パスワード大量流出時代のセキュリティ対策
こんにちは、ピーシー・ブレインの高山です。
今年は噴火に始まり大雨・台風・地震と災害の多い年になっています。備えを見直さないといけないようです。 さて、今月も様々な話題をお届けします。
Contents
パスワード大量流出時代のセキュリティ対策
日経ビジネス9月10日号にも特集されていますが、大量のパスワードが流出してしまっています。
▼パスワード使い回しの危険性
これまでにもいろいろなところで言われていることですが、パスワードの使い回しは本当に危険になってしまいました。
これだけ多くのネットサービスがあると、どうしてもパスワードを共用したくなります。決して他人ごとではなく私自身もそう感じています。
ただ、これだけ多くの情報が対象となると、自分の情報も含まれている可能性も高くなります。
全てのパスワードを覚えようとはせずにツールなどをうまく利用して管理してゆくことが必要になってきています。
▼便乗詐欺にはくれぐれも注意を!
流出したパスワード情報を利用した詐欺メールも既に出回っています。
この手口では、メールアドレスと脅迫文の中で利用されているパスワードが本物(流出元のいずれかのサービスで利用していたもの)が記載されており、より信憑性を高めるようになっています。
これは詐欺の一種で、流出した情報をそのまま記載しているだけで、実際には書かれているようなサービスの利用状況とは関係がありません。
そうは言っても、覚えのあるパスワードを目にしたらかなり動揺するのではないでしょうか。心理面を大きく揺さぶる悪質な詐欺メールは急増しています。このような手口に出会ってもしっかりと対処できるような知識を身につけておきましょう。 そして、自分だけでなく社員・スタッフへ啓蒙して会社の資産を守るようにしましょう。
- ・仮想通貨を要求する不審な脅迫メールについて (JPCERT/CC)
https://www.jpcert.or.jp/newsflash/2018080201.html
混合コンテツになっていませんか?!HTTPS対応の落とし穴
これまでに何度かお伝えしていますが、グーグルのブラウザChromeが今月10月にリリース予定の最新版ではHTTPSでないページに対してより強烈な警告が表示されるようになります。
これだけ目立つようになると、ちょっとインパクトが出てくるということで、急ぎHTTPS化を進めているところもまだあるでしょう。
そのHTTPS化の際のポイントで注意が必要なのが、タイトルにも挙げた「混合コンテンツ」です。
▼混合コンテンツとは?
Webページは、一つのファイルだけで構成されている訳ではなく、基本となるページの要素(多くはHTML)に、画像などの複数の要素の組合せでできています。
混合コンテンツとは、HTTPSのページの中にHTTPで参照される画像やスタイルシートなどのコンテンツが混ざってしまっている状態のものです。
混合コンテンツのページについては、ブラウザは保護されていないページと認識をします。
インターネットエクスプローラでは、混合コンテンツのページではHTTPのものをブロックしますので、一部が表示されなかったり、画面レイアウトが崩れたり、あるいは意図しないものを表示するようなことも起こりえます。
▼CMSでの注意点
WordPressなどで作られたホームページでは、管理画面上で変更するだけで公開ページをHTTPSにすることはできますが、過去に作成したページや投稿記事内で使っている画像についてはHTTPのまま変更されません。画像などの参照先リンクを書き換える必要があるのです。
CMSだから簡単に対応できると思っていたら、実は過去のページを全部見直さないとダメだったということにあるので、過去に作ったページについてもしっかりとチェックしておきましょう。
なお、混合コンテンツであるかどうかはブラウザの「デベロッパーツール」「インスペクター」という機能を利用するとチェックすることができます。
この例では、「logo.gif」という画像が、httpコンテンツとして指定されてしまっているために混合コンテンツになってしまっています。
なお、自分で配置した画像などのコンテンツだけでなく、広告、効果測定やアフィリエイト用に設置したタグが原因となっている場合もあるので、これらについても確認が必要です。
サポート便り
ファイルやデータなどをメールでやりとりされている方は多いと思いますが、メールで添付できる容量には制限があります(せいぜい数十MBで、現実的には20MB未満でしょうか)。高解像の多くの写真データや音声・動画など、データサイズのおおきなものを送りたい場合には、別の手段が必要になってきます。
そんな時に便利なのが、「ファイル転送」というサービスです。
ここでは無料で利用できるものを中心にお伝えしたいと思います。
■ファイル転送サービス
基本的な使い方としては、データ・ファイルをアップロードすると、ダウンロード用のリンク(URL)が発行されるので、それをメール等で受取人に知らせます。
その際に、ダウンロード用のパスワードを設定することもできます。
▼無料で利用できる主なサービス
宅ふぁいる便 https://www.filesend.to/ |
古くからあるサービスで知名度は高いです。300MBまで送れます 登録せずに利用することもできます。また、有料サービスもあります。 |
---|---|
firestorage http://firestorage.jp/ |
2GB、保存期間は7日間 会員登録せずに利用することもできます |
Giga File便 https://gigafile.nu/ |
100GBまで送ることができますので、動画など容量の大きなものを送る際に利用されることが多いです。 |
▼ファイル転送サービス利用時の注意点
- アップロードしたデータ・ファイルは、特に指定がなければ保存期限まで削除されません。
- 積極的に削除したい場合は、会員登録して利用するなどの手続きが必要です。
- 無料サービスなので、利用者が多い等の理由でダウンロードに時間がかかる場合もあります。
- また、メンテナンスや障害などで利用できない場合も起こりえます。
- アップロードやダウンロードする際の画面には広告が掲載されているので、企業内からの利用時には遮断あるいは制限されてしまう可能性もあります。
なお、授受の記録を残す必要がある場合や、メール転送などによる拡散を防ぎたい場合には、よりセキュリティの強固な法人向けのサービスやオフラインによる方法を利用してください。
■オンラインストレージサービスの利用
上記で紹介したファイル転送サービスとは別に、Dropboxなどのオンラインストレージを利用してやりとりする方法もあります。
▼オンラインストレージサービス利用の特徴
同期が完了している状態であれば、ファイルをわざわざアップロードする必要がありません。端末上で共有のための操作を行うことができます。
「共有」という形となるので、利用者を制限したい場合は、パスワードを設定した方が良いです。なお、有効期限を設定しない場合は、いつまでも共有設定が有効になるため、共有不要になった時点で設定を解除する必要があります。
スタッフのツイート
【藤井】
ここ1年程、暴飲暴食が過ぎましたので節制の季節に入りました。
大塚食品の「マイサイズ」シリーズがかなり重宝しています。
レンジでチンするマンナンご飯150kcal+レトルトおかず100kcalで味も問題なく満腹感もあり。あとはヨコオデイリーフーズのこんにゃく麺「月のうさぎ」。臭みがなく、冷やし中華風で付属のタレも美味しいのですが、だんだん涼しくなってきたので消費が辛くなってきました…。
糖質制限ブームのせいか、数年前に節制生活を送った時よりも色々な選択肢が増えてて有難いですね。
【瀬川】
今年の異常気象はこれまでにはなかった、なにか異質なものを感じます。
これからはずっと今年のような異常気象が続いていくのでしょうか。
地球に変革期が訪れているのでしょうか。
特に災害大国の日本ではどこの地域にいても絶対安全だということはないと意識を根本的に変えていかなければならないなと最近つくづく思います。
【田島】
だいぶ涼しくなってきて、夜の扇風機も止めていることが多くなりました。
秋の夜長に読書…と洒落込みたいですが、最近読んだのは、懐かしい少女漫画。
もう、うん十年も前に出会った少女漫画ですが、若かりし頃を少しだけ思い出してフフッとなりました。
この次のお休みは、家族にもお休みをもらって漫画喫茶にでも籠ってみようかと思います。
【青木】
地元に帰省する際にはいつも、今回のお土産は何にしようかなと悩みます。
この時期は千葉県名産の梨や落花生を持っていくことが多いですが、話題のお菓子があると都内まで買いに行って、お土産を理由に自分の分もたくさん買い込むのが楽しみだったりもします。皆さんの地域でおすすめのお土産があったらぜひ教えてください。
【高田】
日が暮れるのが早くなりました。朝晩肌寒い日もあり、秋の気配です。
つい先日までフローリングで寝ていた我家の猫、けんちゃん。
肌寒いのか、ブランケットの中に潜り込んでくるようになりました。
真夜中、「入れてー。」とばかりに肩口をカリカリされ・・・目が覚める。
寝返りを打てば、「動かないで!」と怒られ・・・目が覚める。
寝不足気味な秋の夜長です。