2016年3月22日火曜日

ファイルを勝手に暗号化するなどの危険 「ランサムウェア」脅威がモバイルにも拡大中!

「ランサムウェア」は、特定のファイルやフォルダを勝手に暗号化などし、『戻すためのパスワードを知りたければ金を出せ』などと脅迫する危険ソフト。
この「ランサムウェア」、パソコンで急増していましたが、下記のトレンドマイクロのブログによると、モバイル版ランサムウェアが確認されそうです。

SDカード内の情報を暗号化する、端末を使用不能にする、セキュリティ対策製品の機能を無効化するなどの攻撃があり、大変危険ですので、注意が必要です。



「ランサムウェア」脅威がモバイルへも拡大中 | トレンドマイクロ セキュリティブログ
http://blog.trendmicro.co.jp/archives/13055



この記事によると、モバイル版のランサムウェア、以下の攻撃があるとのことです。

危険その①:すべてのアプリを終了させ、SDカード内の情報を暗号化する

危険その②:画面ロックから復帰するための PIN を、勝手に設定したり変更したりすることで端末を使用不能にする

危険その③:感染した端末にインストールされているセキュリティ対策製品の機能を無効化する



上記の記事によると、不正アプリのほとんどは正規マーケットではなく不審なサードパーティマーケットから配布されているそうで、以下の対策を勧めています。

対策①:アプリは正規の Android向けアプリマーケットである「Google Play」や携帯電話事業者が運営するような信頼できるサードパーティマーケットからのみインストールする

対策②:Android OS のセキュリティ設定から「提供元不明のアプリのインストールを許可する」の設定を無効にしておく。


なお、私のスマホでは対策②を実施していなかった為、以下の方法で実施しました。



マクロウイルスが、また脅威に! WordやExcelのマクロを安易に有効にするのは危険

忘れかけていた「マクロウイルス」が、また脅威になってきました。このウイルスは、10年以上前に盛んになり、当時は、Word、Excelのデータをメールなどでもらった時には、注意をしたものでした。

ところが、最近になり、「マクロウイルス」の逆襲がはじまったとのこと。詳しくは、下記を参照下さい。

あの悪夢が再び?マクロウイルスの逆襲が始まった《記者の眼 from ITpro》
http://pc.nikkeibp.co.jp/atcl/column/15/011400006/031800050/?P=1


安全であることが確認できないOffice文書ファイルについては、マクロ機能を安易に有効にしてはいけないとのことです。

この「マクロウイルス」も進化し、ファイルを開くと、文字化けしたような文字列と、「文字化けを解消したければマクロを有効にしてください」という文章を表示。

だまされたユーザーがマクロを有効にするとマクロウイルスが動きだし、バックグラウンドで別の実行形式ウイルスをダウンロードして感染させるそうです。

私自身、最近では、インターネットやメールなどでWordやExcelのデータを入手した際、マクロ機能を安易に有効にする習慣がついていましたので、今後、注意をしたいと思います。

なお、上記の《記者の眼 from ITpro》の記事では、攻撃者は、取引先からの請求書や注文確認などに見せかけて、添付ファイルを開かそうとするそうです。

今後、Word、Excelのマクロを安易に有効にしないことが大事ですね。

2016年3月17日木曜日

公衆Wi-Fiの安易な利用は個人情報が盗まれる危険性が大! 何故 危険なのか?

公衆Wi-Fiなどの無料Wi-Fiサービス、安全性が不明なものが多いですね。2016年2月8日、福岡市の地下鉄で利用できた ”公衆Wi-Fiほとんどがセキュリティ無し” でした。





ほとんどの無料Wi-Fiサービスはセキュリテイを考慮されてなく、個人情報が盗まれる危険があると考えて良いと思います。

公衆Wi-Fi利用対策その1

公衆Wi-Fiでは。オンライショッピング、インターネットバンキングなど、個人情報を入力するサービスは、利用しない。

公衆Wi-Fi利用対策その2

もし、利用する場合は URLが ”https://”となっていることを確認しましょう!





なお、誤って公衆Wi-Fiに接続すると、その後、自動接続されるので、使わない場合は、自動接続を解除しましょう。以下は、ドコモ製 Android端末(v4.4.2)「SH-04F」での、自動接続解除の例です。







■ 公衆Wi-Fiは何故危険なのか?



公衆Wi-Fi含めた無線LANは、LANケーブルのような線を使用せず、無線を利用したコンピュータ間の接続です。これは、TV・ラジオなどのように、(目に見えない)電波を使う方法です。

この無線LAN、その便利さから普及してきましたが、無線を盗聴し、情報が盗まれる危険性があります。セキュリティ対策(安全対策)が大事です。暗号化などのセキュリティ対策をしっかり考え、利用することが必要です。

なお、公衆Wi-Fi、無線LANを安全に使うためには、暗号化などの対策が必要ですが、その場合、手続きが面倒になり、簡単に利用できるように”暗号化無し”、”安全対策無し”が多いと思います。








■ 不正Wi-Fiの提供実験 2000人以上が接続、63.5%が端末や身元を特定


2016年02月24日
空港で不正Wi-Fiの提供実験 2000人以上が接続、63.5%が端末や身元を特定される
 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1602/24/news065.html

上記の記事によると、ウイルス対策ソフトメーカーのAvast Softwareが、実験用のWi-Fiネットワークを提供した結果、わずか4時間で2000人以上がこのネットワークに接続したとのこと。

その結果、63.5%の確率で端末やユーザーの身元を特定できたといい、ユーザーがアクセスしたサイトやインストールしているアプリも特定。

不正なWi-Fiネットワークに接続すれば、監視されたりハッキングされたりする危険もあるとAvastは警告しています。

2016年3月8日火曜日

マイナンバーのシステム、個人番号カードすら発行できない! 本当に使えるのか?

2016年3月6日の朝日新聞によると、個人番号カード入手時の、暗証番号入力がうまくいかず、個人番号カードが受け取れない事例が全国で相次いでいるそうです。

さらには、不具合の原因は分かっておらず、正常化のめども立っていないとのこと。


こんな基本的な所でシステムが使えず、それで、不具合の原因もわからないとは、一体、どんなテストを実施して、運用開始したのか、信じがたいですね。私のシステム開発の経験から言うと、これは、致命的な不具合です。

こんな基本的なことすら、まともに動かないシステム、本当に大丈夫なの?と言いたくなるのは私だけでしょうか?

さらに、ひどいのは、「市民を待たせるわけにもいかない」として、暗証番号を紙に書いて残してもらい、正常に作動するようになったときに職員が代わりに入力しているとのこと。こんな運用ではセキュリティは守れませんね。

もし、暗証番号入力がうまくいかず、個人番号カードが受け取れない場合は、市区町村の職員の方に代理で入力してもらうことはやめて、システムが直るまで待ったほうが無難です。

私のシステム開発の経験からいうと、このような状態になったら、いったん、システム活用を中断し、今一度、基本設計の見直し、再テストの実施、実運用テスト、負荷テストなどを実施したほうが良いように思います。「急がばまわれ」はシステム開発の鉄則です。


2016年3月6日の朝日新聞の記事は、「マイナンバーカード受け取れない 謎のシステム障害頻発」として、1月から動き始めたマイナンバーのシステムで不具合が続き、市区町村の窓口で個人番号カードが受け取れない事例が全国で相次いでいるとのこと。

受け取りに来た申請者が窓口で今後使う暗証番号を登録する際、システムの作動が止まり、登録できない状態になってしまうことがあるそうで、システムを運営する総務省の外郭団体「地方公共団体情報システム機構」によると、不具合の原因は分かっておらず、正常化のめども立っていない。


個人番号カードの入手は、①申請書提出、②市役所で本人確認、③暗証番号入力、④個人番号カードを手渡し という手順になっていますが、なんと、③の暗証番号入力がうまくいかないという、基本的なトラブルです。

こんな基本的な所で、障害が発生しているにもかかわらず、不具合の原因は分かっておらず、正常化のめども立っていないとは、一体、どんなシステム何でしょうか?


さらに、このトラブルで問題なのは、「市民を待たせるわけにもいかない」として、暗証番号を紙に書いて残してもらい、正常に作動するようになったときに職員が代わりに入力し、簡易書留で郵送しているということ。

暗証番号は本人しか分からないはずなのに、職員が代わりに入力するとは・・・いったい、情報セキュリティはどうなっているのでしょうか?


私は、あるブログで、2007.12.22に”欠陥だらけの社会保険庁のシステム”という内容を公開しましたが、今回のマイナンバーのシステムも、同じ道をたどるのでしょうか?

以下に、このときのブログの内容をそのまま示します。



■ 《参考》(2007.12.22 ブログ公開) ”欠陥だらけの社会保険庁のシステム”

(注)当時のブログの内容をそのまま掲載しています。一部誤解があるかもしれませんが、ご了承下さい。

2007.12.22”国民の大事な年金記録は、欠陥だらけのシステムに記録されていた!”

12/17(月) に放映された、NHKスペシャル「取り戻せるか年金記録」は、なかなかショッキングな内容でした。

”宙に浮いた年金記録”の問題は、社会保険庁の組織自体の問題に力点が置かれ、年金記録を管理する”社会保険庁システム”についての議論が少ないように感じます。NKHの解説も「社会保険庁の組織の構造的問題」に力点がおかれていました。

しかし、このNHKスペシャルの放映内容から、「社会保険庁のシステム自体に大きな欠陥がある」ことが分かり、唖然としました。

放映内容からすると、社会保険庁システムのデータベースに登録された年金記録データには以下の問題がありました。


 問題1. 名前(氏名)の無い年金記録データがある
 
 問題2. 名前も生年月日も無い年金記録データがある
 
 問題3. 生年月日に存在しない日がある(例:11月31日)

 問題4. 年金番号がダブって記録されている

 問題5. 名前が間違って登録されている

 問題6. 年金番号が間違って登録されている(例:年金番号の先頭4桁)



社会保険庁システムには、情報システムとしては大きな欠陥がありました。

 ”名前と生年月日が無くても年金記録を登録していた”
 ”月日の単純なミスもチェックしていない、カレンダーに無い日付がある”

なお、上記問題を分類してみると、”システム自体の欠陥”(問題1~4)、”システム運用の問題”(問題5~6)に分類されます。

国民として、今後、このような問題が再発しないよう、社会保険庁システム自体の欠陥、並びにシステム運用の問題も早急に見直し・改善して欲しいと思います。

「国民の大事な年金記録が、欠陥だらけのシステムに記録され、データの間違いがチェックされずに登録されている」ということに改めて気づかされたNHKスペシャルでした。

以下に、上記の問題1~問題6を分析してみます。


■社会保険庁システム自体の欠陥

問題1、2は、システムの方で、名前と生年月日を”入力必須項目”として処理していれば、年金記録入力時に、”データが入力されていません”とエラーメッセージを表示し、入力ミスを防げたはずです。

普通であれば、年金記録データにとって、”名前”と”生年月日”は非常に重要な項目で、システムの方で、データが入力されたかどうかチェックすべきです。これはシステム設計の基本的な問題です。

問題3は、システムの単純なミスで、これは明らかにシステムの不具合です(それも単純な不具合です)。

月日データの入力の場合、”該当月に存在する日か?”をチェックするのはシステムとしては最低限の処理のはずです。通常は、2月のうるう年の計算も実施して、2月に29日が存在するかどうか判断します。

社会保険庁システムは、11月には存在しない”11月31日”を入力されてもエラーとはせず、そのまま記録していたということになります。社会保険庁システムは、このような単純な事ですらチェック出来ていないシステムなんですね、驚きです。

11月ですら、このような状態ですから、2月のうるう年の計算も出来ていないかもしれません。

問題4は、複数の人に同じ年金番号のデータが間違って登録されていた問題です。年金番号は一人の人に付けられるのが基本ですから、データ入力が間違って、同じ年金番号が違った人に付けられようとした場合、システム側の方でチェックできたはずです。

社会保険庁システムは、”データ入力時のチェック”が甘く、通常のシステムならば実施しているような基本的なチェックができていません。



■社会保険庁システムの運用上の問題

問題5は、紙で記録された年金記録の名前が、漢字のみでふりがながなく、そのため、年金記録のデータ入力時に、漢字の名前を間違って入力した為、その年金記録が宙に浮いたそうです。

しかし、紙の年金記録の名前が漢字だけの場合、システムへのデータ入力時に間違えることは容易に想像できるはずです。漢字の名前を100%間違えずに、システムに入力することは神業としか思えません。

何故、このような簡単な事が、社会保険庁システム運用時に、誰も気づかずに実行されてしまうのでしょうか?

問題6は、ある地域の年金番号が、それまでは「3100-XXXXXX」と付けられていたのが、「3100-」では不足になり、新しい年金番号の先頭が「3101-」になったにもかかわらず、データ入力専門の人(キーパンチャー)が、従来と同じように、「3100-XXXXXX」で登録していたそうです。

つまり、本来は「3101-123456」という年金番号が、先頭の4桁が間違って「3100-123456」と登録されていたことになります。

通常ならば、年金番号の先頭が変わったのならば、その旨、関係者に徹底すべきです。

また、間違って入力されても、それをチェックする仕組みも無く、またシステム側でもチェックされていません。

2016年3月7日月曜日

Windows10への変更は慎重に! Windows10変更時の問題点とは

Windows10ダウンロード予約を解除したにもかかわらず、2016.3月に「Windows10を入手する」という画面が、突然表示されました(Windows8.1のパソコン)。

この画面には、”Windows10に変更したら、高速で安全になる”というように表示されており、内容は、Windows10に変更しても問題が無いような表現になっていました、でも本当にそうでしょうか?

Windows10への変更は慎重に行うことが必要で、安易に変更したら危険です。


Windows10に変更してパソコンに問題が発生しても、最終的には、Microsoftもパソコンメーカーも責任をとってくれません。

Microsoftがいくら”Windows10に変更してください!”と言っても、操作が変わり、パソコン操作に戸惑うことや、また、プリンターやデジカメなどの機器がパソコンに接続できなくなる可能性があり、Windows10への変更は慎重に実施すべきです。



《提案》Windows7の場合は、できればWindows10への変更を中止する

Windows7のパソコンの場合は、パソコンの機種が古い場合が多く、メーカーがWindows10への変更を保証していない場合が多いと思われます。

また、Windows10にした場合、操作方法がかなり変わり、今まで使えていたプリンターなどの機器や、ソフトが使えなかったり、最悪はデータが消える可能性もあります。できればWindows10への変更は、さし控えたほうが良いと思います。


《提案》Windows8.1の場合も、Windows10への変更は慎重に

Windows8.1からWindows10への変更、それほど、操作も変わらないように感じますが、ソフトの扱い、ブラウザの変更などがあります。さらに、プリンターなどの機器の接続も大丈夫か確認することが必要です。また、インターネットサービス(例えば、インターネットバンキング)によっては、Windows10の新ブラウザEdgeなどでは操作ができない可能性もあります。


参考:Windows10ダウンロード予約を解除する方法は以下を参照下さい。

 Windows10ダウンロード予約を解除する方法(画像付き)~Windows8.1編
 http://lifesecurityup.blogspot.jp/2015/09/windows10windows81.html
 
 Windows10ダウンロード予約を解除する方法(画像付き)~Windows7編
 http://lifesecurityup.blogspot.jp/2015/09/windows10windows7.html



■ Windows10への変更の問題点



■問題1 パソコンがWindows10に対応しているか?

パソコン機種が、Windows10に対応していない場合があります。使っているパソコンのメーカーサイトでWindows10に対応しているかどうかの確認が必要です。

私の富士通のWindows7パソコンでは、対応していないことが分かりました。


■問題2 プリンターなどの周辺機器がWindows10に対応しているか?

プリンターなどの機器を動かすためには、Windows10に対応するデバイスドライバが必要になります。もし、それがないとプリンターなどの機器が動かなくなります。メーカーサイトでWindows10対応のドライバがあるかどうかの確認が必要です。


■問題3 アプリケーションソフトはWindows10に対応しているか?

Windows10に変更すると動かなくなるアプリケーションがあるので、注意が必要です。Windows10に対応しているかどうかの確認が必要です。


■問題4 Windows10への変更で、操作は変わります!

Windows10への変更で、パソコンの操作は確実に変わるということです。操作に戸惑うのは、Windows8.1からの変更よりも、Windows7からの変更の方が大きいと思います。

 Windows7→Windodws10に変更:
  ソフトが2種類(デスクトップ・アプリ、Windowsストア・アプリ)あり戸惑う
  ブラウザも”Edge”に変わる

 Windows8.1→Windodws10に変更:
  Windows10はWindows7の特徴を組み込んでおり、ソフトの扱いなどが変わり戸惑う
  ブラウザも”Edge”に変わる







■ 《補足》Windows10への変更が「Windows Update」というのは、おかしい?


Microsoftの基本的考え方は、

  Windows10への変更は「Windows Update」の一環

ということみたいです。でも、この考え方は論理的におかしいです。

 「Windows Update」=使っているWindowsバージョンの更新内容

であり、Windows10へのアップグレードは、Windows自体の変更で、これは「Windows Update」ではありません。変更内容のレベルが全く違います。



■ 《補足》Windows7からWindows10に変更すると操作が大きく変わります
■   ~Windows8.1とWindows7との違いから


Windows8.1とWindows7との違いは、Windows10とWindows7との違いとほぼ同じです。Windows7をWindows10に変更すると、操作はかなり異なります。

Windows8.1には大きく2つの画面があり、基本になるのは、これまでとは違う(1)の画面です。

  Windows8.1の画面 *(1)が基本

  (1) アプリがタイル状に並んだ「(タッチ型)スタート画面」

  (2) これまでのWindowsタイプの「デスクトップ画面」

Windows10は、ユーザーの声を反映して、(2)の「デスクトップ画面」が基本になっています。

なお、Windows8.1のソフトウェアとして以下があります。この点は、Windows7以前の従来のOSとは大きく違います。私自身、Windows7→Windows8/8.1になり、かなり戸惑った点です。

  Windows8.1のソフトウェア

  (1) スタート画面で動く「Windowsストア・アプリ」

  (2) デスクトップ画面で動く「デスクトップ・アプリ」

  Windows7までのソフトウェア

  (2)の「デスクトップ画面」動く「デスクトップ・アプリ」のみ。

Windows8/8.1は、これまでのパソコンに加え、スマホ・タブレットを意識した為、Android、iOSのように、「ストア・アプリ」も動かすことができることにしています。

なお、Windows10になり、「Windowsストア・アプリ」と「デスクトップ・アプリ」が、同じように扱えることになったようですが、それでも、この2つのアプリがあることは、Windows7利用者からみるとめんどうです。

2016年3月3日木曜日

メールとは何か?メールの基本とWebメールとは?

メールの基本とWebメールについて、資料にまとめ公開しました。

メール基本として、メールアドレス、メールの構成、宛先(TO・CC・BCC)の違い、テキスト形式とHTML形式などをまとめています。

メールの代名詞になりつつある、無料で使える”Webメール”については、Webメールの仕組みを簡単な図にしてまとめました。

さらに、Webメールと通常のプロバイダー・メールとの違いや使い分け、Webメール使用時の注意事項、代表的なWebメール(Yahoo!メール、Gmail、Outlook.com)の登録方法、便利な複数アドレス(メールエイリアス)についても簡単に説明しています。


なお、Webメールは、ブラウザで使える無料メールで、メールデータ、アドレス帳はインターネットの中に保存され、パソコンが壊れても継続利用可能です。

Webメールは、無料メールでメールが全てインターネットに保管されるということもあり、以前は、信頼が低かったようです。

ただし、インターネットに接続していれば、どんなパソコンやスマホからでもメールを扱うことができ、迷惑メール対策なども実施されており、Webメールは一般的なメールになりました。

Webメールは、Yahoo!、Google、Microsoftなどが無料で提供しています(会員登録が必要)。

    Webメール例   ******@yahoo.co.jp 
                         ******@gmail.com
                        ******@outlook.jp

なお、Webメールのメールはインターネットの中に残るので、重要な個人情報のやり取りは避けたほうがよいですね。



■ メールとは何か? メールの基本とWebメールとは?


資料をGoogle ドライブで公開しています。画像をクリック下さい。



https://goo.gl/sKrbho


メールとは何か? メールの基本とWebメールとは?.pdf - Google ドライブ -
https://goo.gl/sKrbho


1.    メールとは?

2.    メールアドレスの作り方

3.    メールの構成


4.    宛先の種別(TO、CC、BCC)


5.    メール形式(テキスト形式とHTML形式)


6.    Webメールの仕組みとは? プロバイダー・メールとの違い


7.    Webメール、プロバイダー・メールの特徴


8.    Webメールとプロバイダー・メールの使い分け


9.    ”Webメール”使用時の注意事項


10.    代表的な”Webメール”


   Yahoo!メール 登録方法(Yahoo! Japan IDを取得)
   Gmail 登録方法(Googleアカウントを取得)
   Outlook.com  登録方法(Microsoftアカウントを取得)

11.    ”Webメール”は複数のメールアドレスを持つことが可能

   メールエイリアス(別名)は、なぜ便利なのか?
   Yahoo!メール メールエイリアス(セーフティーアドレス)
   Outlook.com メールエイリアス
   Gmail メールエイリアス


Docs.comでも公開しています。

メールとは何か? メールの基本とWebメールとは? - Docs.com -
https://goo.gl/uXIUz5

ヤフーやグーグルなどのIDやパスワードの27万件が流出 パスワード更新・2段階認証が必要

またしても、大量のIDやパスワードの流出事件が発生しました。パスワードの定期更新、2段階認証の重要性が改めて分かります。

今回の事件、ヤフーやグーグルなどのIDやパスワードが流出しているので、大事なアカウントについては、パスワード更新が必要ですね。この事件、昨年の2月に被害届があってから、原因が分かるまで1年近くかかっています。

なお、できれば、2段階認証も必要です。最後の方に、代表的な2段階認証方法を説明していますので、参考にして下さい。


NHKニュースによると、「大手オークションサイトで、自分のポイントが勝手に使われた」という被害の届け出があり、警察が捜査したところ、押収したサーバーに、ヤフーやグーグルなどのIDやパスワード、およそ27万件があるのが見つかったそうです。

 2016.3.3 押収したサーバーからIDなど約27万件 NHKニュース
 http://www3.nhk.or.jp/news/html/20160303/k10010429241000.html



■ パスワードを守り安全活用する方法

これから、ますます、インターネットのサービスを利用する機会が増えます。パスワードを守り安全に活用することは、自分の貴重な情報やお金を守ることにつながります。

なお、(1)、(2)の詳しい内容は下記を参照下さい。

 単純なパスワードを使うと、数秒で見破られ危険な目に!
 http://lifesecurityup.blogspot.com/2015/07/blog-post_20.html



(1) 見破られにくいパスワードを使う

英字の小文字・大文字、数字を混合させ、8桁以上のパスワードを使う。

(2) パスワードは人目に触れないよう十分注意して管理する

①紙のメモ(IDとパスワードは別々の紙に分けて管理する
②電子ファイル(パスワード付き)で保管する
③パスワード管理ソフトを利用する

(3) 同じパスワードを複数のサービスで使わない(パスワードリスト攻撃対策)

他のサービスで盗まれたパスワードを使って悪用される危険性が高まります。

(4) パスワードを定期的に変更する

知らないうちにパスワードがウイルスなどで流失し、悪用されている場合があります。

(5) パスワードを強化する2段階認証を活用する

2段階認証を有効にすると、ログインに際し、パスワードに加えてセキュリティコードの入力が必要になり、安全になります。

(6) パスワードや口座情報などを要求するメールは無視する(フィッシング詐欺対策)

銀行などの企業は、顧客のパスワードや口座情報をメールで尋ねることはありません。このようなメールは無視してください。

(7)口座やクレジットカードの明細を定期的にチェックする。

どんなに注意しても、不正に利用されている場合があります。クレジット・カードなどの明細は、おかしい金額が書かれていないかチェックして、個人情報が盗まれたり、クレジットカード詐欺にあったりしていないか監視してください(不正な請求がないか確認)。



■ 不正アクセス対策に、2段階認証を活用しよう!


2段階認証を有効にすると、ログインに際し、パスワードに加えてセキュリティコードの入力が必要になり、安全になります。

次のブログに、Google、Dropbox、Microsoftの”2段階認証”の方法をまとめていますので、参考にして下さい。

 Googleの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/09/500google2.html

 Dropboxの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/10/dropboxid.html

 Microsoftの”2段階認証”について
 http://lifesecurityup.blogspot.jp/2015/08/microsoft2.html