付ファイルは通常のOffice・PDFなどの文書で、ソフトの欠陥が狙われます。なおウイルスに感染したことに気付かず、長期間に渡ってウイルスが活動し、機密情報を盗まれます。

IPAが報告した標的型メールの手口は以下の4種類です。

(1)Webなどで公表されている情報を加工して、メール本文や添付ファイルを作成する
(2)組織内の業務連絡メールを加工して、メール本文や添付ファイルを作成する
(3)ファイルを添付せずに、不正なサイトへのリンクをメール本文に記載する
(4)日常会話的なメールを数回繰り返して、メール受信者の警戒心を和らげる

 情報処理推進機構:IPA 『標的型攻撃メールの分析』に関するレポート
 http://www.ipa.go.jp/about/technicalwatch/20111003.html


詳しくは、下記のブログを参照下さい。

 インターネット安全教室: 企業秘密・国家機密を盗む「標的型攻撃メール」とは
 http://lifesecurityup.blogspot.com/2014/11/blog-post.html


■メールは日本語で、自分に関係ありそうな用件

例えば、東日本大震災後に「地震情報」「被ばくに関する知識」「計画停電」等の震災や原発事故に関するメールを語り、ウイルス付きのメールが送られました。

なお、衆院議員に送られた攻撃メールは、

 ・雑誌記者をかたり
 ・「議員の顔写真を誌面に使いたい」といった文面で添付ファイルを開かせるメール

だったそうです。

あたかも知っている組織の人からの、通常の文面でいつも使っている文書データであれば、ついついメールの添付ファイルを開いてしまい、ウイルスなどに感染することになります。



■ 標的型のサイバー攻撃を防ぐには


防ぐ方法は、パソコンを扱う個人側と、企業等のシステム部門の対策が必要ですが、ここでは、パソコンを扱う個人ベースでの対策について説明します。


標的型のサイバー攻撃を、ウイルス対策ソフトで防ぐのは困難
ウイルス対策ソフトの多くは、世の中に発現しているウイルスを収集し、そのウイルスの情報を登録することで、ウイルスを検知しています。

ところが、標的型のサイバー攻撃の場合、特定の企業や個人なので、ウイルス情報を入手するチャンスが少ないため、ウイルスソフトに対策処理を組み込みことが困難だからです。

なお、標的型のサイバー攻撃を防ぐためには、以下が必要と言われています。

 (1) 一見自然なメールでも慎重に判断・対応
  
 (2) メールの添付ファイルを安易に開かない
 
 (3) メールに書かれたURLを安易にクリックしない
 
 (4) Windows、Office、PDFリーダなどのパソコン・ソフトを常に最新版にする
  (修正情報を素早く適用する)
 
 (5) セキュリティーソフトを必ず導入し、ウイルス・パターンは常に最新にする


メールは、安易に信用せず、疑ってかかる必要があり、安易に、メールの添付ファイルを開いたり、URLをクリックしてはダメですね。常に狙われていることを意識しておくことが必要です。

数年前までは、怪しいメールは、すぐに分かったのですが、最近は、なかなか判別が難しくなりつつあります。

メールを見て、”アレッ、いつもと違うメールがきた、何故?”と感じたら、そのメールを怪しいと感じる感覚が必要かもしれません。

私が知っている人で、怪しいと感じたメールの添付ファイルを、”面白半分に開いてウイルスに感染した人”がいましたが、このような面白半分にメールの添付ファイルを開くのはとても危険です。


['15.6.11追加] 「標的型攻撃メールの例と見分け方」:IPA

 IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」:IPA 独立行政法人 情報処理推進機構
 http://www.ipa.go.jp/security/technicalwatch/20150109.html

上記に、以下の標的型攻撃メールの例が詳しく紹介されています。この例を見ると、標的型攻撃メールが、どのようなメールか分かりますね。

 ・新聞社や出版社からの取材申込のメール
 ・就職活動に関する問い合わせのメール
 ・製品に関する問い合わせのメール
 ・セキュリティに係る注意喚起のメール
 ・注文書送付のメール
 ・アカウント情報の入力を要求するメール(その1)
 ・アカウント情報の入力を要求するメール(その2)

企業秘密・国家機密を盗む「標的型攻撃メール」とは

「標的型メール」は、企業のビジネスマン、官庁の公務員、政府要人などを狙って、ウイルスが添付されたメールを送り、添付ファイルを開かせ(実行させ)、ウイルスに感染させて企業秘密・国家機密などを盗み取ろうとするものです。

攻撃者は、ウイルス添付メールを送信し、“言葉巧み”にウイルスを実行させます。具体的には、メールの送信者や件名などを偽装し、ウィルス付きの添付ファイルを有用なファイルに見せかけます。


添付ファイル名には、「日程表.xls」や「会員.xls」など受信者の業務に関連があるような資料に見せかけたり、「身上調書提出依頼.pdf」など返信を促したりするような文面が悪用されています。

例えば、以下の事例があります。こんなメールを会社のメールで受信すると、うっかりダマされそうですね。

『 ○○さん(実在の人物)に紹介を受けました。我々の新製品を紹介したいので、(PDFファイルで製品情報を送るので、)資料をご確認頂いたうえでご意見を頂きたく思っています。メールアドレスは、○○○@○○.co.jpで合っていますか? 』


メールは、安易に信用せず、疑ってかかる必要があり、安易に、メールの添付ファイルを開いたり、URLをクリックしてはダメですね。常に狙われていることを意識しておくことが必要です。

数年前までは、怪しいメールは、すぐに分かったのですが、最近は、なかなか判別が難しくなりつつあります。

メールを見て、”アレッ、いつもと違うメールがきた、何故?”と感じたら、そのメールを怪しいと感じる感覚が必要かもしれません。

私が知っている人で、怪しいと感じたメールの添付ファイルを、”面白半分に開いてウイルスに感染した人”がいましたが、このような面白半分にメールの添付ファイルを開くのはとても危険です。


少し古い記事ですが、標的型メールの具体的な例が、下記にまとめられています。

 2011年上半期 Tokyo SOC 情報分析レポート:IBM
 http://www-935.ibm.com/services/jp/its/pdf/tokyo_soc_report2011_h1.pdf


また、情報処理推進機構:IPAは、下記のレポートで、メール受信者をだますためにどのようなテクニックが使われているかを、次の4件の事例で紹介しています。

(1) ウェブ等で公表されている情報を加工して、メール本文や添付ファイルを作成した事例
(2) 組織内の業務連絡メールを加工して、メール本文や添付ファイルを作成した事例
(3) 添付ファイルをつけずに、不正なサイトへのリンクをメール本文に記載した事例
(4) 日常会話的なメールを数回繰り返して、メール受信者の警戒心を和らげた事例


 
 『標的型攻撃メールの分析』に関するレポート:IPA
 http://www.ipa.go.jp/about/technicalwatch/20111003.html

なお、このIPAの記事では、国内で報道された標的型攻撃メールに関する代表的な報道と、IPA に届出・相談のあった標的型攻撃メールの主な事例も示しています。


■標的型攻撃メールの事例(報道、届出・相談など)
・実在の外務省職員をいつわって、ウイルス付きMS Word ファイルが添付されたメールが、複数の官公庁に届いた。

・官公庁をいつわって、ウイルス付きMS Word ファイルが添付されたメールが、民間大手企業に届いた。

・新聞社をいつわって、ウイルス付きMS Word ファイルが添付されたメールが、民間大手企業に届いた。


■標的型のサイバー攻撃を防ぐためには

 (1) 一見自然なメールでも慎重に判断・対応
  
 (2) メールの添付ファイルを安易に開かない
 
 (3) メールに書かれたURLを安易にクリックしない
 
 (4) Windows、Office、PDFリーダなどのパソコン・ソフトを常に最新版にする
  (修正情報を素早く適用する)
 
 (5) セキュリティーソフトを必ず導入し、ウイルス・パターンは常に最新にする

2014年10月25日土曜日

笑っていますか? 笑ってストレス解消、健康にも良い

最近、笑いが少なくなっていませんか?実は、笑いには多くの効果があります。

笑うと、ストレス解消になり、便秘や胃腸の痛みなどの改善、精神的な癒しの効果もあります。笑うと脳波にアルファ波が多く現れ、集中力、記憶力が高い状態になり、仕事などの能率をアップさせると言われています。


また、笑いはコミュニケーションを潤滑にし、人間関係を豊かにもします。時々、お店で素敵な笑顔に出会うことがありますが、その時は本当に爽やかな気分になり、素敵なプレゼントをもらった気分になりますね。「素敵な笑顔」は、自分にも相手にも最高のプレゼントです。

「笑い」に関することわざは、笑う効果をよく表しています。

・「笑う門には福来たる」・・笑い声が絶えない家には必ず幸福が訪れる。
・「笑いは百薬の長」・・適度な笑いは身心ともに健康によい。「笑いに勝る良薬なし」とも。
・「笑う顔に矢立たず」・・憎いと思っている相手でも、にこやかな顔で接せられては、憎しみも自然にほぐれる。

「笑いはお金のかからない、いちばん身近な健康法」です。なお、笑うことによって、

(1) 脳が刺激され、それが神経へ伝わる。

(2) 神経ペプチドという免疫機能活性ホルモンが分泌。

(3) がん細胞の殺し屋として有名なナチュラルキラー細胞が活性化される。

(4) モルヒネの数倍もの鎮痛作用と快感作用のあるベータエンドルフィンなどのホルモンも大量分泌。

となり、笑うことによって身体が活性化され、免疫力がアップすると言われています。


なお、特に面白くなくても笑顔を作るだけで、脳は「楽しい」と認識して、本当に笑った時と同じような効果があるそうです。気分的に笑えないときでも、多少は無理して笑うといいですね。


■笑いの実践

笑うということは、面白いもの(漫才や落語 他)を見る以外に、以下のようなことでも実践できます。


(1) ユーモア・スピーチ

「ユーモア・スピーチ」は、日本で初めて笑いの医学的効果を証明した伊丹仁朗氏が提唱。身の回りの出来事を素材にして一週間に一つ、面白い話を書き留めながら、家族の前や学習会で話すというもの。

 楽しく笑うことにより血液中のナチュラル・キラー細胞が活性化し、自然治癒力が強まるという医学的効果はもちろん、ユーモアの題材を探すことで意識が外の世界に広がっていくため、内にこもりがちな心を「現実の生活に向け、プラスの方向にもっていく」メリットもある。


(2) 笑顔体操

朝、起きたらまず鏡を見て、笑顔を作る練習をします。

 ・鏡を持って、自分の好きな笑顔を見つけてつくりましょう
 ・目、口、左右対称に笑いましょう(左右対称が大事)
 ・目も笑う(目がなくなるまで笑いましょう)


■笑いの効果

笑いの効果を纏めてみます、笑いには多くの効果があります。

(1) 「笑うことで免疫力がアップ」

笑うと、脳の中から脳内麻薬というものが出て、末梢血管が広がるため、血液の流れがよくなり、末梢まで十分な酸素や栄養分が行き渡り、新陳代謝が活発になって、老化を防いだり、病気を防いだり、体の悪いところを治そうとする免疫細胞が増える。

(2) 「笑いでリラックス」

脳波では、情緒を司る右脳の活性化が見られ、ストレスで左脳を使う人にとってリラックス効果があると考えられています。また、笑いはリラックスしたときに出る脳波の一つ「α波」を増やします。α波が増えると自律神経やホルモンの分泌に好影響を与え、免疫力が上昇します。

(3) 「笑いで生まれるスーパー細胞、ガン細胞をも退治する」

ナチュラル・キラー細胞(NK細胞)は、ガンやウィルスなどを体内で発見するとただちに攻撃して殺しますが、このNK細胞は、笑いで増殖するそうです。人体では1日5000ものガン細胞が生まれていますが、そのガン細胞を破壊するのがNK細胞。

(4) 「脳の血流量が増加して脳硬塞の予防に、痴呆にも効果」

笑うと脳の血流量が増加。血流量が増せば血液の流れがよくなり、脳硬塞の予防や回復に役立ち、痴呆の予防にも役立つ。さらに増えた血流量が脳の働きを活発にすることで集中力も増し、記憶力もアップ。

(5) 「副交感神経を優位にして高血圧を改善・心筋梗塞を予防」

自律神経は交感神経と副交感神経から成り立ち、交換神経はエネルギーを発散させ、副交感神経はエネルギーを貯える役割をしています。笑うと、副交感神経が優位に立ち血圧を下げて心拍や呼吸がゆっくりになり、高血圧や心筋梗塞の予防と改善に役立つ。



インターネットの情報を無条件に受け入れていませんか?

実は、10年以上も前の記事に、”情報の信憑性を意識していますか”というのがありました。今でも十分通用する内容なので、以下に紹介します。何年たってもインターネットの本質は変わらないことが分かりますね。

 参考情報:2002年02月20日
  ネット上の情報はどう料理する?(1) 情報の信憑性を意識していますか All About
  http://allabout.co.jp/gm/gc/297468/


『●情報の信憑性を疑ったことはありますか?

1997年、天文学者クリフォード・ストール氏が書いた『インターネットはからっぽの洞窟』という本が話題になりました。インターネットが爆発的なブームを迎えようとしていたとき、著者はあえてインターネットの信憑性にスポットをあて、ユーザーに警鐘を鳴らしたのです。いわくユーザーは「コンピュータ画面に表示されるものを内容の吟味もせずに無条件に受け入れている」。

この指摘にハッとしている人はいませんか? インターネット上の情報は取り出すのは簡単ですが、「どこに信憑性があるか?」と問われれば明確に回答できない人が多いのではないでしょうか。』(参考情報より)



■ 参考: 「噂(うわさ)」の大きさと対応


「噂(うわさ)」について、アメリカの心理学者オルポートとポストマンが下記の公式を発表しています。

   噂の総量= 重要性 × あいまいさ 

この公式は、

 ・物事が生活に重要なもの
 ・あいまいで理解することが困難なもの

ほど、信頼性の無い「噂(うわさ)」が多く生じるということを示しています。


なお、この公式に、情報の受信側の判断力を考慮し、下記のように考えることもできます。

   噂の総量= 重要性 × あいまいさ × 判断力の少なさ

この公式は、インターネット上の情報が正しいかどうかを判断するときにも利用できます。

つまり、重要な問題ほど、インターネットでも「噂(うわさ)」が広がりやすく、さらに、その情報に対して的確な判断ができず、「この情報、本当かな?」と迷うときは、その情報は信用しないほうが良いということになりますね。

重要問題の場合は、専門家・新聞・官公庁などの信頼のおけるサイトから、複数の情報を入手し、自分の判断力を高めておくことも大事です。


インターネットの情報は本当に正しい? インターネット情報をうまく活用するには

作成:2014/10/25 改訂:2015/8/26

今は、パソコン・スマホを使い、インターネットから情報を入手することが増えています。しかし、インターネットの情報は本当に正しいのでしょうか?

こういう私も、インターネットの情報を日々活用、生活に大いに役立っています。でも、コンピュータなどの技術的なこと、薬などの命に係わること、放射能などの自分には理解できないことは、できるだけ、新聞社、専門家の情報を活用するようにしています。

新聞などのマスメディアの内容は、様々な角度から検討され、より信頼のある内容にして、発信されていますが、インターネットの情報は、だれでも自由に発信できる情報であり、信頼性の低い情報も多いからです。


今後、インターネットはますます利用されると思いますが、これまでの新聞・TVのマスメディアの情報と違い、情報の信頼性が低いことを充分考えて活用することが重要です。

なお、インターネット世界を表した面白い表現があります。

 ・気まぐれな極論が支配する「リスキー・シフト現象」

 ・少数の声高の見解が残り多数の沈黙をもたらす「沈黙のらせん現象」


う~ん、思わず納得ですね。

インターネットの世界は、面白くて意外性のある意見がより多くの人の関心を引き、極端な少数の意見に支配されがちな気がしています。

また、商品などへのコメントも、極端に良い意見・極端に悪い意見を持った人のコメントが多いと感じています。


【インターネットの情報の特徴】

1.過去~現在迄の全ての情報がある

2.誰でも発信でき、主観的で信頼性の低い情報も多い

3.正しい情報、間違った情報、ウソの情報等が入り交じっている

4.速報性を重視するあまり、検証がまだ十分でない情報も掲載される

5.掲載情報の魅力を高めるため、誇張した表現がされている






■ 病気の治療法、インターネットの情報は想像以上に嘘が多い
 

次のブログに、「検索エンジンの順位付けは情報の正確性とは関係ない」とありました。確かに、その通りですね。

 Googleの検索エンジンは医学情報の正確性を評価できないという問題
  - 病院受診マニュアル
 http://byouin-jusin.com/blog-entry-135.html


 

検索エンジンの検索結果で上位にくるのは、①他の記事との関連が多く、②アクセス数が多い記事 が上位にくることが多いです。そのため、「検索結果の上位と情報の正確性とは関係がない」ことになります、忘れがちなことですね。

また、上記の記事には、「病気の治療法、インターネットの情報は想像以上に嘘が多い」として、次のようなことも書いてありました。

『実際に病気の治療法などについてインターネットで調べてみると、医療の現場で働いている私が聞いたこともないような治療法が書いてあったりします。』(上記のサイトから引用)

技術的なこと、命に係わること、などの重要な内容については、インターネットの情報を安易に信用するのは危険ですね。








なお、それ以外にも、インターネットの情報には、下記のように注意すべき点があります。


参考: 美容医療関係、根拠のない治療効果を掲げたりする広告
  根拠ない効果、低価格と誤解…美容医療被害相談が最多 : アラカルトニュース
    : yomiDr./ヨミドクター(読売新聞)
  http://www.yomidr.yomiuri.co.jp/page.jsp?id=120527

脱毛や脂肪吸引など美容目的の医療サービスで、強引な勧誘や健康被害を訴える相談が2014年度、全国の消費生活センターなどに2600件以上寄せられ、これまでで最多になったそうです。

なお、背景には、「低価格」と誤解させたり、根拠のない治療効果を掲げたりする美容外科の広告があり、ホームページ(HP)でも不適切な記載は後を絶たず、厚生労働省は自治体などに監視・指導の強化を呼びかけるとのこと。



参考: インターネットの健康法や食事に関する情報にも注意
  ネットの簡単にできる健康法を鵜呑みにする危険|男の健康|ダイヤモンド・オンライン
  http://diamond.jp/articles/-/77192

ここでは、インターネットの情報にふりまわされて、かえって食事がアンバランスになるのは、なんとしても防ぎたいと説明しています。確かに、健康法や食事に関する情報にも注意したいです。



参考: 個人発信情報に過去の情報や誤解を招く表現
  インターネット上の情報について | 鶴岡市立加茂水族館
  http://kamo-kurage.jp/jyuyo/post-kurage4310/

加茂水族館に関する情報で、一般の情報サイト、また個人のブログ等に掲載されている情報が、過去の情報であったり、誤解を招く表現で、必ずしも正しい情報を掲載していない場合が見受けられると注意しています。個人発信の情報は、あくまでも参考情報として、正式ホームページを確認したほうが良いですね。





■ インターネット情報活用の7か条


以下に、私のこれまでの経験をもとに、インターネット情報の利用方法についてまとめてみましたので、参考にして下さい。

1.情報は全て正しいとは限らない、良いもの悪いものも混在している

2.情報を鵜呑みにせず、うまい話には騙されないよう、常識で判断することも大事

3.情報の提供元が信頼がおけるか必ず確認する

4.情報の日付を確認し、最新情報かどうか確認する
  (検索エンジンの検索結果は、最初にあるものが最新とは限らない)

5.一つの情報源だけで判断せず、複数の情報源から情報を入手し、総合的に判断する

6.速報情報だけで結論を下さず、時間をおいて、その後の継続的な情報から判断する

7.重要な情報は、本・新聞・図書館等で調べたり、専門家の情報を参考にする

2014年10月19日日曜日

ソフトウェアの不具合をねらう"ゼロデイ攻撃"に注意!! その対策とは?

”ゼロデイ攻撃(zero-day attack)”とは,「ソフトウェア(アプリ)の不具合箇所が修正される前に、その不具合を悪用したインターネットからの攻撃」です。

(注)ソフトウェアの不具合箇所は、一般的に”セキュリティ・ホール”と言われます。

つまり、”家の中の無防備な箇所を狙う泥棒”と同じで、無防備な箇所が修復されないうちに、泥棒が入るのが”ゼロデイ攻撃”です。


その為、対策は、

 ①家の無防備な箇所に泥棒を入れないようにすること
   
   不正なファイルを実行しない
   不信なホームページに近づかない

 ②家を補修すること(ソフトを最新版にする)

 ③家を守る(セキュリティ対策ソフトを入れる)

ことが大事です。

”ゼロデイ攻撃”は、様々なソフトウェアの不具合箇所を利用して攻撃してきます。

マイクロソフトのOfficeソフト(Word、Excel、PowerPoint)ばかりでなく、ブラウザ、メールソフト、Adobe Reader、FlashPlayer、RealPlayer、その他、全てのソフトウェアの不具合が狙われます。

完璧に100%正しく動く、ソフトウェアはありません。こんなことを言うと、”えっ、そんな馬鹿な!”という人がいると思いますが、これは事実です。

ソフトウェアといっても、人間が作っているものですから、間違いがあります。”ソフトが100%正しいことは証明できない”とまで言われています。


対策としては、”覚えのないメールに添付されたファイルについては,たとえ送信元が知人や信頼できる組織であっても,安易に開かない”事が大事です。 (注)メール送信先は偽装が可能なので、送信元だけでメール内容を信用するのは危険です。

また、ソフトの修正情報が発表されたら適用すること、セキュリティ対策ソフトのウイルスパターンは最新することなどが大事です。



■ ”ゼロデイ攻撃”とは


ゼロデイ攻撃は二つのパターンに分類できます。

(1) ソフトウェアの不具合の存在を、誰も知らないうちに悪意を持った人が見つけて、そこを利用して攻撃するというパターン

(2) ソフトウェアの不具合が公表されたあと、修正情報が提供されるまでの間に、その不具合を攻撃するというパターン

なお、ソフトの不具合箇所を見つけることは難しく、また、修正情報も遅れることから、この”ゼロデイ攻撃”を防ぐのは、ウィルス対策ソフトでも難しいと言われています。


ゼロデイ攻撃は、メールに添付された不正なファイルや、ホームページにある不正なファイルを実行することなどで被害に会います。

また、細工が施されたホームページにアクセスするだけで被害に会うゼロデイ攻撃や、HTML形式での電子メールのプレビューや閲覧で被害に会うゼロデイ攻撃もあります。

ソフトウェアの不具合を狙って、攻撃する”ゼロデイ攻撃”とは、まるで、家の壊れている所を狙って不審者が入り、家の物を盗んだり、家のあちこちを破壊するようなものですね。



■ ソフトウェアの不具合を狙う”ゼロデイ攻撃”の対策とは


対策の重要なポイントは次の4点です。

(1) 不信なメールに添付されたデータを実行しないこと(不正ソフトが実行される)

(2) 不信なホームページに近づかない(不正ソフトが実行される)

(3) OSやアプリケーションソフトを常に最新状態にしておく(修正情報は適用)。

(4) セキュリティ対策ソフトを導入し、ウイルスパターンは定期的に更新する。



まず第一の対策は、不信なデータは開かないこと(実行しないこと)です。  ”覚えのないメールに添付されたファイルについては,たとえ送信元が知人や信頼できる組織であっても,安易に開かない”事が大事です。

(注)メール送信先は偽装が可能なので、送信元だけでメール内容を信用するのは危険です。

次に大事なのは、怪しいホームページには近づかないことです。不正ソフトが実行される危険があります。

次に大事な対策は、ソフトウェアの修正情報が発表されたら、適用することが大事です。特に、パソコンにはマイクロソフト製品は多数入っているので、この修正情報には特に注意が必要です。

ちなみに、マイクロソフトからは、毎月一回、関連するソフトの修正情報が発表されますので、このときに、できるだけ早く適用することが大事です。

そして、セキュリティ対策ソフトを活用し、ウイルスパターンを定期的に更新し、最新版にすることが大事です。

また、不信なメールのURLを安易にクリックしないこと(不正ホームページに誘導される)、安易にソフトウェアをダウンロードしないことも大事です。


2014年10月16日木曜日

「Dropbox」の不正アクセス防止対策とは 二段階認証の活用とデータの暗号化対策

DropboxのID・パスワードが流出したという事件が発生。今回の事件、Dropbox以外のサービスから盗まれたものであるとのこと。最近は、他社サービスから入手したID、パスワードを利用した不正アクセスが増えており、Dropboxへの不正アクセスが実行される危険性があります。

同じID、パスワードを複数サイトで利用していると、不正に入手された情報で不正アクセスされ危険です。この機会に、重要なサービス、Dropbox、Googleなどは、パスワードを定期的に変更するか、現段階で、最も安全な対応である”二段階認証”を設定する必要があります。


私は、Googleはすでに”二段階認証”をしていましたが、この機会に、Dropboxも”二段階認証”に設定しました。

もし、二段階認証は苦手で言う人は、この機会に、使い回しのID・パスワードをやめて、少なくとも重要なサービスのパスワードは、できるだけ見破られにくいパスワードにして下さい。

なお、パスワードの基本は次です。

・英字の小文字・大文字、数字、記号を混合させ
・8桁以上の長いパスワードを使い
・パスワードを定期的に変更する

■重要なデータは暗号化して保管しましょう!

また、重要なデータを保管する場合は、万が一、不正アクセスなどでの情報流出を考え、ソフトにパスワード機能があれば、その機能を活用したり、データを暗号化して利用することが大事です。

ここでは、私が愛用している、「暗号化圧縮形式Zip」で暗号化する方法と、暗号化に役立つ圧縮・解凍フリーソフト「7-Zip Portable」を紹介します。


■アカウントの不正アクセスがないか確認しましょう!

Dropboxのアクセス状況を確認して、不正アクセスがないかを、時々確認することが大事です。不正アクセスがあったら、すぐにパスワードの変更をしましょう。

①WebブラウザでDropboxにログイン
②右上のユーザーネームをクリックし、「設定」をクリック
③「セキュリティ」タブをクリック
④セッションを確認
  Dropboxにログインしているブラウザ一覧です。
  使っていないブラウザがあったら要注意、×ボタンでリンク解除。
⑤デバイスを確認
  Dropboxと連動している端末(PC、スマートフォン、タブレットなど)一覧です。   使っていない端末名があったら要注意。×ボタンでリンク解除。
⑤リンク済みのアプリを確認
  Dropboxのアクセスを許可された外部アプリです。
  見慣れないアプリは要注意です。×ボタンでリンク解除。




■ Dropboxの2段階認証


Dropboxの2段階認証を有効にすると、Dropboxへのログインに際し、パスワードに加えてセキュリティコードの入力が必要になり、安全になります。

Dropboxの2段階認証は、Webサイトで設定を開き、セキュリティタブで、「2 段階認証」のステータスを有効にして設定を進めます。


なお、Dropboxの2段階認証では、コードの受け取り方法に、

 ①携帯端末にテキストメッセージを送る方法
 ②モバイルアプリで2次元バーコードで読み取る方法

の二つがありますが、私が10月に試した段階では、②の方法が簡単でした。

私は、②の方法で実行し、アプリ「Google Authenticator」をインストール後、このアプリを使って、コードをバーコードでスキャンし読み取り、入力しました。

なお、2段階認証が完了時に、「 2 段階認証を無効にすることができる、緊急用バックアップ コード」が使用されるので、これを必ず記録して下さい。

最終手段として、緊急バックアップ コードと自分のパスワードを使用して 2 段階認証を無効にすることができます。

 緊急バックアップ コードを使用してアカウントを復元する

 ①Dropbox ウェブサイトにログインします (メール アドレスとパスワードを使用)。
 ②セキュリティ コードの入力を求められた場合、[ スマートフォンを紛失] を
  クリックします。
 ③緊急バックアップ コードを入力して 2 段階認証を無効にします。


以下に、Dropboxの2段階認証の詳しい方法が掲載されていますので、参考にしてください。これはスマホiPhoneの例ですが、Androidでも同じような方法です。

 Dropboxに重要データを保存している人は今すぐ2段階認証を設定しましょう!
  - iPhone女史
 http://www.iphone-girl.jp/2014/07/362804/



■ 重要なデータを保管する場合は暗号化して保管


暗号化する方法として、私が一番気に入っているのが、下記の方法です。

 ”一般的に使われている「暗号化圧縮形式Zip」で暗号化”
 
暗号化圧縮形式Zipは、一般的な圧縮形式であり、このデータ形式をサポートする様々なソフトがあります。

もし、特殊な暗号化ソフトを利用した場合、このソフトが利用できなくなると、復号化してもとに戻せなくなりますので、要注意です。

実は、以前、便利な暗号化ソフトを利用ししていましたが、この時、パソコン環境を変更した際、このソフトが使えなくなり、データを元に戻すのに(復元するのに)、苦労したことがあります。そのときの反省も踏まえ、今は、利用ソフトに依存しない、「暗号化圧縮形式Zip」で暗号しています。



■ お薦めの暗号化対応 圧縮・解凍フリーソフト「7-Zip Portable」
■  (海外:日本語対応)

「7-Zip Portable」は、USBでも使えるポータブルタイプのフリーの圧縮・解凍ソフト。このソフトは、高圧縮率を実現し、ポータブルタイプの圧縮・解凍ソフトでは、代表的な人気のあるソフトです。専用の形式「7zフォーマット」に対応するほか、各種の圧縮・解凍形式をサポートしています。

強力な「256AES 暗号化機能」、自己解凍形式、ファイルの分割・結合、テストの実施、お気に入り機能などをサポートしています。

7-Zipについては、下記のホームページを参照下さい。

 7-Zipのホームページ(日本語)
 http://sevenzip.sourceforge.jp/

7-Zipは”2画面分割で使うと操作が便利になります、また、圧縮形式ZIPにパスワードを付ける方法は下記を参照下さい。

 ZIPにパスワードを付ける方法
 http://sevenzip.sourceforge.jp/howto/zip-password.html




■ DropboxユーザーのID・パスワード700万件が流出?


 DropboxユーザーのID・パスワード700万件が流出? Dropboxは自社からの流出を否定
  - ITmedia ニュース
 http://www.itmedia.co.jp/news/articles/1410/14/news097.html

この、ITmedia ニュースによると、数百件のDropboxのIDとパスワードだという情報がネット上に掲載され、掲載した人物は約700万件のアカウント情報を入手したと述べ、今後掲載する可能性をほのめかしているそうです。

 Dropbox、ハッキングされたことを否定--パスワード700万件流出の疑いに対して見解
  - CNET Japan
 http://japan.cnet.com/news/service/35055138/

なお、CNET Japanニュースによると、Dropboxは、ブログ上に次のような声明を出し、Dropboxのパスワードが「無関係のサービス」から盗まれたものであることを明言したそうです。

『ユーザー名とパスワードは、Dropboxではなく無関係のサービスから盗まれたものである。(中略)われわれは、疑わしいログイン活動を検出するための対策を講じており、それが生じた場合には自動的にパスワードをリセットする。

 このような攻撃は、われわれが複数のサービスでパスワードを再利用しないようにとユーザーに強く推奨する理由の1つである。セキュリティをさらに強化するために、われわれは常に、アカウントに対する2段階認証を有効化することを推奨している。 』


2014年10月5日日曜日

Yahoo!メールのメールトラブルから学ぶ、Webメール利用時の注意点

Yahoo!メールが、(2014年)9月30日午前9時~10月4日午前7時までの、5日間という長期間にわたりトラブルが発生し、全ユーザー(約5000万ID)のうち、約8%のユーザー(約400万ID)のメール利用者に支障が出ました。

 Yahoo!メールで発生したアクセス障害について - ヤフー株式会社
 http://docs.yahoo.co.jp/info/notice/140930.html

今回のトラブル、Webメールの信頼性、危うさを感じさせるものでした。メールは利用者の日々の生活に不可欠であり、このようなツールが、5日間も使えないというのは、尋常ではありません、異常事態です。

今回のYahoo!メールのトラブルは、Yahoo!システム、Webメールって安心して使えるの?と疑いたくなるほど、影響が大きいですね。


私の知人も、このトラブルに巻き込まれ、最初は、自分のパソコンのトラブルだと思い、いろいろ悩んでいました。結局は、Yahoo!メールのトラブルと分かりましたが、その後、何日間もメールが使えず、困っていました。

なお、知人には、このような時のために、Yahoo!メールに加え、Gmailも使うように勧めました。

私は、Yahoo!の機能は便利なので、Yahoo!メール、Yahoo!知恵袋、Yahoo!ボックスなどを使っていますが、Yahoo!システムは、不安定なことが多いですね。

今回のYahoo!メールのトラブル、

 今後ともYahoo!メールを使っても大丈夫なの?
 Webメールって安心して使えるの?

と考えさせる重大な問題です。




■ Yahoo!メールはWebメール、その特徴とは


このYahoo!メール、Gmail、Outlook.comと同じWebメールで、通常は無料で使用し、大変便利なものです。そのため、多数の人が利用しています。

なお、Webメールは、プロバイダや携帯会社が提供するメールと違い、以下の点が特徴です。

  メールデータ・アドレス帳など全てのデータの保管は、
  インターネットのコンピュータの中


つまり、通常のメールと違い、Webメールの場合は、メールに関するデータが全て、インターネットのコンピュータ(サーバー)の中に保管されています。

利用者は、このコンピュータに保存されたメールデータをブラウザで参照するだけです。

この為、Yahoo!メール、Gmail、Outlook.comなどのWebメールは、多数のサーバ、大容量のハードディスクなどの、大きなコンピュータ・リソースを必要とします。そのため、システム設計・運用が大変難しいと思います。

その意味から言っても、今回の事件で、Yahoo!メールのシステムが、システム全般の問題点を検討していなければ、同じ問題が再発すると思います。

ぜひとも、再発防止のため、今回のトラブルの真の原因を追究し、その内容を利用者に公開し、システム全般の見直し・検討を進めてもらうよう、切に祈るばかりです。



■ ”Webメール”使用時の注意事項

”Webメール”を使う場合に、私が注意している事項を以下に紹介します。

なお、無料で使えるWebメールですが、メール内容はインターネットのサーバに残るので、クレジットカード番号などの重要な個人情報のメールのやり取りは避けるなど、注意することもあります。

  「便利な裏には必ず危険もあり」です!!


(1) 急にサービスが停止する場合があるため、出来るだけ多くの人が利用し評判の良い大手提供のサービスを使用する。

(2) 完璧なWebサービスはありません、利用できないトラブルが発生し利用できない場合を予想し、複数の”Webメール”サービスを利用しましょう。

(3) メール内容は、インターネットのサーバに残るので、クレジットカード番号などの重要な個人情報のメールのやり取りは避ける。

(4) 数カ月連続して利用しないと、メールデータ、アドレス帳が削除されます、必ず有効期限を確認しましょう。

(5) 共用のパソコンでは利用しない、ブラウザの履歴から他人に使われる可能性がある。

(6) 迷惑メールは自動的に判別してくれるますが、時々、間違って迷惑メールと判断される場合があるので、定期的に迷惑メールを入れるフォルダーを確認する。



■ お勧めの代表的な”Webメール”


以下は、お勧めの無料のWebメールサービスです。いずれも大手の企業の提供です。

一番のお勧めはGmailですね。数年間、利用していますが、大きなトラブルはありません。また、メール表示、検索などの動作が早く、表示も見やすいですね。なお、Android(アンドロイド)スマホを持っている人には、Gmailは必須なアプリだと思います。

あと、Microsoft提供のOutlook.com、Yahoo!メールもお勧めですが、今回のYahoo!メールのトラブルもあり、Yahoo!メールは△です。


なお、Webメールを使うには、該当のホームページで登録し、アカウント(ユーザID)を入手し利用します(無料)。


◎(1) Gmail  :検索エンジンGoogleの無料Webメール

   http://www.google.com/intl/ja/mail/help/about.html


○(2) Outlook.com (旧)Windows Live Hotmail :Microsoftの無料Webメール

   http://www.microsoft.com/ja-jp/outlook-com/


△(3) Yahoo!メール :検索エンジンYahoo!の無料Webメール

   http://promo.mail.yahoo.co.jp/



また、上記サービスのメール容量も、(2014年9月時点で)

 Gmailが15GB(Gmail、Google ドライブ、Google+ フォトの合計)
 Outlook.comは実質上、無制限(必要に応じて自動追加)
 Yahoo!メールが10GB

と大きいため、長期間、不自由なく利用することができます。



■ メールソフトとWebメールとの違い


メールソフトとWebメールの違いを、簡単にまとめると以下になります。

(1) メールソフトの特徴

  ・インターネット・プロバイダからメールアドレスを入手して開始

  ・パソコンにソフトをインストールして利用

  ・メールデータ・アドレス帳の保管はパソコンの中

  ・パソコン専用のソフトであり、スマホ・携帯からは利用不可

(2) Webメールの特徴

  ・簡単な無料会員登録をすれば利用可能

  ・ブラウザでサービス提供のホームページを通じて利用

  ・メールデータ・アドレス帳の保管は、インターネットのコンピュータの中

  ・スマホ・携帯からでも利用可能



■ Webメールの特徴は?

(1) ユーザ登録するだけで、”無料”で利用することができる

(2) 専用のメールソフトが不要

(2) ブラウザから、特定の(Webメール)ホームページにログインして使う

(3) メールデータは、パソコンの中ではなく、インターネットの中に保存される

(4) パソコンに加え、スマホ・携帯電話からでも使える

(5) 迷惑メールは自動判断して排除する

(6) ウイルス駆除まで実施してくれる、Webメールサービスもある

の特徴があります。

”Webメール”、次々と機能アップがされ、無料で使えるメール容量も数GBと大きく、迷惑メール対策も備え、スマホ・携帯からでも利用できるなど、使い勝手も大幅に改善されています。


2014年10月4日土曜日

無線LAN、暗号化方式のWPA・WPA2を使わないと危険!

無線LANは”線がなく”便利ですが、有線LANと違い、盗聴される危険があるので、安全対策が必要です。

最近は、スマホ購入時に、レンタルWi-Fiルーターを無料で使え(ドコモ「Home Wi-Fi」、au「HOME SPOT CUBE」)、簡単に無線LANが使えるようになりました。

なお、無線LANは「無線」なので、スマホやパソコンの通信は”線無し”、つまり、TVやラジオのように電波で通信します。但し、無線LANの場合は、TVやラジオのような長距離ではなく、短い距離での通信になります。

私も、無線LANを活用している一人ですが、「WEP・WPA・WPA2」という言葉があり、最初はチンプンカンプンでした。「WEP・WPA・WPA2」は無線LANを安全使うもので、”電波で通信するデータを暗号化する”方法です。

盗聴されても問題が無いようにするためには、データを暗号化する「WEP・WPA・WPA2」を利用することが必要です。

なお、「WEP」→「WPA」→「WPA2」の順に、暗号化方式は進化しています。

  WEP ≪ WPA < WPA2   *右に行くほど暗号が強い

暗号の強さ(解読されない)は、このようになっています。WEPによる暗号は、簡単に見破られるので、あまり使用しないほうが良いです。

少なくとも、パソコンやスマホは 「WPAまたはWPA2」 で接続する必要があります。


また、暗号化アルゴリズムにTKIP、AESがあり、WPA2として「WPA2-TKIP」「WPA2-AES」がありますが、強力なAES を使う「WPA2-AES」が最も安全です。

なお、「WPA2-TKIP」「WPA2-AES」は、それぞれ「WPA2-PSK(TKIP)」、「WPA2-PSK(AES)」と表現されることがあります。


■暗号化方式「WEP」は安心して利用できない!

2008年の下記の情報によると、WEPの暗号キーは1分以内にも解読できてしまうそうです。これでは安心して使えません。

 参考情報:2008年07月28日
 記者の眼 - 無線LAN、WEPでは危ないってご存知ですか?:ITpro
 http://itpro.nikkeibp.co.jp/article/OPINION/20080722/311280/


また、2008年の下記の情報によると、当時発売された輸入品のUSB無線LANアダプタ「GS-27USB」には、「付属ソフトでWEPキーを解読する手順」が書かれたマニュアルが付属していたそうです。

 参考情報:2009年10月17日
 WEPの危険度がさらに拡大、解析ソフトつきの無線LANアダプタが発売される
 http://akiba-pc.watch.impress.co.jp/hotline/20091017/etc_gsky.html



■ 無線LANの安全対策(セキュリティ) 「WEP」「WPA」「WPA2」


無線LANは、通信を無線で行うため、傍受される危険性が高いので、通信される情報を適切に保護する必要があり、そのために、暗号化方式として、「WEP」「WPA」「WPA2」があります。

安全性から言えば、以下のようになります。「WEP」は暗号化方式としては最も古く、解読される危険性が高いので、出来るだけ「WPA2」方式を利用して下さい。

  ” WEP ≪ WPA < WPA2 ”

WPA2として「WPA2-TKIP」「WPA2-AES」がありますが、強力な暗号化アルゴリズムであるAES を使う「WPA2-AES」が最も安全です。



■WEP・・・暗号化の鍵が固定されており時間をかければ解析される危険性有り

暗号化に使用される鍵は、パスワードを変更しない限り同じものが使用され続けるため、解析された場合に、長期間に渡って通信を傍受されるおそれがあります。強度を高めた方式もありますが、鍵が固定であるため、時間をかければ解析できるという危険性を持っています。


■WPA・・・WEPの強化版となる暗号化方式

TKIPと呼ばれる暗号化アルゴリズムの採用が義務化され、さらに高い安全性を持つAESと呼ばれるアルゴリズムの採用も可能となっています。


■WPA2・・・WPA2は WPAの後継規格で、AESの採用が義務化され2004年に標準化

WPAの改良版であるWPA2では、より強力な暗号技術であるAESを採用しているため、WEPやWPAの欠点が全て解消されています。

なお、WPA2ではAESが義務化されていますが、WPA2準拠でもTKIPを使用することが可能となっています。セキュリティ強度の高さからすれば、AESを使用するのが望まれます。



■ 《補足》TKIP/AESは暗号化アルゴリズム

WPA = TKIP、WPA2 = AES ということではなく、WPA、WPA2それぞれTKIP、AESのいずれかの暗号化アルゴリズムが使用可能です。

つまりWPAとして「WPA-TKIP」、「WPA-AES」、WPA2として「WPA2-TKIP」「WPA2-AES」が暗号化の方式として選択可能ということになります。


■TKIP


TKIPは Temporal Key Integrity と呼ばれ、秘密鍵を一定パケット数毎に更新することで、セキュリティ強度を高めた方式です。しかし、暗号化にRC4を使用しているためセキュリティ強度に不安が残り、解析ツールによってセキュリティが破られるおそれがあります。

■AES

AESは Advanced Encryption Standard と呼ばれ、アメリカ政府も採用している暗号化で、解読が不可能とされています。現在、最も信頼できる暗号化技術とされていますので、セキュリティ向上の観点から、強く推奨される方式です。



■ ≪補足≫PSK(プリシェアードキー、Pre-Shared Key)とは認証方法


WPAやWPA2では、通信中に暗号キーが自動的に変更されますが、一番最初の設定ではアクセスポイントと子機に共通の文字列(キー)を入力して接続を確立します。

この認証方法を PSK (プリシェアードキー)といいます。

これはPSKという事前共有鍵を用いて認証します。PSKはパスワードと同じと思ってよく、通信の暗号化に使うする鍵ではなく、単なる認証用の合言葉と考えたほうがよいですね。

WPAやWPA2は認証方式を活用しているため、家庭内LANの場合、「WPA-PSK」、「WPA2-PSK」と表現されることが多いですね。

そのため、WPA2の場合、暗号化アルゴリズムの「WPA2-TKIP」「WPA2-AES」と合わせ、それぞれ「WPA2-PSK(TKIP)」、「WPA2-PSK(AES)」と表現されることがあります。


2014年9月25日木曜日

緊急地震速報を装った迷惑メール発生中!! メールの中のURLはクリックしない!!

気象庁の発表によると、緊急地震速報を装った迷惑メールが出回っています!! メールの中のURLをクリックすると出会い系サイトなどの危険なサイトに誘導されますので、注意下さい。

 平成26年9月24日
 緊急地震速報を装った迷惑メールにご注意下さい   気象庁|報道発表資料
 http://www.jma.go.jp/jma/press/1409/24a/eewmail_20140924.html

この中で、緊急地震速報を装ったメールや、緊急地震速報を装ったSNSの投稿などについて、URLをクリックしないよう、注意されています。

また、気象庁の発表によると、これまでに寄せられた迷惑メールの一例は以下のような内容です。なお、メールには、危険なサイトに誘導するためのURLがあります。決して、このURLをクリックしないで下さい!!


■迷惑メールの例:


[緊急地震速報が発表されました。これから強い揺れが来ますので十分警戒してください
。(気象庁発表)]

「地震の影響により津波が発生する恐れがあります。今後の情報に注意して行動してください。」

なお、迷惑メールには次のようなリンクが示されていますが、このURL(リンク)をクリックしないでください。もし、このリンクをクリックすると出会い系サイトや危険なサイトに誘導されます!!

「※詳細はコチラよりご確認頂けます
 ※http://○○○○○       」



■迷惑メールとは

迷惑メールは、「スパムメール」や「ジャンクメール」とも呼ばれています。簡単に言えば、”一方的に送られてくる、不正なメール”です。

この迷惑メール、実は、ウイルス、スパイウェア、フィッシング詐欺、振り込み詐欺などの危険がつまった”悪の温床”です。十分注意しなければなりません。

迷惑メールは、地震や有名人に関する世界的な事件が発生したり、クリスマス、年末・年始のイベントの際には、これらを利用した迷惑メールが増えるので、更に注意が必要です。

迷惑メール、以前は、”迷惑メール=外国語のメール”だったのですが、最近は違います! 日本語でも、バンバン迷惑メールがきます。


■迷惑メールは「悪の温床」、その対策とは?

迷惑メールは年々巧妙になっており、数年前までは、あきらかに迷惑メールと分ったものが、最近では判断が難しくなっています。

「エッ! なんでこんなメールがくるの?」と思ったら、それは迷惑メールと考えたほうがよいです。

なお、どうしても気になるなら、ブラウザで必要なサイトを確認したほうが良いですね。決して、メールの中のURLをクリックしてはいけません。


  迷惑メールの基本は、 ”無視し、何もせず、そのまま削除する” こと
  
  迷惑メールのURLをクリックするのは× 絶対にダメです
   (不正なサイトに誘導されます)

  迷惑メールに返信するのは× 絶対にダメです
   (メールアドレスがばれます)

  迷惑メールの添付ファイルを実行するのは× 絶対にダメです
   (ウイルスに感染します)



例えば、迷惑メールに腹を立て、「こんなメールは送信しないで欲しい」と抗議のメールを返信したら、悪徳業者のメールリストに記録され、迷惑メールの餌食になります。

2014年9月23日火曜日

他人が写った写真を勝手に公開していませんか? これは肖像権侵害です!

インターネットで。他人の文章や画像を使ったり、他の人が写った写真を公開すると、最悪の場合、法律違反で罰せられたり、他の人から訴えられるので、注意ください。

最近は、Facebook、twitterなどで写真を公開している人が多いと思いますが、友人含め他人が写った写真を勝手に公開していませんか?

実は、これは、「肖像権(しょうぞうけん)」または「パブリシティ権」という権利を侵害することになり、最悪は訴えられるので、注意が必要です。


なお、他の人の文章や画像などを勝手に使うと「著作権法」違反になりますが、この「著作権法」に関連して、他人が写った写真を勝手に公開してはいけないという「肖像権」があります。今回は、この肖像権について紹介したいと思います。

また、有名人の写真を勝手に公開すると、「パブリシティ権」という権利も侵害することになります。

有名人は、写真だけでも経済的な効果があり、それを侵害するというものです。この「パブリシティ権」についても紹介します。




■ まずは著作権から


作成した画像、文章、音楽データ等(著作物)は作成者(著作権者)のもので、法律「著作権法」で守られている著作物です。

その為、他人が作成したものを、自分のホームページ・ブログ・SNS等に、勝手に利用してはいけません。勝手に利用することは、”複製権(コピーして利用する権利)”などの著作権で規定された権利を侵害し、著作権に違反したことになります。

著作権法に違反した場合、以下のように重い罰則が科せられますので、十分注意しなければなりません。


(1) 著作権・出版権・著作隣接権の侵害
   ・・・10年以下の懲役又は1,000万円以下の罰金

(2) 著作者人格権・実演家人格権の侵害
   ・・・5年以下の懲役又は500万円以下の罰金

なお、従業員が著作権法に規定する犯罪を行った場合には、行為者本人だけでなく、その使用者である法人も共に罰せられます。法人に対する罰金は引き上げられ、3億円以下の罰金と巨額です。

なお、インターネット上に公開してある画像等で、”フリー(自由に使って下さい)”と表示されている場合は利用が可能です。

但し、画像利用が”フリー”の場合でも、画像サイズを小さくしたり色を変えたり等の編集を禁じている場合がありますので、”フリー”の場合でも"画像の利用時の注意事項"を充分確認下さい。



■ 肖像権(しょうぞうけん)とは


「肖像権」というのは誰でも持っている権利で、むやみに自分の写真や名前などを公表されて、嫌な思いをしないための権利です。

各個人は、人格的権利の一貫として、自分の顔写真や肖像画(似顔絵も含む)は、自分の知らないところで勝手に使われないようにする権利を持っています。

従って、他人を映した写真、肖像画の類をWebページ等に掲載する場合には、映っている本人の許諾が必要です。

街を歩いている人を撮影した場合も、その人の許可なく勝手に写真を掲載できません。

親しい友人であっても、本人の了解をとるのがエチケットです。この肖像権は、どこの法律にも出てきませんが、著作権法上の問題として良く議論されます。


なお、写真などに誰かが写ってしまった場合、プライバシーを侵害していないかどうか考え、バランス感覚で柔軟に判断したら良いと思います。詳しくは、下記のホームページを参照下さい。

 肖像権とパブリシティー権 プライバシーとタレントの権利
 http://cozylaw.com/copy/wadai/publicity.htm



■ パブリシティ権とは


さらに、タレント等の有名人の場合、顔写真や名前を使って利益を得ることができるので、肖像権以外に、パブリシティ権というものがあります。

パブリシティ権は、有名人の氏名・肖像は、コマーシャル等に利用することで経済的な利益を上げることができるので、それを保護しようというものです。

そのため、有名人の写真を無断でホームページ・ブログ・SNS等に使用することは、パブリシティ権の侵害となるので、基本的に有名人の写真は載せてはいけません。


有名人の写真を利用する場合には、写真の著作権者のみならず、写真の被写体である有名人の承諾も得なければなりません。



■ 肖像権(しょうぞうけん)(補足)


肖像権(しょうぞうけん)~自分の肖像を他人に使わせない人格的権利のこと

肖像権について、以下のホームページに分かりやすい解説がありましたので、以下に紹介します。

 肖像権とパブリシティー権 プライバシーとタレントの権利
 http://cozylaw.com/copy/wadai/publicity.htm

人には自分の肖像を他人に使わせないで独占する権利があり、これが肖像権と呼ばれています。なお、関連する法律は、民法第709条です。

  民法第709条 
   『故意又は過失によって他人の権利又は法律上保護される利益を侵害した者は、これに
    よって生じた損害を賠償する責任を負う。』

民法第709条は不法行為による損害賠償についての定めです。プライバシーは「法律上保護される利益」にあたり、肖像も同じように保護されるべきであると考えられています。

なお、上記のホームページには、以下の説明があります。写真などに誰かが写ってしまった場合、プライバシーを侵害していないかどうか考え、バランス感覚で柔軟に判断したら良いと思います。

『被写体が風景の一部として溶け込んでいたり、画像がボケていて誰なのかがわからない場合など、被写体になった人物に迷惑がかからないようなときには肖像権の問題にならないでしょう。』



■ パブリシティー権 (補足)


パブリシティー権~顧客吸引力がある肖像や名前の利用を専有する権利のこと

パブリシティ権は、芸能人の写真を勝手に撮影されたり、その写真を本人の承諾も無く勝手に販売されるようなことを妨げる権利です。

肖像権と比較して言うと、一般人と比べ有名人の名前や肖像には経済的価値があるため、この経済的利益を排他的に支配する財産的側面を認めたものです。

なお、「女性自身」の記事が、歌手のピンク・レディーの写真を無断で使い、「パブリシティー権」を侵害されたとして訴訟された事件の最高裁判決(2012-02-02)が以下に説明されていましたので、紹介します。

 パブリシティー権、最高裁で認められる [法務コラム]|企業法務ナビ
 http://www.corporate-legal.jp/houmu_news607/
 
今回の判決は、パブリシティー権が法的権利であると最高裁判所が初めて認めた重要なものです。

最高裁判所小法廷は判決理由で、パブリシティー権を「(著名人などの)商業的価値に基づく人格権のひとつで、顧客吸引力を排他的に利用する権利」と初めて定義。

そして、パブリシティー権侵害になる具体的ケースとして、

 (1)肖像それ自体を鑑賞対象とする商品に使う
 (2)商品の差別化に使う
 (3)商品の広告として使う

――など「専ら顧客吸引力の利用を目的とする場合」と説明。

一方、著名人は社会の耳目を集めやすく、報道や創作物など正当な表現行為で氏名や肖像を使われるのは一定程度、受忍すべきだとも指摘。

その上で、今回の記事は、ピンク・レディーそのものを紹介する内容ではなく、ダイエット法などを紹介する程度にとどまっているとして「顧客吸引力の利用が目的ではない」と結論付け、原告側(ピンク・レディー)の敗訴が確定しました。


■ 肖像権が侵害されたときの対応 (補足)


肖像権侵害を受けた場合、以下の対応ができます。

① 画像や動画の利用差し止め請求
差し止め請求をすることによって、画像や動画の削除を求めることが可能です。

② 損害賠償請求
肖像権侵害によってこちらは精神的な苦痛を被ることになるので、その賠償として慰謝料請求することができます。

 参考情報:
 プライバシー権侵害と肖像権!他人にSNSで勝手に個人画像を載せられた | 弁護士相談Cafe
 https://www.fuhyo-bengoshicafe.com/bengoshicafe-12255.html


なお、差し止め請求をしたり損害賠償請求を、個人でするのはとても大変なので、ネット問題に強い弁護士に対応を依頼することが大切ですね。以下を参考にしてください。

 参考情報:
 肖像権トラブルの対処方法や弁護士解決事例 - 弁護士ドットコム
 https://www.bengo4.com/houmu/17/1267/

2014年9月20日土曜日

メールを利用し、オンラインバンキングの個人情報を盗み出す詐欺に注意!!

これまでも何度なく発生している、ウソのメールで、不正なホームページのURLをクリックさせ、個人情報を盗む「(メールでの)フィッシング詐欺」が、またしても発生しました。

 三菱東京UFJ銀行をかたるフィッシングがまた発生、個人情報は入力しないで
  -INTERNET Watch

 http://internet.watch.impress.co.jp/docs/news/20140919_667682.html


なお、このウソのメールは、「銀行のシステムがアップグレード(更新)されたので、直ちに、ご登録してください」というものです。

  「システムが変わったから再登録してください」
  というようなメールが、銀行などから来ることはありません!!

  このようなメールは無視してください!!


また、銀行からのメールだからと言って安心してはいけません。

銀行からのメールの場合、まずは、落ち着いて、このメールが本当に正しいのか、ダマそうとしていないか、じっくり確認してください。

  もともと銀行などからのメールは、お知らせメールだけです。
  「再登録してください」「返信ください」などといった、
  行動を要求するメールはありません。

「何か、行動をしてください」というようなメールは、ウソのメールだと考えても間違いはありません。


なお、今回の個人情報を盗む「フィッシング詐欺」、下記に詳しい説明があります。

 フィッシング対策協議会 Council of Anti-Phishing Japan |
 三菱東京UFJ銀行をかたるフィッシング(2014/09/19)
 https://www.antiphishing.jp/news/alert/ufj20140919.html

このサイトによると、以下のウソのメールが来て、メールの中のURLをクリックすると、ウソのホームページに誘い出され、個人情報を盗まれます。
『こんにちは!
最近、利用者の個人情報が一部のネットショップサーバーに不正取得され、利用者の個人情報漏洩事件が起こりました。
お客様のアカウントの安全性を保つために、「*****銀行システム」がアップグレードされましたが、お客様はアカウントが凍結されないように直ちにご登録のうえご確認ください。

以下のページより登録を続けてください。

https://・・・・・・・・・・・・・・・・・・・・・・・・・』



■フィッシング詐欺とは

よく話題になる、「フィッシング詐欺」とは、だまして偽りのホームページに誘い、個人情報を盗む詐欺行為です。

   フィッシング詐欺は、インターネット版の「振り込め詐欺」

と呼ばれています。

フィッシング詐欺の多くは、

  正規の銀行などからのメールを装い、
  メールに書かれたURLをクリックさせることにより、
  ウソの金融機関やショッピングサイトなどにユーザを誘導し、
  クレジットカード番号やパスワードなどをだまし取ります。

年々その手口は巧妙化しています。


なお、フィッシング詐欺は"phishing"と書き、"fishing"と同じ発音ですが、魚釣り(fishing)ではありません。

ユーザーを「釣る(fishing)」と、その手法が「洗練されている(sophisticated)」の造語です。フィッシング詐欺は「甘い餌で人を釣る」ことですから、イメージ的には魚釣り(fishing)と合いますね。

以下の3点は、ウィルス対策全般に基本的なことですが、「フィッシング詐欺」対策でも大事なことですね。


 1.メールを完全に信用しない、あやしいメールは無視して即削除する

 2.少しでも怪しいリンクはクリックしない

 3.個人情報を安易に入力しない


2014年9月19日金曜日

「LastPass」などのパスワード管理ツールに潜む危険性、研究者が指摘! パスワードの管理方法とは?

「LastPass」などのWeb版のパスワード管理ツール、人気があり、以前から使いたいと思っていました。しかし、登録したパスワードが自分の知らないところに保存されるので、何か不安で利用するのをためらっていました。

なお、2014年07月17日発表の記事によると、米カリフォルニア大学バークレー校の研究チームが、「LastPass」などの代表的なWeb版のパスワード管理ツールにも欠陥があると報告しています。

また、2016年01月19日発表の記事によると、米セキュリティ研究者が、「LastPass」の欠陥を発見し、フィッシング詐欺攻撃で、LastPassに保存された全パスワードが盗まれる危険があるとのこと。


やはり、Web版のパスワード管理ツールにも問題があるようです。どんなシステムにも、「100%安全なシステムは無い」という前提で、活用方法を考えたら良いですね。


なお、パスワードが増え管理が大変だから、それを一カ所で管理し、いつでも簡単に使えるようにしよう・・・というのがWeb版のパスワード管理ツールです。

では、一カ所に管理・保管されたパスワード、本当に悪用されたり、盗まれたりしないの?と疑問になります。このような不安や疑問を持っていたら、2014/07/17記載の下記の記事に、『Web版のパスワード管理ツールに潜む危険性、研究者が指摘』とありました。

 Web版のパスワード管理ツールに潜む危険性、研究者が指摘 - CIOニュース:CIO Magazine
 http://itpro.nikkeibp.co.jp/atcl/idg/14/481709/071700003/


米カリフォルニア大学バークレー校の研究チームが、Web版のパスワード管理ツールのセキュリティを調査し、懸念を指摘しています。今回調査したパスワード管理ツールは、「LastPass」「RoboForm」「my1login」「PasswordBox」「NeedMyPassword」の5種類。いずれも人気のあるサービスです。

研究チームによると、調査した5種類のツールすべてで欠陥や不備が見つかったそうです。全体として、あまりに多様な脆弱性が見つかったことから、パスワード管理ツールがセキュリティに関して失策を犯していると研究チームは捉えているようです。



追記:2016年01月19日

 パスワード管理のLastPass、フィッシング攻撃でパスワード流出の恐れ - ITmedia エンタープライズ
 http://www.itmedia.co.jp/enterprise/articles/1601/19/news053.html


パスワード一元管理サービス「LastPass」のユーザーにフィッシング詐欺攻撃を仕掛けて、LastPassに保存された全パスワードなどの情報にアクセスできる手段が発見されたと、米セキュリティ研究者のショーン・カシディ氏が発表。

LastPassは1月18日、この発表を受けてフィッシング詐欺防止のための対策を講じたことを明らかにしたが、カシディ氏はこの対策について、「これでLostPass問題の大部分は緩和されるものの、完全に排除できるわけではない」と評しているそうです。


追記:2015年06月16日

 パスワード一元管理のLastPassにハッキング、情報流出も - ITmedia エンタープライズ
 http://www.itmedia.co.jp/enterprise/articles/1506/16/news050.html


米LastPassは6月15日、LastPassアカウントの電子メールアドレスや認証ハッシュなどがハッキングされたと発表。流出したのはアカウントの電子メールアドレスやパスワードリマインダー、ユーザーごとのソルト、認証ハッシュなど。

一方、暗号化されたユーザー保管庫のデータが盗まれたり、ユーザーのアカウントに不正アクセスされたりした痕跡は見つかっていないと強調。保管庫に保存された他のWebサイトのパスワードも無事だったということです。

でも、やはり、不安ですよね。パスワードは、やはり自分自身で保管するのが良いかもしれません。



■ 100%安全なシステムを構築することは不可能、Web版のパスワード管理ツールは不安


以前聞いた話に、「100%完全なソフトを作ることは不可能」というのがありました。人間がソフトを作り管理している以上、「100%安全なシステムを構築することは不可能」だと思います。

「LastPass」「RoboForm」など、確かに便利なパスワード管理サービスですが、このようなシステムも100%完全ではなく、不備や欠陥は存在すると考えたら良いと思います。


なお、パスワード管理サービス以外のクラウドサービスも同じで、必ず不備や欠陥は存在し、100%安全なシステムはないと思います。

しかし、Webサービスなどのクラウドサービスは、便利な面もたくさんあります。

「100%安全ではない」という前提で、例えば、インターネットには暗号化して保存するとか、2段階認証を設定するなど、活用方法を考えたら良いですね。



■ パスワードをどうやって管理するか?


長年、どうやってパスワードを管理するか考えてきて、今、私が実施している方法を以下に紹介します。なお、これでも100%安全とは言えませんが、少しでも参考になれば幸いです。


(1) 各種ログインID・パスワード一覧を、自分が普段使っているソフトで作成する。
   *この時、ファイル自体にパスワードをかける

(2) (1)で作成したログインID・パスワード一覧を暗号化Zipで圧縮&暗号化する。
   *データの紛失を考え必ず暗号化する

(3) (2)の暗号化Zipファイルを(2段階認証を実施した)オンラインストレージ「Dropbox」に保管する。
   *オンラインストレージ保管なので(1)、(2)で暗号化し、不正ログインを防止するため、

     2段階認証にすることが大事です。


(4) 万が一を考え、大事なログインID・パスワードのみを特別な小型ノートに書込み手元に置いておく。
   *小型ノートの紛失を考え、サービス名・ログインID・パスワードが類推されないよう

    注意する。例えば、パスワードは逆に記載するとか。




(1) 各種ログインID・パスワード一覧作成

私は簡易的なデータベースソフトを使用していますが、例えば、Microsoftの表計算ソフト(Excel)や無料のオフィスソフト「LibreOffice」の表計算ソフトでも良いですね。

なお、表計算ソフトを使う場合には、万が一のことを考え、作成したファイルに読み込み時のパスワードを設定することをお勧めします。


(2) 一覧ファイルを暗号化Zipで圧縮&暗号化
私は次の方法で実施しています。暗号化Zip作成は、Windows7以降はOSで対応していないので、次のソフト活用をお勧めします。

  暗号化圧縮形式Zip対応のフリーソフト「7-Zip」を活用  *詳しくは補足参照
  

(3) 暗号化Zipファイルをオンラインストレージ「Dropbox」に保管

私は、Dropboxを長年愛用しているので、Dropboxに保管していますが、セキュリティ上、不安な方は「暗号化機能付きのUSBメモリ」でも良いですし、この方が安全かもしれません。

なお、オンラインストレージ「Dropbox」でも、大事なパスワードをインターネットに保管するので、100%安全とはいえませんが、2段階認証しファイルを暗号化すれば、不正アクセスを防ぎ、万が一情報漏洩しても安心できると考えています。

100%安全・安心を実行するには大変な労力と不便さを伴いますね。安全と利便性、どこで折り合いをつけるかを考えることが大事です。



(4) 万が一を考え、大事なログインID・パスワードのみを特別な小型ノートに記録

オンラインストレージ、いつでも安心して使えるとは限りません。そのため、万が一を考え、大事な一部のログインID・パスワードを小型のノート(電話帳みたいなもの)に記載して、手帳と共に常時、持っています。




■ ≪補足≫暗号化圧縮形式Zip対応 フリーソフト「7-Zip」の使い方



このソフトは、圧縮・解凍ソフトでは代表的な人気のあるソフトです。専用の形式「7zフォーマット」に対応するほか、各種の圧縮・解凍形式をサポートしています。また、強力な「256AES 暗号化機能」、自己解凍形式、ファイルの分割・結合、テストの実施、お気に入り機能などをサポートしています。

 ダウンロード : http://sevenzip.sourceforge.jp/

7-zipのダウンロードは、32ビット版と64ビット版が用意されているので、環境に合わせてダウンロードしましょう。ちなみに、「32ビットか64ビットか?」は、OSの違いで判断します。

スタートメニューの「プログラム」に「7-Zip File Manager」の項目が追加されますので、これを実行します。または、7zFM(7zFM.exe)をダブルクリックして起動します。7-Zipは”2画面分割”で使うと操作が便利になります。

なお、USBでも使えるポータブルタイプの「7-Zip Portable」もあります。私は、このポータブルタイプをDropboxのフォルダーに保管して利用しています。

 7-Zip Portable: http://portableapps.com/apps/utilities/7-zip_portable


2014年9月18日木曜日

インターネットバンキング、ログインしただけで不正送金! あなたは大丈夫ですか?

インターネットバンキング、私も利用していますが、今、非常に危険な状態です。今回は、インターネットバンキングの危険が今どんな状態にあるのか、また、その対策について考えてみたいと思います。

下記の記事によると、インターネットバンキングの正規サイトにログインするだけで、犯罪者の口座に不正送金されるウイルスが5月以降、日本で2万件以上も検出されています。

 ネット不正送金、新種ウイルス2万件超 世界の8割が日本標的- ITmedia ニュース
 http://www.itmedia.co.jp/news/articles/1409/17/news054.html

さらに4~6月には、日本での不正送金ウイルスの検出件数が世界の24%に上り、米国(14%)を抜きトップとなりました。ウイルスもますます巧妙になっており、本当に危険な状態です。



なお、インターネットバンキングは、自宅のパソコン・スマホに銀行のATMがあるような感じです。この自宅ATMは、インターネットから常に狙われていると思ったほうが良さそうです。

このオンラインバンキング、つまり自宅ATMは、パソコン・スマホから使いますが、何も対策をしないと、「パスワードを貼ったカード」をATMの近くに置くようなものです。だれでも、お金を引き落とすことができます。

なお、パソコン・スマホをインターネットの危険から守るのが「セキュリティ対策ソフト」です。オンラインバンキングを使う人は、必ずこのソフトを使うことが必要ですね。

様々なソフトがありますが、昔から使われている、大手の「ウイルスバスター」、「マカフィー(McAfee)」、「ノートン(Norton)」のセキュリティ対策ソフトをお勧めします。

ちなみに、私は、Windows7パソコンでは「ウイルスバスター」、Windows8.1パソコンでは「マカフィー(McAfee)」のセキュリティ対策ソフトを使っています。



なお、下記の記事では、インターネットバンキングで自分の口座にログインすると、自動的に他の口座に不正送金される新型ウイルスが今年5月以降、国内の2万台以上のパソコンで検出されたことが、わかったそうです。
えっ! 国内の2万台以上のパソコンで新型ウィルス検出! 本当に驚きです。

 ログインしただけで不正送金 新型ウイルス国内で検出:朝日新聞デジタル
 http://www.asahi.com/articles/ASG9J3Q7VG9JULFA00F.html



また、セキュリティ対策ソフト大手、トレンドマイクロのブログによると、7月31日には、計 37社の銀行、クレジットカード会社が標的になっていることを確認したそうです。

 国内の銀行・クレジットカード会社37社を狙う自動不正送金ツールを徹底解析|トレンドマイクロ ブログ
 http://blog.trendmicro.co.jp/archives/9884


■インターネットバンキングを安全に使うためには


上記の、トレンドマイクロのブログを参考にしながら、対策を考えてみたいと思います。


(1) 総合的なセキュリティ対策ソフトを利用すること

昔から使われ有名な「ウイルスバスター」、「マカフィー(McAfee)」、「ノートン(Norton)」のセキュリティ対策ソフトをお勧めします。なお、フリーのセキュリティ対策ソフトがありますが、機能が限定され不安です。

なお、「総合的なセキュリティ対策ソフト」以外に、ウイルス・スパイウェア対策に限定したソフトもあるので、ソフト購入時には注意しましょう。

また、スマホもパソコン同様、危険です。必ず、セキュリティ対策ソフトを導入しましょう。


(2) 「ウイルス定義ファイル(ウイルスパターンファイル)」を定期的に更新。

セキュリティ対策ソフトの定義ファイルには、ウイルス・スパイウェアのパターンを持っています。定期的に最新版に更新しましょう! もし、更新しないと、新しいウイルス・スパイウェアを検出できません。


(3) パソコン・スマホのプログラム・アプリには修正プログラムを導入する。

ソフトウェアの不具合を狙ってウイルスが侵入します。そのため、ソフトウェアの不具合は修正しておく必要があります。修正プログラムというのは、メーカー各社が発表する、ソフトウェア製品の不具合を修正するプログラムのことです。

Windowsのパソコンで言うならば、①マイクロソフト製品、②Flash Player、③Adobe Reader/Adobe Acrobat、④Oracle Java(JRE)が、主に対象になります。定期的に修正プログラムを適用することが大事です。


(4) 「Web レピュテーション」機能の活用

「Web レピュテーション」は、感染源となる不正サイトへのアクセスを防ぐ機能です。レピュテーション(Reputation)とは「評価」や「評判」という意味です。

近年増加しているのが、不正サイトによるウイルス感染です。こういった不正サイトをブロックする機能が、Webレピュテーションという機能で、最近ではほとんどのセキュリティ対策ソフトに搭載されています。

Webレピュテーションは、インターネット上のWeb サーバーを危険度により評価付けし、危険性の高い Web サイトへの接続を制御・抑制することにより、Webからの脅威に効果的に対抗します。


《参考》セキュリティ対策ソフトが持つべき基本機能です。自分が使っている対策ソフトが次の機能を持っているか確認しましょう。

 機能1: ウイルス/スパイウェア対策
 機能2: フィッシング詐欺対策(詐欺サイト対策)
 機能3: 迷惑メール対策
 機能4: パーソナル・ファイアウォール機能(不正侵入対策)
 機能5: Webアクセス保護(サイトの安全性チェック、Web レピュテーション)

2014年9月13日土曜日

Googleサービスへの不正アクセスを防ぐ、2段階認証を設定しよう!!


(注)誤解を招く内容があったため、一部修正しました。

2014年9月11日のニュースで、500万件におよぶGoogleのアカウント情報(ユーザ名およびパスワード)が流出したとありました。原因はGoogleのシステムではなく、他のサービスのアカウント情報を活用した不正アクセスと見られています。

なお、自分のGoogleサービスに不正アクセスされないよう、この機会に、パスワード変更か2段階認証を設定したほうが良さそうです。

私も、このニュースを聞いて、以前から設定しようと思っていたGoogle「2段階認証」を、ようやく設定しました。今回は、セキュリティ強度を大幅にアップする「2段階認証」について、簡単に紹介します。



実は、以前、Googleを「2段階認証」にしようとして、操作が面倒だった為、中止したことがありました。今回は、意外とスムーズにできたので、何か改善されたかもしれません。

今回の原因は、Googleのシステムに対する不正侵入によって流出したものではなく、Googleとは関係のない活動で収集されたアカウント情報を活用して、Googleのアカウント情報が流出したものとみられています。

 参考情報:アカウント500万件流出疑惑にGoogleが実態を説明 | マイナビニュース
 http://news.mynavi.jp/news/2014/09/11/498/

 参考情報:約500万件のGmailアドレスとパスワードが流出 -BIGLOBEニュース
 http://news.biglobe.ne.jp/it/0911/mnn_140911_5047700405.html


《補足》アカウント情報を使い回ししない!!
Google含め様々なサービスで、同じアカウント情報(ユーザ名およびパスワード)を使っていると、他のサービスのアカウント情報が盗まれた場合、その情報でGoogleサービスも不正侵入されるので大変危険です。

アカウント情報を使い回ししないこと、特に、様々な情報を記録しているGoogleサービスのような場合には、専用のアカウント情報にしたらよいですね。


■2段階認証方式とは

2段階認証方式にした場合、ユーザー名とパスワードに加えて、事前に登録した電話やスマホのメールで受け取る確認コードを入力しなければログインできません。

結果として不正アクセスを行われる危険を大幅に軽減することができます。

2段階認証プロセスを有効にすると、ユーザーのパスワードが盗まれた場合も、ユーザーのアカウントを不正アクセスから保護することができます。


パスワードが解読、類推、盗用されたとしても、攻撃者は確認コードにアクセスできなければ、アカウントにログインできないので、安全ですね。

なお、Googleサービスにも Apple、Amazon (AWS)、Dropbox、Evernote、Facebook、GitHub、Microsoft、Twitter、Yahoo! 等でもこの2段階認証は使用できます。


■Googleサービスの2段階認証の方法

2段階認証プロセスを導入すると、ログイン時にユーザー名やパスワードの他に確認コードの入力が求められるので、Googleアカウントを安心して利用できます。

なお、2段階認証を設定する場合、確認コードを取得するのに、携帯またはスマホが必要になります。さらに、パソコン、スマホ、Googleドライブ・クライアント、それぞれで、確認コードの入力が必要なので注意ください。


まずは、Googleのアカウント情報の「セキュリティ」を開いて、2 段階認証プロセスを有効にして下さい。






その後、確認コードを受け取る、携帯またはスマホの電話番号かメールアドレスを入力します。私の場合は、スマホのメールアドレスを入力しました。

そうすると、スマホに確認コードのメールが届くので、その番号を入力すれば完了です。








なお、この時に、「このパソコンでは今後、コード入力ウィンドウを表示しない」にチェックすることが大事です。こうすれば、次回からは、確認コードを入力しなくて済みます。

(注1)確認コードは時間制限があり、一定時間を過ぎると無効になりますが、再度、確認コードが送信されてくるので、それを入力します。

(注2)二段階認証にした場合、スマホでも再度ログインし、確認コードを入力する必要があります!! この場合も、「次回以降は確認コードを入力しない(正確な文章は忘れました)」というような箇所があるので、そこにチェックを入れてから、確認コードを入力して下さい。

(注3)Googleドライブ・クライアントを使っている場合、再ログインして確認コードを入力する必要があります。Googleドライブをいったん終了し、再度ログイン後、確認コードを入力して下さい。


《参考》スマホ変更時の認証アプリの移行方法

以下のサイトで、iPhoneからAndroidに機種変更した時を例に、認証アプリの移行方法が詳しく紹介されています。

【機種変更時は忘れずに!】Googleアカウントの認証アプリを新しいスマホに移行する方法
 | できるネット
 https://dekiru.net/article/15134/

2014年9月6日土曜日

「パーソナルファイアーウォール」とは?インターネットの不正アクセスを防ぐ

最近のウイルス対策ソフトは、”セキュリティソフト”と呼ばれるようになり、ウイルス/スパイウェア対策に加え、フィッシング詐欺対策、迷惑メール対策、そして、パーソナル・ファイアウォール機能も持っています。

これらの機能の中で、分かりづらいのが「パーソナル・ファイアウォール機能」ですね。この機能、簡単に言えば、インターネットからの不正侵入を防ぐ機能です。

  パーソナル・ファイアウォール

   パーソナル   : 個人のコンピュータ
   ファイアウォール: 攻撃を防ぐ防火壁


個人のパソコンがインターネットにつながっている場合、極端に言うと、パソコンは「インターネットから丸見え」の状態になっています。

この「丸見え」の状態からパソコンを守り、インターネットからの不正な攻撃や、パソコンからの情報流出を防ぐのが「パーソナルファイヤーウォール」です。

最近は、ADSL、光ファイバーで、パソコンはインターネットに常時接続する時代になり、パソコンはインターネットから常に「丸見え」の状態になっています。

インターネットに常時接続されている場合、この「パーソナルファイヤーウォール」は大事な機能になります。

なお、”パーソナル”という言葉があるように、パーソナルファイアウォールは、主に個人利用のパーソナルコンピュータを対象とし、インターネットからの侵入、パソコン内部からインターネットへの通信を検知、不正なアクセスを防ぐことを目的としています。

なお、「パーソナルファイヤーウォール」があればウイルスやスパイウェア対策のソフトは不要、との話を聞く事がありますが、やはり、ウイルスやスパイウェア対策のソフトは必須です。

「パーソナルファイヤーウォール」では、メールの中のウイルスやスパイウェアは防ぐことができないからです。


 パーソナルファイヤーウォールは”ガードマン”、不審者を見つけます

 しかし、”ガードマン”の目をごまかし、不正侵入する不正ソフトがいます

 この不正ソフトを検出し駆除するのがウイルス対策・スパイ対策になります。



■パーソナルファイヤーウォールの使い方
最近のセキュリティソフトには、ほとんど、パーソナルファイアウォールの機能が付いています。

セキュリティソフトをインストールすると、大体のソフトの場合、ファイヤーウォールが有効になります。その場合は、そのまま使用したほうが、設定に混乱することなく使用できると思います

なお、Windowsにも、簡易的な「パーソナルファイヤーウォール機能」が付いていますので、これを活用するのも一つの方法です。

また、「パーソナルファイヤーウォール」を実現するフリーソフトもあり、使用してみましたが、パソコンに詳しい人でないと使い方が面倒で、あまりお勧めしません。


■ブロードバンドルーターも簡単なパーソナルファイヤーウォール
ブロードバンドルータとは、ADSL、光ファイバーなどのブロードバンド回線利用環境で、複数台のパソコンをインターネットに接続するものです。

ブロードバンドルータを使用すると、パソコンはブロードバンドルータを通じてインターネットに接続しているので、直接、パソコンがインターネットから不正攻撃を受けることはありません。

しかし、パソコンがインターネットの情報をみたとき、その応答で、不正攻撃を受けることがあります。

変な例えですが、出前を注文した時に、不審者が出前を持って来る人になることが考えられます。

 「ブロードバンドルータ」は家を守る簡易的なガードマン
 「パーソナルファイヤーウォール」は優秀なガードマン

と考えると良いと思います。

「パーソナルファイヤーウォール」は、出前を持ってくる人になりすました不審者も検出します。


■パーソナルファイヤーウォールとは

・インターネットからの不正な攻撃(侵入)を防ぐ
・パソコンのソフトによるインターネットへの勝手な通信を防ぐ


パーソナルファイヤーウォールとは、インターネットと個人のパソコン間の「通信を監視するソフトウェア」です。

インターネットから個人のパソコンに不正な通信があった場合、それを止めたり、また、パソコンからインターネットへの通信も監視して、インターネットへの不正な通信を止めてくれます。

個人のパソコンのインターネットとの通信を監視し、外からの攻撃を防ぎ、またパソコンのソフトウェアがインターネットに情報を流出させるのを止めてくれるソフトウェアが「パーソナルファイヤーウォール」です。

”ガードマン”にも、優秀なガードマンと普通のガードマンがあるように、「パーソナルファイヤーウォール」にも、厳重なものと簡易的なものがあります。

最近のセキュリティソフトは、ほとんどが、この「パーソナルファイヤーウォール機能」を持っています。一番、機能的に優れ使いやすいのは、このセキュリティソフトの「パーソナルファイヤーウォール機能」です。ぜひ、この機能を活用しましょう。


なお、ADSLや光ファイバーでインターネットに接続している場合、ブロードバンドルータを導入している場合があり、これも外部からの攻撃をある程度防いでくれますが、万全とはいえません、この「パーソナルファイヤーウォール機能」も利用したほうが安全です。


《補足》

パーソナルファイヤーウォールは、"個人で使うファイヤーウォール"ですが、このファイアーウォール (Fire Wall) は "防火壁" の意味で、ネットワークの外側からの攻撃や侵入を防ぐための仕組みです。以下の機能があります。

 ・内部、外部からの通信を選択的に透過、遮断する
 ・ログに攻撃などの記録を残す

パーソナルファイアーウォールは、「パソコン用のソフト」としてパソコンにインストールして使うソフトです。

企業などがインターネットに接続するところに置くファイアーウォール専用装置は、専用装置がネットワーク全体を守るのに対し,パーソナルファイアーウォールは1台のパソコンを守るという点にあります。

2014年8月23日土曜日

銀行・ショッピングなどは、URLが”https://” (sが付いている)

インターネットでホームページを見た時、URLが通常は”http://・・・”ですが、”https://” と httpに”s”が付いていることに気づいたことがありませんか?

これは、「インターネットでやり取りする情報は暗号化され安全ですよ」という意味です。


銀行サイトや、アマゾンなどの個人情報を扱うオンラインショッピングでは、必ず、”URL”は、 ”https://”と httpに”s”が付いていることを確認してください。

また、公衆無線LANなど安全性が不明な場所でインターネットで個人情報を使う場合も、URLが ”https://”となっていることを確認してください。




  ”URL”が ”https://” (httpに”s”が付く)になっているときは通信が暗号化され安心


  個人情報・クレジットカード情報などの大切なデータをホームページで利用する場合は、
  ”URL”が ”https://” になっていることを確認


これは、インターネットとの情報が暗号化され盗聴されても安全で、また、サイトを運営している会社を証明するものです。


なお、オンラインバンキングなどの更に重要なホームページの場合は、この”https://”に加え、アドレスバーが緑色になっていることを確認してください。

これは、企業の実在性確認などの認証方法を厳格にした「EV SSL証明書」になっていることを示しています。


EV SSLの場合、例えば、アドレスバーが緑色になり、その横に鍵のマーク、さらに企業名と認証局名が交互に表示されます。


実は、”https://”と 「httpにsが付く」場合、SSLという暗号化の仕組みを使っています。

SSLとはインターネット上で通信を暗号化する技術で、パソコン・スマホとインターネットのコンピュータ間の通信データを暗号化し、第三者によるデータの盗聴や改ざんなどを防ぐことができます。

このように、SSLを利用すれば、個人情報・クレジットカード情報などの大切なデータを安全にやりとりできます。また、サイトを運営する会社の身元を確認できる機能も備えています。

もし、”http://”と「httpにsが付いていない」場合、インターネットとのデータは暗号化されておらず、データ通信時に、盗聴されたり、変更されてしまう危険性があります。



■ オンラインショッピングなどはURLが「https://~」となっていることを確認!!


このSSLを使ったホームページはのURLは、「http://~」ではなく、「https://~」と表示されます。”http://のpの後ろにsが付加”され、「https://~」となります。






パスワードやクレジットカードのような重要な情報をやり取りする場合には、ホームページのURLが「https://~」になっているか確認することが必要ですね。

ただし、SSLサーバ証明書は、以下の3種類が存在し、認証局(CA)が非常に簡単な確認作業だけでSSLサーバ証明書を発行、フィッシング詐欺に使われてしまう可能性がありました。

この状況を解決するために考えられたのが、次の「EV SSL証明書」です。

・第三者認証局がドメインの使用権、企業の実在性などを確認し発行される証明書
・第三者認証局がドメイン登録情報のみを確認したうえで発行される証明書
・独自に認証局を立てて発行される証明書



《補足》HTTPSの3つの機能

 意外と知らない?HTTPSを使いこなすテクニック:ITpro
 http://itpro.nikkeibp.co.jp/atcl/column/15/021900028/040600007/

HTTPSには、以下の3つの機能がありますが、上記サイトでHTTPSについて詳しく紹介されています。ユーザーIDやパスワードを入力するログイン画面は間違いなくHTTPSにすべきですね。もし、このような画面で、HTTPSになっていない場合は、要注意です。


(1)通信経路の暗号化

HTTPSはWebブラウザーとWebサーバー間の通信経路を暗号化。万が一、通信が盗聴されたとしても、データ(情報)が暗号化されているので、盗聴されてもデータの内容を読み取ることはできません 。

(2)コンテンツの改ざん検知

サーバーから送信されたコンテンツが途中で改ざんされていないことを保証できます。

(3)通信相手の認証

通信相手のサーバーやクライアントが本当に意図した相手かどうかを確認できます。




■ 更に安全なホームページを示す「EV SSL証明書」
■    オンラインバンキングはこれを確認しよう!!


なお、SSLを悪用した、フィッシング詐欺もあるので、更に、オンラインバンキングなどでは、SSLの安全性を更に強固にした「EV SSL証明書」が使われているかの確認も必要です。

EV SSLの場合、例えば、アドレスバーが緑色になり、その横に鍵のマーク、さらに企業名と認証局名が交互に表示されます。





EV SSL証明書とは、「Extended Validation SSL証明書」の略で、いままでのSSLサーバ証明書よりも企業の実在性確認などの認証方法を厳格にしたSSLサーバ証明書です。

EV SSL証明書は厳格な認証をクリアした企業だけが導入可能です。

この厳格な認証をクリアした証しとして、EV SSL証明書では緑色のバーが表示され、いままでのSSLサーバ証明書にくらべ、誰もが分かりやすい形で安全性の「見える化」を行っています。


参考:EV SSL証明書の基礎:5分で絶対に分かるEV SSL証明書 - @IT
 http://www.atmarkit.co.jp/ait/articles/0810/31/news151.html

2014年8月公開のMicrosoft更新プログラムの不具合とその対策とは

(注)2014年8月公開のMicrosoft更新プログラムの不具合が解決したと、下記ブログで発表されました。


[MS14-045] 更新プログラム 2982791 の問題を解決する更新プログラムを公開
 - 日本のセキュリティチーム - Site Home - TechNet Blogs
http://blogs.technet.com/b/jpsecurity/archive/2014/08/28/ms14-045-re-released-2993651.aspx

それにしても、解決するまで2週間もかかっています。今後。このようなことが無いことを祈るばかりです。なお、以下の記述は、この解決策が発表される前の内容です。ご了解ください。
-------------------------------------------



米Microsoftは、2014年8月13日に公開した更新プログラムの適用によりOSが起動できなくなる不具合が起こる場合があることを明らかにしています。今回の事件は、小さなことに見えますが、セキュリティ対策という面では、大きな失策ですね。

今後、このようなことがあると、Microsoft更新プログラムに不信感が強まり、セキュリティ対策で重要とされてきた「Microsoft更新プログラム適用」が、安心してできなくなります。

これまで、さまざまなセキュリティ対策で、Windows更新は必須だと言われてきました。

また、ほとんどの人が、自動的に更新プログラムをインストールをする設定(Windows8.1の場合は初期値)にしていたと思います。

実は、私がパソコンを始めた頃は、Microsoft更新プログラムには多少の不具合があり、更新プログラムの自動適用は実施せず、確認して恐る恐る更新プログラムを適用していました。なお、ここ数年は、安定しており、心配症の私でも、自動的に更新プログラムを適用する設定にしていました。

しかし、2014年8月13日公開の更新プログラムの不具合は、このようなユーザの期待を裏切るものだと思います。Microsoftには、二度とこのような事件を起こして欲しくないと思います。




なお、2014年8月13日公開の更新プログラムの適用による不具合対策が、以下のMicrosoftサイトで詳しく説明されていました。なかなか難しい内容ですが、参考になりました。


 

http://blogs.technet.com/b/jpsecurity/archive/2014/08/20/2982791-mitigations.aspx

 

このサイトによると、以下の番号の更新プログラムをインスト―ルしている場合に、問題が発生する可能性があるとのこと。

・KB2982791
[MS14-045] カーネル モード ドライバーのセキュリティ更新プログラムについて (2014年8 月12日)

・KB2970228
Update to support the new currency symbol for the Russian ruble in Windows

・KB2975719
August 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2

・KB2975331
August 2014 update rollup for Windows RT, Windows 8, and Windows Server 2012


なお、問題が発生している場合の対処策に加え、問題が発生していない場合でも、予防的措置として、該当する更新プログラムをアンインストールすることが推奨され、その方法も、このサイトで紹介されています。

しかし、Microsoftには、今回の問題、大いに反省して欲しいと思います。このようなサイトで対応策を示されても、ほとんどの人が理解できません。

何故、今回のように、更新プログラムで、PCが起動しなくなるような可能性があったのか、その原因を追及し、二度とこのようなことが起きないようにして欲しいと思います。



■私が実施した、Windows8.1での2014年8月公開Microsoft更新プログラムの適用

更新プログラムに問題があると判明した時点で、Windows Updateの設定を、

「更新プログラムを自動的にインストールする」から、「更新プログラムをダウンロードするが、インストールを行うかどうかは選択する」

に変更しました。

その後、更新プログラムがダウンロードされたので、以下の手順で、どのような更新プログラムがダウンロードされているか確認。

問題を発生する更新プログラムが無かったので、更新を実施しました。適用して2日経過しましたが、問題はないようです。

なお、動作環境は各パソコンによって異なるので、全てのパソコンで、不具合が発生しないと保証するものではありません。あくまでも参考として見てください。



(1) コントロールパネルの「システムとセキュリティ」を選択



(2) 「Windows Update」の「更新プログラムの確認」を選択




(3) ダウンロードした更新プログラムのインストールの「**個の重要な更新プログラムが利用可能です」をクリック。




(4) ダウンロードされた更新プログラムが一覧で表示されるので、問題があるプログラムがないか確認。もし、問題がある更新プログラムがあればチェックを外す(実行しない)。





2014年8月7日木曜日

パソコンのデータは大丈夫? バックアップは保険、バックアップの方法とは

パソコンの中には、苦労して作成した文書、長年撮ってきたデジカメ写真、友人たちとのメールなど、たくさんのデータが入っています。これらのデータが、もし、パソコンの不調やウイルスで利用できなくなったら、どうしますか・・・・?

数年間の苦労がアッというまに消えてしまうパソコンのトラブルが、いつ起きるか分かりません。どんなトラブルが起きても、大事なデータを失わないようにするのが”データのバックアップ”です。

今回は、この方法について紹介しますので、ぜひ参考にして下さい。また、役立つバックアップソフト、暗号化ソフトについても紹介します。


パソコンはいつも元気で安心して使えるとは限りません。ハードディスク(HDD)が故障すると、パソコンの中にある全てのデータが使えなくなります。また、パソコンがウイルスで、パソコンが動作しなくなったり、データが削除されることもあります。

パソコンがどんな状態になっても大事な文書、写真、メールが残るように、ぜひ、パソコンのデータをバックアップしましょう。

最近は、データバックアップする手段として、インターネットに保存するオンライン・ストレージが人気ですが、この手のサービス、突然、中止になる場合がありますので、オンライン・ストレージだけに頼るのは危険です。


御礼: データバックアップについては、以下のホームページで分かりやすく丁寧に解説されています。今回、参考にさせて頂きました。

  BunBackup バックアップ入門
  http://homepage3.nifty.com/nagatsuki/bunbackup/introduction/index.htm



■ バックアップが必要なデータとは?


バックアップが必要なデータには下記があります。どれも、もし、利用できなくなったら・・・・とてもショックが大きいですね。

・メールソフトのメールデータ、アドレス帳
・ブラウザのお気に入り(ブックマーク)
・ワープロソフト等で作成した文書データ
・画像編集ソフトで作成した画像
・パソコンに取り込んだ音楽データやインターネットで購入した音楽データ
・デジカメで撮った写真データ
・年賀状ソフトの住所録と文面
                 など



■ バックアップするタイミングは?   


バックアップはいつ実施したらよいでしょうか? 基本的には、大事なデータを作成した後すぐにバックアップするのが理想です。

たとえば、せっかく撮ったデジカメの画像データは、データをパソコンに転送したら、すぐにバックアップをとるのが理想的ですね。また、時間をかけて作成した文書データなど、無くすと絶対に困るデータは、新規作成・更新したらすぐにバックアップしましょう。

更に、バックアップのタイミングで大事なのは、定期的(一週間に一回など)に、ポータブルHDD・USBメモリなどに、バックアップすることです。

なお、定期的にバックアップする際、役立つのが”バックアップソフト”です。これらのソフトに、 ”事前にどこのデータをどこへにバックアップするかを登録しておく” ことで、簡単にバックアップすることができます。



■ どこにバックアップするの? バックアップする媒体(メディア)は?


バックアップする媒体(メディア)はどのようなものがあるでしょうか? 代表的なものには下記があります。

(1) ポータブルHDD
(2) USBメモリ
(3) インターネット・オンラインストレージ
(4) DVD-R、BD-R(ブルーレイ)



(1) ポータブルHDD(ハードディスク)

小型・軽量で大容量のデータを保存できるUSBせパソコンに接続して使うHDDです。例えば、1TBの大容量のものでも1万円以下で購入できます。衝撃などの機械的な刺激に弱いですが、通常の使用であれば10年ぐらいは持つと言われています。


(2) USBメモリ

USBに接続して使用するコンパクトな記憶装置です。コンパクトながら、32GBでも2千円程度で購入でき便利です。なお、USBメモリは記録回数に制限があり、寿命は5年程度という話もあります。


(3) インターネット・オンラインストレージ

インターネットで提供されている無料のデータ保管サービスのことです。数GBの容量が無料で使えます。インターネットに接続されたパソコンであれば、どこでも使えます。なお、有料で数十GB、数百GB以上も保存できるようになってきましたので、今後、有望なバックアップ手段になると思います。但し、インターネットに保管するので、個人情報などの保管には注意が必要です。


(4) DVD-R、BD-R(ブルーレイ)

DVD、BD-R(ブルーレイ)などの光学ディスクに保存しておくと10年、条件がよければ20年は持つと言われています。但し、保存できる容量は、(片面の場合)それぞれ4.7GB、25GBしかなく、パソコンの中のデータを保存する場合、かなりの枚数になるので、注意が必要です。また、保存作業は時間がかかり、頻繁な保存には向きません。 (注)寿命はDVD-Rは最短で9年という分析結果もありますので注意下さい。




■ バックアップする媒体の使い方


以上の点から、バックアップする媒体の使い方の一つとして、以下を紹介します。


(1) 媒体の寿命等を考慮し、複数のものにバックアップする。例えば、”ポータブルHDDとUSBメモリを活用”、”複数のポータブルHDDを活用”

(2) バックアップした媒体を紛失しないよう注意すると共に、万が一紛失した場合を考え、個人情報などは暗号化して記録する。

(3) インターネット・オンラインストレージには、基本時に個人情報等は保管はしない。もし保管する場合はデータを暗号化して保管する。


以上を参考に、自分に適した組み合わせでバックアップすると良いですね。私は、次のようにバックアップしています。

 ・USBメモリに、通常良く使うデータを保管
 ・ブログの記事のように毎日更新したり参照するデータは、オンラインストレージに保管
 ・ポータブルHDDには、パソコンの中の必要なデータ全てを、定期的にバックアップ



■ 役立つバックアップソフト+暗号化ソフト紹介


バックアップソフトを使う場合、以下のことに気をつけてください。

(1) 操作を間違えないように、実行するまえに必ず操作説明を読むこと。
(2) バックアップ元、バックアップ先を間違えないこと。
(3) 予想したとおりに動作するか、事前に簡単なテスト用のデータで確かめること。



■バックアップソフト Backup

 Sota's Web Page (Backup)
 http://www2.biglobe.ne.jp/~sota/backup.html

実行する前に、バックアップまでの手順を本ソフトのヘルプファイルで確認下さい。

FFFTPの制作者曽田純氏によるバックアップツールです。操作が最も簡単で動作も安定しています。このソフトを使い始めて10年以上になりますが、安心して使えます。

バックアップ元と同じフォルダ・ファイル構成のまま、バックアップ先にコピーします。ファイルの日付をチェックして更新されたファイルのみをバックアップするので、2回目からはバックアップに必要な時間が短縮されます。



≪補足≫下記のソフトも人気があります。

バックアップソフト BunBackup

BunBackup
http://homepage3.nifty.com/nagatsuki/bunbackup/bunbackup.htm

ダウンロード
http://homepage3.nifty.com/nagatsuki/bunbackup/download.htm


■ 暗号化圧縮形式Zip対応のフリーソフト「7-Zip」 (海外:日本語対応)

このソフトは代表的な人気のある圧縮・解凍ソフトです。各種の圧縮・解凍形式をサポートする他、暗号化圧縮形式Zipでは強力な「256AES 暗号化機能」をサポートしています。

私は、ログインID・パスワードなどの個人情報は、この「7-Zip」を利用し、暗号化圧縮形式Zipで保存しています。この方法だと、万が一、情報が漏れても、他の人には解読が困難なため、悪用される危険性が低くなります。


・ダウンロード : 圧縮・解凍ソフト 7-Zip
          http://sevenzip.sourceforge.jp/

7-zipのダウンロードは、32ビット版と64ビット版が用意されているので、環境に合わせてダウンロードしましょう。ちなみに、「32ビットか64ビットか?」は、OSの違いで判断します。

スタートメニューの「プログラム」に「7-Zip File Manager」の項目が追加されますので、これを実行します。または、7zFM(7zFM.exe)をダブルクリックして起動します。7-Zipは”2画面分割”で使うと操作が便利です。

≪補足≫ 7-Zipで圧縮形式ZIPにパスワードを付ける方法

下記を参考にして下さい。

 ZIPにパスワードを付ける方法
 http://sevenzip.sourceforge.jp/howto/zip-password.html


■ファイル暗号化ツール 「ED」

 EDのダウンロード : Vector
 http://www.vector.co.jp/soft/dl/win95/util/se119287.html

ED(イーディー)は強力な暗号化アルゴリズムと、使い勝手が良いWindows用フリーウェアファイル暗号化ツールです。簡単な操作で、ファイルやフォルダーを自在に暗号化することができます。

なお、USBメモリまたはUSB接続ポータブルHDDに保存して活用することもできます。EDは、鍵長最大256ビット暗号アルゴリズムをベースにした、強力な暗号強度を保っています。


使い方は簡単で、暗号化する場合は、暗号化したいファイルやフォルダを選択後、それを「E」ボタン上にドロップし、パスワードを入力するだけです。

復号する場合は、ファイルやフォルダを選択した後、それを「D」ボタン上にドロップし、パスワードを入力します。



■ 《補足》 メディアの寿命



■DVD-Rは最短で9年の寿命(温度30℃、湿度80%の環境)

参考情報:2007年7月23日
メディアの寿命はこうして推定する:PC Online
http://pc.nikkeibp.co.jp/article/NPC/20070720/277930/

デジタルコンテンツ協会(DCAj)は寿命測定法の標準化を目指し、DVDメディアの寿命測定。DVD-Rの寿命は最短で「9年」という数字(温度30℃、湿度80%の環境)。ただ、ここには寿命が計測不能だった粗悪メディアは含んでいない。実際には、寿命0年という粗悪な海外メディアもあった。


■USBメモリは記録回数に制限、、データ保持期間は5~10年

参考情報:2009年11月18日
気になる「自然蒸発」と「セル寿命」:USBメモリーは10年もつか:PC Online
http://pc.nikkeibp.co.jp/article/basic/20091109/1020302/

USBメモリーの寿命は、採用している半導体、フラッシュメモリーの寿命になります。フラッシュメモリーは電気的に情報を記録・消去でき、電源を落としても情報を保持できる半導体チップ。

MLC(multi level cell)というタイプのチップでは、データ保持期間は5~10年、書き換え可能回数は5000~1万回ほどと言われているそうです。

なお、実際はデータの書き込み処理は複雑なプロセスを踏むので、単純な計算で決めるのは難しく、しっかりとしたUSBメモリであれば、5年以上は使えると言われています。ただし、安物のUSBメモリは寿命を迎えるのが早いと言われています。


■ポータブルHDDは衝撃などの機械的な刺激に弱い、通常の使用であれば10年ぐらいは持つ

ポータブルHDD(ハードディスク)とは、片手で持ち歩ける小型・軽量で大容量のデータを保存できる機器です。電源コンセント不要(バスパワー駆動)でパソコンのUSB端子につなぐだけで使用できるので、持ち運びに最適です。

構造がレコードプレイヤーみたいなものなので、電気的な寿命というより、衝撃などの機械的な刺激に弱いことになります。通常の使用であれば10年ぐらいは持つと言われています。