セキュリティのカテゴリアーカイブ

httpsandroiderror.jpg最近、WEBサイトをhttps化(SSL化)する動きが活発である。いまや、われわれが日常見るWEBサイトは過半数がhttpsのサイトになっているようである。JIMDOサイトも常時SSLになっているし、一般企業やネットショップもhttps化がかなり進んできた。しかし、PCやiPhoneでは問題なく表示できていても、アンドロイド端末でhttps表示の「エラー」が頻発するという事態が頻発。最近、https化したばかりのWEBサイトでも起きているのでとても困った問題になっている。

のブログ記事の詳細を読む

linespam.jpgLINEからのなりすましメールが続々と届いている。
「お客様のLINEアカウントに異常ログインされたことがありました。ウェブページで検証してお願いします。こちらのURLをクリックしてください。」という警告メッセージのあとに「www.line.me」のリンクがある。このメールはhtmlメールなので、実際のリンク先は一致するとは限らない。htmlソースを調べてみるとリンク先は「http://www.linelinepe.me/」となっている。このドメインのIPアドレスを調べてみると、IPアドレス 202.168.149.197で、IPアドレス割当てエリアは香港になっていた。あきらかに悪意がある不正メールである。

のブログ記事の詳細を読む

保護されていない通信Googleクロームのアドレスバーに「保護されてません」と表示される企業サイトが増えている。今年に入りGoogleクロームがバージョンアップされてから、https化(SSL/TLS対応)のサイトはアドレスバーに「保護された通信」と表示されるようになった。当社のサイトは2年前からトップページからすべてをhttps化しているのでこの表示になるはずである。httpsになっていないサイトは注意マークがでるが、個人情報入力などのフォームページになると「保護されていません」と強い警告が表示される。

のブログ記事の詳細を読む

scanmadvisercom200.jpgあやしいWEBサイトが増加している。今年に入り、数件の詐欺サイトに関する相談を受けている。いずれも詐欺サイトで購入したユーザーではなく、詐欺サイトに自社商品を勝手に掲載され困っているネットショップ企業からという案件である。最終ユーザーが「商品購入しようとしてお金を振込したのに商品が届かない」というクレームが直接寄せられるため発覚することが多い。直接的な被害にあうのは最終ユーザーであるが、健全なネットショップ運営をしている企業にとっても深刻な問題になっている。
最近の詐欺サイトはよくできており、一見しただけでは騙して金を集めるだけのホームページとはわからないことが多い。まずは、一消費者として、詐欺サイトかどうかを見極める情報リテラシーの向上がますます必要になっていると感じる。その対策のひとつとして、あやしいと思ったホームページのURLだけでそのWEBサイトの健全性を調べるWEBサービスを利用するという方法がある。

のブログ記事の詳細を読む

常時SSL今年は常時SSL化の流れが一気に加速する年になるだろう。Googleが「https」で始まるSSLサイトとそうでないサイトを明確に区別しだしている。最近はCMSとしてWordPressを利用しているWEBサイトも多いが、SSL化が簡単にできるレンタルサーバとそうでないレンタルサーバーがある。
実は、さくらインターネットはWordPressでのSSL化がむずかしいレンタルサーバである。昨年、さくらインターネットのサポートに問い合わせたさいには、ラピッドSSLを使ったSSLでWordPressで構築した場合には正式サポートができませんと明言された。wwwの有無でリダイレクトされる設定など複数の原因で、WordPressのSSL化がうまくいかないのである。このときはさくらのVPSサーバを勧められたが、VPSサーバにするのは断念して他の方法を探っていた。
いろいろと調べてみると、「wp-config.php」と「.htaccess」に追加記述をすると、WordPressでSSL化がうまくできることがわかった。その方法を以下に紹介する。

のブログ記事の詳細を読む

Vサインで指紋漏洩?「指紋がネットで狙われている!手の画像は悪用恐れ...国立情報学研が新技術の実用化目指す」というNEWS記事があった。最近のスマホの普及で、SNSなどにプライベートな写真が多数表示されるようになった。なかにはVサインしたり、手相を出したり、指紋がわかるくらいの手の写真がアップされていたりする。スマホの写真撮影精度が高くなっており、高詳細画像であれば指紋が取得できるようである。ネット上の手の写真から指紋を採取し犯罪に使われた事例も出ているようだ。うかつにVサインなど指紋が見える写真をSNSにアップするのは控えたほうがよさそうだ。

のブログ記事の詳細を読む

hogosaretatsushin.jpgGoogleChrome(グーグルクロームというWEBブラウザ)でWEBサイトを閲覧するとURL表示の部分が変化している。アドレス表示スペースの前の部分が、非SSLページだと「!」で、SSL対応ページだと「保護された通信」という表示が出るようになった。この仕様変化はここ数日のことだろう(少なくとも昨年はこのような表示ではなかった)
かなり目立つ表示なので、気づいた方も多いのではないだろうか。このことは、グーグルがSSL通信の重要性を重視していることを物語っているといえるだろう。

のブログ記事の詳細を読む

ffwebanzendehanaissl.jpg当ブログ「tohdamikio.com」は先月から常時SSLにて運用を開始した。GoogleクロームやIE(インターネットエクスプローラー)では問題なかったが、ファイヤーフォックスで表示したときだけエラーがでる現象が起きていた。ファイヤーフォックスで/を開くと「安全な接続ではありません」という表示がでて、表示を完全にブロックされてしまう場合がある。「この接続は安全ではありません」という表示をクリックして詳細を見ると「混在コンテンツのブロック」が原因と書かれている。要は一部のSSL外からの画像参照があるため表示をブロックしたというようなことが書かれている。このままではファイヤーフォックスを使っているユーザーにはホームページを見てもらえないので原因追求と対策を講じていたが、6月に入りやっと解決した。

のブログ記事の詳細を読む

phishing巧妙かつ悪質なフィッシングメールが飛び交っている。本日届いたフィッシングメールはスクエアエニックスを名乗ったもので、非常に巧妙にできていた。送信元のメールアドレスは本物で、メール内にhtml表示されているURLも本物。これでは騙されてしまう可能性が高い。
ただし、表示されているURLをクリックすると、誘導されるURLは表示されている本物のURLとは違うURLになっていた。このメールはhtmlメール(いわゆるリッチテキストメール)なので、表示されているURLと実際のURLは変えることができるということを応用したものだ。

のブログ記事の詳細を読む

常時SSL昨年、株式会社ドモドモコーポレーションの公式企業サイト「dm2.co.jp」を常時SSLにした。今月になって当社PRサイト「domo-domo.com」も常時SSL化した。そして今週から、遠田幹雄公式ブログ「tohdamikio.com」も常時SSLになった。これで当社を代表する3つのドメインが常時SSL化された。他にも複数のドメインはあるが、当面SSL運用すべきと考えられる3つの主要ドメインが常時SSL化できたので、これでしばらく様子をみることとする。
ヤフーが全サービスを常時SSL化することを発表してから、常時SSL化の流れは勢いを増しているように見える。企業の公式サイトや代表するサイトはhttpsから始まる常時SSLにすることが求められているのではないだろうか。

のブログ記事の詳細を読む
このページはTwitter、はてな、Google+、FacebookなどのSNSで以下のような反響があります。
なお、コメントはFacebookにログインしている状態でのみ受け付けております。セキュリティ上の観点からこのようにしております。ご了承願います。
このエントリーをはてなブックマークに追加