セキュリティ

いろんな周辺機器

FWとVPNを一体化させる利点・欠点(UTM)

ファイアウォールにVPN機能を組み込むことは、一見便利ですが問題もあります。 ファイアウォールとVPNを分けて、それぞれに特化したシステムを使った方が管理しやすいことも多いのです。 特に、大規模な組織やクラウドサービスを主に使う場合、UTM(統合脅威管理)は適していません。 「Keep It Simple and Stupid」ということかぁ。 外部から社内システムにリモートアクセスするより、直接...
とりあえずのメモ

本当にVPNじゃないと危ないの?(スマホ用の必要性)

社外から社内システムやクラウドサービスにリモートアクセスするなら、VPNは必要。 個人なら、公衆Wi-Fiを利用したいなら、そのセキュリティのために有効。そうでなければ、あまり必要はない。 セキュリティを重視する人は、大抵は公衆Wi-Fiを利用しないように心がけていることが多いので、セキュリティ対策としてVPNが必要なケースはあまりないです。 VPNを勧められたけど…… 携帯ショップにスマートフォ...
Windows

VPNがオンだとサインインできない?

結局、VPNは何をしているセキュリティなのでしょうか? 仕事用PCで使う場合と、個人用スマホで使う場合には区別して考えましょう。 「VPN」はインターネット通信の間に入る仕組みです。また、VPNアプリは、同時にファイアウォールや詐欺サイト検出などのセキュリティ機能もセットになっていることが多いです。 自宅のWi-Fi(パスワード保護あり)で Microsoftアカウントにサインインしようとすると失...
とりあえずのメモ

[WordPress]Ad Invalid Click Protectorのマルウェア感染と修復(1.3.0)

「Ad Invalid Click Protectorの改ざん」 WordPressプラグインの「Ad Invalid Click Protector」を使っています。 (公式サイト) Ad Invalid Click Protector (AICP) – WordPress plugin | WordPress.org GitHub - isaumya/adsense-invalid-click...
iPhone

[iPhone]クイックスタートで移行できない設定とは?

iPhoneの「クイックスタート」は、多くのデータを新しい端末に移行できます。 しかし、完全ではなく、セキュリティ関連の設定や他社サービスの情報などは自動的に移行されないことがあります。 移行後は、Bluetooth機器の接続確認やアプリの再認証など、個別の設定が必要な場合があるのです。 クイックスタートのデータ移行は完全ではない iPhoneのクイックスタートでは、古いiPhone内のデータを「...
iPhone

[iPhone] パスワードが流出した恐れがある?チェック機能

iPhoneの設定には「パスワード」項目があり、保存済みパスワードを管理できます。 パスワードのセキュリティチェック機能があり、漏洩の可能性があるパスワードを検出し、自動生成機能で安全なパスワードを作成できます。 iCloudキーチェーン機能を使うと、パスワードをクラウド上で安全に管理し、複数のAppleデバイスで共有できます。 (参考) iPhone で保存済みのパスワードやパスキーを調べる -...
とりあえずのメモ

ハッシュ化とは?(かんたんな実装から)

「ハッシュ化」とは、単語や文章などを数値に変換する方法です。 ハッシュ値を索引にデータを保存すると、長い情報も短い数字で表せるのでたくさんの情報を小さなスペースで管理できます。 また、元の文字列には戻せない一方通行の変換ですが、同じ文字列からは同じハッシュ値になるので「照合」に使えます。 ハッシュ関数とハッシュ化、ハッシュ値 ハッシュ関数とは、例えば このような関数です。 ハッシュ関数とハッシュ値...
iPhone

Xのセッションの「web」とは?

iOSアプリしか使っていないのに「web」セッションがある? Xの設定を見ると、「アプリとセッション」内の「セッション」に「web」と表示されていました。 iPhoneの公式アプリだけを利用しているのに、「web」があるのは乗っ取られているのでしょうか。 確認してみると、新規ログインの通知や身に覚えのない連携アプリなどはなく、アカウントアクセス履歴にあるのも iPhoneのみです。たまにアカウント...
SNS

間違って「アプリで共有」をタップしたけど大丈夫?(インテントとアプリ連携)

「アプリで共有」機能は、閲覧している情報をほかのアプリに引き継ぐための機能です。 うっかり誤って触れると、個人情報やプライバシーに関わる情報を送ってしまう可能性もあります。 しかし、すぐに閉じてキャンセルすれば問題ありません。 スマートフォンには、かんたんに情報共有する機能があります。 特にプライベートな情報を扱う時には慎重に操作し、送信履歴を確認するなどの注意が必要です。 YouTube動画でも...
インターネット小話

「二段階認証」と「二要素認証」の微妙な違いについて

「二段階認証」と「二要素認証」は、本来の意味が少し違います。 しかし、私たちが使う時はほとんど同じと考えても構いません。というのも、私たちが普段「二段階認証」と呼んでいるものは、多くの場合、正確には「二要素認証」のことを指しているからです。
とりあえずのメモ

仕事の迷惑メール対策をした(二要素認証とスパムフィルター)

迷惑メールが増加し、不正アクセスのリスクが高まっています。 2要素認証の設定とアカウント登録用メールアドレスの分離が、パスワード漏洩の被害を防ぐ有効な対策です。 迷惑メールフィルターの強化とメールクライアントの設定変更、セキュリティソフトの導入、利用者教育が、迷惑メール対策に役立ちます。 迷惑メールの増加とリスク対策 いったん不正アクセスの侵入を許してしまうと大きな被害になります。金銭的な被害だけ...
とりあえずのメモ

ベイジアンフィルタとは?(ベイズの定理とスパム判定)

「ベイジアンフィルタ」は、条件付き確率の考え方(ベイズの定理)をもとに迷惑メールである確率を計算する、古典的な手法です。 過去のスパムメールと非スパムメールから単語の出現頻度の違いを学習して、新しく受信メール内の単語の組み合わせからスパム確率を計算するのが特徴です。 ただし、判断材料が単語の出現頻度に依存しているため、正しいメールに似せた文章だとスパムと見分けられないことがあります。 たとえば、「...
インターネット小話

迷惑メールフィルターはいかにして迷惑メールを判定し、なぜブロックしきれないのか

迷惑メールフィルターは、様々な手法を組み合わせて迷惑メールを判定します。しかし、どうしても見逃しや隔離しすぎの判定ミスがあります。 これは、プログラムは個人の価値判断を完璧には代行できないことが本質的な原因です。 AIに「丸投げ」したらいいのに。 自動車の自動運転のように、人間を「補助」するのが主な役割なんだね。 YouTube動画でも話しています。 代表的な迷惑メールの判定方法と限界 たくさん届...
とりあえずのメモ

cPanelの迷惑メールフィルターを強化した(Apache SpamAssassin)

仕事用のメールアドレスに届く迷惑メールが、うまく振り分けられていないことに気づいたので、メールサーバーの設定を変更することにしました。 cPanelのスパムフィルタ 私が使用しているレンタルサーバーでは、「cPanel」の管理メニューから「スパムフィルタ」が設定できました。 このスパムフィルタは、「Apache SpamAssassin」が搭載されていました。 スパム閾値スコアを下げる 関係するの...
Mac

無料のセキュリティソフトAvastの注意点(2020年のデータ販売)

基本的にはWindows 11の組み込みセキュリティ機能で十分です。 あえてセキュリティソフトの使うなら、信頼できるソフトでないとセキュリティを強化したことになりません。 たとえば、無料セキュリティソフトの代表格であるAvastは、ユーザーの閲覧データを収集し外部に販売していた過去があります。 無料版のセキュリティソフトを使う前に、プライバシーポリシーをよく理解し、データの収集や使用について把握し...
とりあえずのメモ

【注意】ヤマト運輸を偽装した詐欺メールが届きました

だまされそうになった背景 たまたま前日にAmazonの注文をしていた ふだんからクロネコメンバーズの再配達を利用していた 怪しさに気付いたポイント ふだんのAmazonの配達連絡と違う なんの配達なのかやどの住所宛てなのかがメールに書かれていない YouTube動画でも話しています。 不審なヤマト運輸(?)のメール 「ヤマト運輸(?)」からのお荷物情報のメールが届きました。 差出人:ヤマト運輸 件...
とりあえずのメモ

「エントロピー」とは?(予測不可能性とパスワードの強さ)

パスワードの「強さ」を示す指標として「エントロピー」が使われ、パスワードの取りうるパターン数の2を底とする対数で計算されます。 パスワードに含まれる文字の種類を増やしたり、文字数を増やしたりするとエントロピーが高くなります。 一般に「英数記号12文字以上のパスワード」が推奨されるのは、エントロピーを高くするためです。 ただし、総当たり攻撃への耐性を高めるには、「完全にランダム」なパスワードにする必...
Android

通常とは違うロック画面が出てきた(Galaxy A22)

GalaxyA22で「画面の中央には錠のマークが表示されるロック画面」が表示されました。 ロック中の画面には、ふだんの壁紙ではなく「新ZAQ」というアプリのエラーメッセージが表示されていました。 どうも「新ZAQ」は「ゲーム扱いのアプリ」で、Galaxyの「Gaming Hub」機能と関連したロックボタンを誤って押したことが原因だったようです。 環境 GalaxyA22、J:COMモバイル Gal...
#非営利

【解説】入力しやすいパスワードを考えてくれるツールを作った(パスワードエントロピーと入力)

ツール本体へ(広告なし・軽量版) パスワードは毎回 ランダムに生成されます。気に入ったパスワードをタップするとコピーできます。 ほかのパスワード候補に変える function generatePasswords() { const symbols = "!@#$%^&*()_+"; const letters = "abcdefghijkmnopqrstuvwxyz"; const numbers...
Android

「アプリを保護」とは

「アプリのセキュリティ」は、Androidスマートフォンのセキュリティ設定の一つで、マルウェアや不審な動作を検知するための機能です。 「アプリのセキュリティ」では、インストールされているセキュリティアプリのどれを有効にするかを選択することができます。 「アプリを保護」は、Google Play プロテクトと機能が重複する可能性がありますが、一般的には両方を有効にしておくことが推奨されます。 アプリ...
Android

ドコモあんしんセキュリティを動くようにする設定(アプリ権限)

セキュリティアプリの契約をしていても、アプリが初期状態のまま動いていないケースが多いです。 ショップでおすすめされたのに、動く状態に設定してくれてなかったの? 「あんしんセキュリティ」を動けるようにするためには、初期設定があります。 主に、利用規約の同意、dアカウントのログイン、アプリ権限の許可です。 あんしんセキュリティは、ドコモの有料サービスのため、dアカウントによる本人確認があります。 また...
とりあえずのメモ

パプリックDNSと公衆Wi-FiとDNSトラフィックの暗号化

公衆Wi-Fiは、個人宅のWi-Fiルーターに比べ設定内容が不明で、信頼できないDNSサーバーに接続される危険性を考える必要があります。 そこで、信頼できるパブリックDNSを利用して、偽サイトに誘導されるリスクを減らします。 ただし、パブリックDNSを安全に利用するには、端末からDNSサーバーまでの通信(DNSトラフィック)を暗号化することが重要です。 公衆Wi-Fiでの接続先は信頼できるのか? ...
アカウント

Google Authenticatorとは?

「Google Authenticator」は、いろんなサービスでの二段階認証を補助するアプリです。 認証アプリは、SMSを受信できない端末でも一時的な認証コードを取得できる仕組みです。 対応しているサービスなら、あらかじめ二段階認証の設定をしておくことでアカウントのセキュリティを向上できます。 ユーザーは、事前に利用しているサービス(たとえば、Instagramなど)の設定で「二段階認証」を有効...
iPhone

迷惑メッセージに悪用される短縮URLのチェック(t.co)

迷惑メッセージの中のリンクに、Xの短縮URL(t.co)が使われていました。 Xでは短縮URLを生成するときに、「危険なサイトリスト」に含まれていたら、警告メッセージを付けたり、ブロックしたりしています。 また、ブラウザ側でも閲覧前にGoogleやAppleが持つ「危険なサイトリスト」と照合して警告を出します。 短縮URLから偽サイトへ誘導された 最近、配送業者を装ったショートメッセージがありまし...
とりあえずのメモ

DNSのセキュリティ(DoH, DoT, DNSSEC)

DNS通信を暗号化する方式には、DNS over HTTPS(DoH)とDNS over TLS(DoT)があります。 DoHとDoTは、セキュリティ証明書や公開鍵・非公開鍵を使ってDNS通信を暗号化しますが、利用するポート番号が異なります。 DNSSECは、DNSサーバに偽の情報が記録されないようにするための、署名に基づくセキュリティ技術です。 DNS over HTTPとDNS over TL...
スマホ基礎

[AdSense]自分のサイトに表示された偽装広告に対処した(不適切な広告をブロック)

自分のサイトで、記事の「続きを読む」ボタンに偽装した不適切な広告を発見し「ブロック」しました。 広告の行き先はサポート詐欺の偽サイトで、広告主は同様の広告を長期的に出し続けているようでした。 SNSでも同様の被害が発生しており、インターネット広告業界の自浄作用はなかなか期待できないのかもしれません。 YouTube動画でも話しています。 変な広告ボタンを発見 自分のサイトを見ていたら、「次のページ...
とりあえずのメモ

どうしてサイトによってクレジットカード情報のCVCの入力の要不要が異なるの?

オンライン決済時にCVCの入力を求めるかどうかは、店舗や企業が選んだ決済サービスによっています。 CVC(カード認証コード)は、オンライン取引でのクレジットカード不正利用を防ぐために導入されました。 カード裏面に書かれたCVCを求めることで、「カード情報」を盗まれただけでは不正利用ができないようにしているのです。 クレジットカードそのものを盗まれたら意味がないけどね。 CVCの入力を求めるかどうか...
Android

夜間に「国際ワン切り詐欺」の電話がかかってきて困った(BASIOの着信音や電話ボタンの点滅)

知らない国際電話番号から着信があった場合は、折り返し電話をしないでください。 夜間の迷惑電話対策として、着信音を一時停止したり、着信拒否や受信拒否を設定することができます。 BASIO の不在着信ランプを消すには、通知画面から不在着信の通知を削除してください。 「+」で始まる国際電話には折り返さない(国際ワン切り詐欺) BASIO を使っています。先日、「+」で始まる見慣れない国際番号から電話がか...
とりあえずのメモ

セコムの電子明細を確認するには?(電子メールお知らせサービス)

環境 らくらくスマートフォン、ブラウザ:Chrome セコムからの電子明細は、「電子メールお知らせサービス」内の会員ページで閲覧できます。 ログインページで本人確認をしてアクセスします。 (参考) 電子メールお知らせサービスログインページ 【セコム電子メールお知らせサービス】よくあるご質問 ブラウザにパスワードを保存している場合、まずパスワード入力欄をタップします。すると、「次のアカウントで続行」...
Android

[Google] 「デバイスを探す」ネットワークとは?

「デバイスを探す」ネットワークは、Googleが提供する、紛失したAndroidデバイスを探すための仕組みです。 この仕組みでは、Androidユーザーが協力し合って、お互いの紛失したデバイスを探し合います。 デバイスの位置情報は暗号化されており、持ち主本人しか見ることができません。 Appleの「AirTag」のAndroid版だね。 いつの間にか、デザインが変わっているね。 YouTube動画...
Windows

[Windows 11] ディスク領域不足で更新できない

Windows 11の更新時に、ディスク容量不足のエラーが表示されました。 対処法としては、不要なファイルの削除や外付けストレージへの移動などが有効です。 ディスクの最適化機能だけでは効果が限定的なので、大容量ファイルの削除が一番おすすめです。 Windows 11でディスク領域不足で更新できないエラー通知が表示されたので、記録しておきます。 Windows Updateができない? パソコンを使...
とりあえずのメモ

なぜオンライン版ExcelでエクスポートしたPDFが「JavaScriptの機能を使用している」の?(自動印刷処理)

オンライン版Excelからエクスポートした PDFで、JavaScriptの機能が使用されているという警告が表示されました。 これは、PDFを開いたらすぐに印刷できるスクリプトが埋め込まれているためです。 しかし、PDF内のJavaScriptにはセキュリティ上の懸念もあり、なるべくならオフにしておきたいです。 ローカルのExcelからPDFにエクスポートすれば、JavaScriptは含まれません...
Android

EXアプリで「生体認証が一時的に利用できません」?(Secure Lock Screen機能)

「EXアプリ(Android版)」で顔認証を使ってログインしようとしたら、「Secure Lock Screen機能が無効になっているか、指紋/顔情報が登録されていません」というエラーが出ました。 「Secure Lock Screen」は、Androidの「画面ロック」が有効なら機能しているはずなので、エラーメッセージは的外れです。 よく調べてみると、EXアプリ(Android版)は指紋認証には...
iPad

iPadでもサポート詐欺が表示された、その閉じ方(タブ)

「突然iPadにウィルスの警告画面が表示されて困った」という相談がありました。 実はこれは「サポート詐欺」と呼ばれる悪質な手口。 「画面を閉じるだけで問題ない」のですが、タブ操作に気づかないケースも多いです。 サポート詐欺に遭わないためにも、ブラウザの基本操作は大切ですね。 YouTube動画でも話しています。 突然 iPadに表示された(偽の)警告画面 「iPadを使用中に突然ウィルスの警告画面...
Windows

古めのパソコンの「今風」の終了の仕方(Windows 10の事例)

古めのパソコンで動作が異常に遅い場合、こまめに「シャットダウン」する習慣が原因になっていることがあります。 今のパソコンは背後で更新処理を実行していて、まとまった時間起動させておく必要があるからです。 また、生活の中でパソコンを活用するには、すぐに使える状態にすることも大事。ふだんは「スリープ」がオススメです。 シニアの方の家庭用パソコンだと、10年以上前のものが現役のことも多いです。とくにWin...
クラウド

Dropbox Signからハッシュ化されたパスワードなどが情報流出した(2024年4月)

Dropboxは4月24日、不正アクセスによってユーザーの個人情報が流出したと報告しました。 ただし、Dropboxによると、今回の不正アクセスは電子署名サービスDropbox Sign(旧HelloSign)の情報基盤に限定されているとのこと。たとえばDropboxのオンラインストレージのみを利用している個人ユーザーにとっては直接関係ないと言えます。 反対に、オンライン契約での電子署名にDrop...
とりあえずのメモ

詐欺サイトはスマホを狙う(ユーザーエージェント)

クレジットカードなどの利用照会を装うメールから偽サイトに誘導する詐欺が横行しています。 ところが、パソコンからアクセスすると適当な大手サイトにリダイレクトされました。 スマートフォンからアクセスしたときだけ偽のログインページを表示するように、「ユーザーエージェント」という情報を使っていました。 詐欺メールがスマートフォンを狙うのは、コンピュータ関係に詳しくない利用者が多い、と考えられているからでし...
セキュリティ

「SIMハイジャック」とは?

「SIMスワップ」は、犯罪者が携帯会社をだまして、あなたのSIMを不正に入手する詐欺です。 携帯電話番号を乗っ取られると、あなたのふりをしてオンラインサービスに不正アクセスされてしまいます。
アカウント

「認証」とは?(AuthenticationとVerification)

アカウントの「認証」とは、かんたんに言えば「本人確認」のこと。たとえば、オンラインサービスを利用する際に、あなたが本人であることを確認するプロセスです。 認証の判断材料には「生体情報」「所持情報」「知識情報」の3つの要素があり、それぞれ顔や指紋、ICカード、パスワードなどが使われます。 最近は、セキュリティを強化するために、これらの要素を組み合わせた「多要素認証」が推奨されています。 認証 「認証...
とりあえずのメモ

[mixhost] メーリングリストに配信停止機能を追加できそうにない(mailman)

レンタルサーバー会社のmixhostから、メーリングリスト機能(mailman)についての大切なお知らせが届きました。 実は Googleのガイドラインが変更されて、mixhostのmailmanではこれからの基準を満たせそうにないとのこと。 もし、メーリングリストを使い続けるなら、ほかのサービスに移行が必要なようです。 今回のGoogleのスパム対策は、けっこう本気というか、影響範囲が多いですね...