Wifiで利用されている暗号化技術に悪用の恐れがある脆弱性が見つかり、早急な対応が必要です。



Wi-Fiの暗号化技術「WPA2」に脆弱性発見か　専門家が公開を予告
ITメディアニュース　2017.10.16
http://www.itmedia.co.jp/news/articles/1710/16/news101.html

以下、引用です。

暗号化技術の仕様自体に問題があり、Wi-Fiのセキュリティ機能でWPA2を使用する全ての機器に影響する可能性があるという。
（中略）
問題が指摘されているのは、アクセスポイントと端末で共有する暗号鍵を管理するプロトコル（WPA2）であり、その中で用いられる暗号化アルゴリズム「AES」（Advanced Encryption Standard）自体が破られたと断定されたわけではない。

今回問題となったのは、WPA2という「暗号鍵」を管理する仕組みです。暗号化する技術（AES）ではないとのこと。
この技術を利用しているのは、身近なところでは、ネットにつながるWIfiアクセスポイント（ルーター等）、スマートホンが多いと思います。WPA2の仕様自体に問題があるそうなので、実装されている機器の大半が脆弱性を持っていることになります。
この脆弱性を放置した場合、悪意のある侵入者にWifiアクセスポイントからの侵入を許し、同じネットワークに存在する機器を操作できてしまう可能性があります。

業界標準団体もこの問題に対して動き始めました。

WPA2の脆弱性「パッチで対応可能」　Wi-Fi標準化団体が見解
ITメディアニュース　2017.10.16
http://www.itmedia.co.jp/news/articles/1710/16/news114.html

Wi-Fi Allianceは、脆弱性が報告されてから直ちに対応に取り組み、加盟するメンバー企業が使用できる脆弱性検出ツールを提供、メーカー側にも必要なパッチを迅速に提供できるよう呼び掛けているという。

おそらく今後、Wifi機器のメーカーからソフトウェア／ファームウェアのアップデートが提供されます。
出来るだけ早く、適用することが必要です。
ご利用の機器のサイト等で確認を行うようにしてください。


より詳細な内容はZDnetが詳しいです。
WPA2の脆弱性「KRACKs」公開、多数のWi-Fi機器に影響の恐れ
ZDnet Japan 2017.10.16
https://japan.zdnet.com/article/35108859/

近距離無線通信の規格Bluetooth。一番身近なところでは、スマートホンに実装されています。
現在、このBluetoothに脆弱性が見つかり、悪用される可能性があるとして、様々な方面から注意喚起が出されています。
この脆弱性は「BlueBorne」と呼ばれています。



「Bluetoothをオンにするだけで乗っ取られる？　新たな脅威、「BlueBorne」の恐ろしさ」
ITメディアエンタープライズ　2017.09.20
http://www.itmedia.co.jp/enterprise/articles/1709/20/news023.html


「Bluetooth の実装における複数の脆弱性について」
情報処理推進機構（IPA）　2017.09.14
https://www.ipa.go.jp/security/ciadr/vul/20170914_blueborne.html

BlueBorneの概要

BlueBorneは、Bluetoothの機能の根幹にあります。
これまでの脅威と異なり、インターネットを経由せずにBluetooth機器間の通信によって拡散ができます。
つまり、ユーザに
・URLのリンクを踏む
・悪意のあるファイルをダウンロードさせる
といったアクションをさせずに攻撃できる、ということです。

また、Bluetooth経由での攻撃ですが、機器が周辺のBluetooth機器を探知するときの通信手順を悪用しているとのことで
・ペアリングしなくても拡散される
という特徴があります。

すなわち、機器のBlutoothがオンになっていれば、ユーザが操作せずに攻撃者が機器に接続して操作ができ、マルウェアの拡散などをすることができます。
しかも、ユーザに気づかれることなく。

Bluetoothの通信距離はスマホ（Class2）なら10mです。
もし機器のBlutoothがオンになっていて、10m以内に攻撃者もしくはこの脆弱性を悪用したマルウェアを所持している機器があると、攻撃/感染をうけます。
これは、スマホ、PCにかかわらずです。また、機器を所持している人が近距離で混雑している場所では連鎖的な感染も可能です。

Armisによる説明動画です。



より詳細な情報はこちら
「脆弱性「BlueBorne」：Bluetooth機能をオフ、そして直ちに更新プログラム適用を」
トレンドマイクロセキュリティブログ　2017.9.20
http://blog.trendmicro.co.jp/archives/15912

対策

現時点では、2点の対策があります。
１）アップデートの適用
Adroid、Linux、Windowsはセキュリティアップデートを適用してください。
2017.9月のアップデートで提供されているようなので、設定を確認して適用をお勧めします。

iOSについてはBlutooth通信を独自の手順で処理しているため、iPhone5以降ではiOS10または11であれば回避できるとのことです。
iPhone4より前の場合は、そろそろ買い替えてください。

２）機器のBluetoothをオフにする
使っていないのであれば、オフにしましょう。電池の節約にもなります。

機器によっては、アップデートが不可能なものもあります。
今後どのような対策が出てくるか注意している必要ががあります。

お宅の会社の情報、覗かれていませんか？Gsuite使っているところは注意してください。



「組織内の情報をうっかり一般公開、Google Groupsの設定に注意」
　ITメディア　エンタープライズ　 2017.7.25
http://www.itmedia.co.jp/enterprise/articles/1707/25/news049.html


以下引用です。

同サービスには、オンラインフォーラムや電子メールベースのグループを作成できる機能があり、共有オプションの設定では、ドメイン外のユーザーにグループサービスへのアクセスを許可するかどうかを設定できる。

こちらは、RedLockの元記事
"Sensitive Messages Exposed due to Google Groups Misconfiguration"　-　07.24.2017
https://blog.redlock.io/google-groups-misconfiguration

法人向けのサービス内にある「Groups」という機能です。
グループを構成する際に、共有の設定があるようです。そこで「Public」か「Private」かを選択する必要があり、「Public」になっているとセンシティブな情報（氏名、メールアドレス、住所など）が一般公開状態になってしまってる、とのことです。

意外とこういった設定がおろそかになっている、初期設定そのままになっている事って多いように思えます。
クラウドサービスが増えてきて、自分たちの事業でも使うことが増えてきています。
管理者は今一度確認して、不要な公開状態は避けましょう。

気になったら、相談してみよう！

お知らせ

ここ数日の間にSNSで拡散されている、"Jayden K Smith"。


※Smithとは関係ありません。イメージです。

こんな感じの文面がFacebookのメッセンジャーで届くようです。

[注意]あなたのメッセンジャーリストにあるすべての連絡先に、Jayden K. Smithの友情要求を受け入れないように教えてください。彼はハッカーであり、あなたのFacebookアカウントにシステムを接続しています。あなたの連絡先の1人がそれを受け入れると、あなたもハッキングされるので、すべての友達にそれを知らせてください。受け取ったとおりに転送されます。（以下略）

英語の場合もあるというか、元々英語の文章です。自動翻訳をはさんでいるようで、全文読むと不自然な日本語になってます。

結論から言うと、これは全くのデマ。
受け取っても無視してください。あるいはメッセージを削除してください。
「メッセージ開いちゃったし、自分のアカウント、ハッキングされたかも」という方。
安心してください。されてません。メッセージ見るだけではされてません。

逆に気をつけて欲しいのは、文面にある（上では消した）ように自分の友達全部に一斉にメッセージすると、スパムアカウントと判定されるかもしれませんので、絶対ダメ。自分で自分の首を絞めることになります。
https://www.facebook.com/help/www/132736263468691
大量転送はNGですよ。

このデマメッセージ、どうもここ数日で全世界的に広まったらしく、UKの記事が幾つかヒットしてきました。

こちらは、この件に関するTelegraphの記事。
Telegraph 10 July 2017:Jayden K Smith: Why you should ignore this Facebook hacker hoax
ここにも書かれているように、Jayden K Smith（とかいう名前のアカウント）がユーザを追加していっているという証拠はないし、あったとしても友達になるだけで相手のアカウントをハックすることは決して出来ません。

Mass friend requests to unknown users is also against Facebook's terms and conditions regarding spam, so any such account would probably be quickly dealt with.

知り合いでないユーザへの大量の友達リクエストは、Facebookのスパムに関する規定に違反しています。
なので、そんなリクエストするヤツはどんなヤツでもすぐに対処されます。

とのこと。上に書いたとおりです。

また、Independent、BBCにも書かれています。
Independent 10 July 2017:The warning is a hoax – but a reminder of a very real threat
BBC 10 July 2017:Why you should ignore the Jayden K Smith Facebook hoax

昔から良くあるデマの類で、出てくる名前がAnwar Jitou,Linda Smith, Jason Allen,Christopher Butterfieldだったりするようなので、見かけたらお気をつけを。

善意のあるユーザはこのメッセージを正に文面どおりに受け取って、指示に従ってしまうのでしょう。
昔から良くある、チェーンメールの類と一緒です。根拠も定かではない噂話を安易に回りに広げさせる。

今一度、「根拠の怪しい情報は疑ってかかる。一次情報に触れるようにする」という鉄則を肝に銘じましょう。

今回だまされた人は、
・ひとまず怪しいキーワード（今回で言うと"Jayden K Smith"）で「検索してみる」
・見つかった記事の複数を確認してみる
・SNS上でも同様に情報を検索して確認してみる
・詳しそうな人に尋ねてみる
をやってみるようにしてください。要は慎重になることです。
これで、だまされることも減るはずです。



おまけ。

誰だお前（笑）！！
　https://www.facebook.com/yourfriendjayk/
見ても大丈夫ですよ。
「I didn't need more friends anyway.」

気になったら、相談してみよう！

ユーザをだましてプライベートは情報を盗み出す、フィッシングサイトが出てきています。
Apple製品ユーザは注意しましょう。



「Appleかたるフィッシングメール出回る　フィッシング対策協議会が注意喚起」
ITメディアニュース　2017.6.7
http://www.itmedia.co.jp/news/articles/1706/07/news089.html

以下引用です。

メールの件名にはさまざまな文言が用意されており、確認されているのは「リマインダ：アカウントロック」「AppIe: 確認の進捗状況 [日付]」「あなたのApple IDでセキュリティを守ります」「Apple ID アカウントが無効になっています : [日付]」「Apple IDはセキュリティ上の理由から無効になっています : [数字]」「お知らせ：[Apple] Statementアカウントのログインを再開する [日付]」「あなたのApple IDがロックされています」「Order Confrimations. #[英数字]」など

身に覚えの無い注文の確認を装ったりして、本文内のURLをクリックさせようとしてきます。
実際のURLはAppleとは無関係のサイトに向いていて、ユーザに情報を入力させるよう仕向けてきます。
上記のようなメールを受信したら、本当にAppleからのものなのか確認できる場合は確認を。

フィッシング対策協議会のページには、メールの件名とフィッシングサイトのURLが掲載されています。
https://www.antiphishing.jp/news/alert/apple_20170607.html
受信したメールの件名、リンク先のURLがこれに当てはまるようでしたら、絶対に開かないようにしてください。

気になったら、相談してみよう！

今、全世界で猛威を振るっているランサムウェアにご注意。メール中のあやしいURLをクリックしないように！



「週明け始業時、不審なメールに注意　ランサムウェア「WannaCry」世界で猛威、日本でも拡大のおそれ」
ITメディアニュース　2017.5.15
http://www.itmedia.co.jp/news/articles/1705/15/news050.html

以下、引用です。

WannaCryは、旧バージョンのWindows脆弱性を悪用するランサムウェア。端末のファイルを暗号化して読めない状態にし、復号のために金銭を要求するという。JPCERT/CCによると、日本語のメッセージが表示されることも確認しているという。メールなどのソーシャルエンジニアリングを使って感染を広げている。

ランサムウェアとは

感染するとPC内のファイルを暗号化し、解除のための身代金を要求するマルウェアです。
身代金を支払っても暗号化を解除できる保証はありません。

典型的なランサムウェアは「メールのURLをクリックさせる」「悪意のあるサイトへ誘導する」といった経路で感染させようとします。

ソーシャルエンジニアリングとは

総務省のページにまとめられていました。
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/12.html

ソーシャルエンジニアリングとは、ネットワークに侵入するために必要となるパスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す方法です。その多くは人間の心理的な隙や行動のミスにつけ込むものです。

「人間の心理的な隙」をつくようなことをするのが、ソーシャルエンジニアリング。
例えば、「知り合いの名をかたる」「善意の依頼をする」「業務上の取引を装う」などです。
うっかり信用してしまいそうなことをしてきます。注意深く気を付ければ、「あ、これは違うな」と気づくこともできます。

どうすればよいか

まずは、こういった脅威があることを知ること。どんな手口で攻撃されるかを知ること。

そして、公開されている対策をとること。
基本的にはWindowsの最新のセキュリティプログラムを適用する、セキュリティソフトウェアの最新化をしておく、といったところです。

マイクロソフトの特設サイトです。
「ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス」
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/

今回の件はメールが感染経路であるようです。
本文中に見知らぬURLが記載されていたら、「その差出人は本当に信用していいか？」「正しい差出人を装ってはいないか？」「URLのドメインは怪しくないか？」などを疑ってみてください。不安でしたら、詳しい人に相談してください。

また、感染後に暗号化されたファイルを複合することはほぼできないようです。
感染前に、必要なバックアップをこまめにとるようにしましょう。

気になったら、相談してみよう！

平成２８年度第２次補正予算事業「小規模事業者持続化補助金＜一般型＞」の採択結果が日商のホームページに掲載されています。



PDFで11ページです。
http://h28.jizokukahojokin.info/ippan/files/4714/8973/9934/2803hokurikusinetsu.pdf

長野県は7ページ後半から。
申請された方はご確認ください。

事業内容には「ホームページ新規開設」「ホームページリニューアル」「スマホ専用サイト製作」「ECサイト構築」などが見られます。
こういった事業について、サポーターズ安曇野では皆様のお手伝いができます。
ただ、サポーターズ安曇野は「スマホ専用サイト」ではなく、より効果的な「スマホでもPCでもきれいに見えるサイト製作」で予算に収められるように提案します。

来年度の申請をご検討されている方は、どうぞお問い合わせください。

気になったら、相談してみよう！

常時SSL化の流れです。3/7リリースのブラウザFirefoxの最新版で警告表示が強化されています。
ホームページ担当者の方、あなたのホームページは大丈夫ですか？常時SSL化されていますか？



「Firefox 52」公開、非HTTPSページでの入力に警告　NPAPIプラグインは無効化
ITメディアニュース　2017.3.9
http://www.itmedia.co.jp/enterprise/articles/1703/09/news070.html

以下引用です。

Firefox 52では、HTTPSで暗号化されていないページでユーザー名やパスワードを入力しようとすると、警告のポップアップが表示されるようになった。ポップアップは「ここで入力したログイン情報は流出の可能性があります」という内容の文言に、赤い斜線が入った灰色の鍵マークを付けて注意を促す。

以前からこのブログでアナウンスしている、常時SSL化の話題。

「常時SSL化しました。」　2016.10.25

「Googleがhttpsを使っていないWEBページに警告表示を始めます。」　2016.9.9

「ホームページの常時SSL化は今やるべき課題です。」　2016.10.13

WEBでの常識になる

昨年から大きく動き始めて、おそらく今年中にWEBの世界で常時SSL化が主流になります。
すなわち、対応をしておかないと「つまはじき」になる恐れがあります。
具体的には、SEO上不利になる、得られる恩恵を逃す、ブラウザで警告の対象になる、等です。
三つ目は特にサイトのイメージダウンにつながり、訪問者の離脱が増えて選択肢に乗らなくなるという悪い影響が考えられます。

未対応だとユーザから避けられる

色んなメディア上でも「SSL」の文字を目にすることが増えてきました。ユーザもそれについて知識を得始めています。
Googleの検索結果でも“https”の表示が明確にされるので、そこで知っている人にはふるいにかけられます。
ですので、常時SSL化していないとユーザからも不審に思われ、さけられ、選択されないようになるタイミングが来ると思います。それも今年中に。
得られる恩恵もありますので、早くから、出来れば夏くらいまでに常時SSL化することをおすすめしています。

最短即日対応可

サポーターズ安曇野では、どのようなホームページでも常時SSL対応いたします。
ただ単にSSL証明書を購入・インストールすれば良いわけではないのですが、場合によっては（規模とつくりによっては）最短即日で対応可能です。

また、「うちにはデザイナーしかいない…」「やらなきゃいけないけど、詳しいことが良く分からない」という制作会社様からのご相談もお待ちしております。

気になったら、相談してみよう！長野県内は相談／訪問無料！

一見無害なアプリに見えるように偽装し、スパムをまき散らすアプリが出回っています。



『「ブロックされすぎww」……Twitter連携スパム多数出回る　無害なアプリに“偽装”』
ITメディアニュース 2017.3.7
http://www.itmedia.co.jp/news/articles/1703/07/news079.html

以下引用です。

記載されたURLをクリックし、連携アプリを認証すると、同じ内容をツイートしてスパムをばらまく仕組みだ。さらに、スパムアプリとは無関係・無害なTwitter連携アプリの公式サイトにリダイレクトし、まるで無害なアプリであるかのように偽装しているのも特徴だ。

こんなクリックを誘う文言のツイートが特徴です。
気になる系
「ブロックされすぎｗｗ あなたは×人にブロックされています」
「Twitterの鍵付きを覗くツールあるって知ってた？」
診断テスト系
「これ分かる人いる？難し…」
「視力だけじゃできない #スマホ視力テスト」

気になっても一旦立ち止まって、信頼できるアカウントなのか確かめましょう。
とくにFacebookでもそうですが、診断系の投稿は要注意です。
最悪の場合、いろいろやられてアカウントを乗っ取られてしまうこともあります。「診断系」は触らないのが一番ですね。

ツイッターで連携認証を求められる画面で「このアプリケーションは次のことができます」と表示されます。
そこに「ツイートする」とあった場合は要注意。認証するとあなたの意志とは関係なく、アプリが勝手にあなたのアカウントでツイートします。
内容をきちんと確認して、自分の責任で認証するようにしましょう。

もし、うっかり連携の認証をしてしまった場合はPC版の「アプリ連携」から解除できます。

気になったら、相談してみよう！

DMM.comを語ってショートメール（SMS)を送りつける詐欺が相次いでいるようです。
消費者庁でも注意喚起されています。



『「有料コンテンツの料金が未払い」「裁判手続きをしている」――DMM.comかたるSMS、消費者庁が注意喚起』
ITメディアニュース　2017.3.1
http://www.itmedia.co.jp/news/articles/1703/01/news103.html

以下引用です。

不審なSMSは「有料コンテンツの利用料金の支払確認が取れません」「有料動画閲覧履歴があり未納料金が発生しております」などという内容。「本日連絡なき場合、訴訟手続きに移行します。至急ご連絡ください」と消費者の不安を煽るという。

支払いを承諾したユーザーには、通販サイトのギフトカードをコンビ二エンスストアで購入させ、カード番号を電話で連絡するように指示してくるという。カード番号を教えたユーザーには、別会社でも未払い料金が生じているとし、追加の支払いを要求することもあるという。

今回の気づくべきポイントです。
・まともな会社なら、SMSでそんな連絡が来ることはまずありえない。
・まともな会社なら、支払にギフトカードを求めることもありえない。
・そもそも有料コンテンツは前払いで利用する型式。
・身に覚えない請求はまず詐欺を疑ってかかる。消費生活相談窓口へ相談する。

上記の引用にもあるように、一旦支払に応じてしまうと「あ、こいついいカモだな」と判断されて名簿に載り、いろんな詐欺の請求が届くようになります。
絶対に相手にしてはいけません。
気になる場合は、届いたSMSやメールの文面にのっている連絡先（→詐欺の可能性あり）ではなく、公式サイトなどを確認して確実に間違いない連絡先へ問い合わせたり、消費生活相談窓口や警察へ相談しましょう。

独立行政法人　国民生活センター　消費生活相談窓口
http://www.kokusen.go.jp/category/consult.html