Archives

フィッシングメールにご注意

みんな気を付けてよ!

先日、いつもどおり始業時刻の1時間前に出社してPCを立ち上げると、勤務先のメールボックスに他部署の業務に関する、しかし明らかに私には無関係な内容のメールに対して、まったく関係なさそうな他の部署の人が「宛先違いなので自分を宛先から除いてください」と全返信で返しているメールが入っていました。元のメールは入っていないのに返信だけ入っているというのも妙だったのですが、それをわざわざ送り主以外の全員に返信する意味がわからないなあと思って眺めていました。そもそも、送信先に私のアドレスは入っていなかったのですが、どうやら勤務先全従業員を対象にしたエイリアスを誤って送り先に入れてしまったようで、事業所のトップ以下数千人にそのようなゴミメールを送り付けてしまっていたはずです。

それだけなら「困った人だ」くらいで済むのですが、その後徐々に出社してきた人がPCを立ち上げて「私も…」とやり始めて、結局20人程度の人が同じようなゴミの投げ合いを始めてしまいました。最初の数人はまだしも、そんなメールが何通も届いているのを見て「何か変だ」とは思わないものなのでしょうか。まあ、数千人のうちの20人なので全体の1%にも満たないわけで、その程度の割合では避けられないものなのかもしれません。

それとは直接関係ないのですが、今日は私の私用のメールボックスにAmazon.co.jpから「注文通知」という件名の見たことのないメールが届きました。内容は「請求書」となっていて、Launchpad MiniなるUS$114.99の製品をトルコの人に配達することになっていて、「この注文があなたのやり方でない場合は、この注文をキャンセルしてください と表示されます」という妙な文章のうち、「この注文をキャンセルしてください」の部分がハイパーリンクになっています。

日本語のたどたどしさ以外にも、日本のAmazonなのに価格がUSDだったり、キャンセル方法だけが詳しかったりと怪しい所だらけでいかにもなフィッシングなのですが、もちろんこのハイパーリンクこそが釣り針で、短縮URL経由でどこかの怪しいウェブサイトへ飛ばされていくようです。ご丁寧にも短縮URLはamzauthlogなんてそれっぽい文字列にしてありますので、ちょっとだけ注意深くURLを確認してみた人もうっかり引っかかってしまうのかもしれません。

このメールはどうもあちこちに送られているようでITMediaやInternet Watchなどでも報じられているようですが、上で述べた「1%」に当てはまるような人のうちのまた何分の一かの人が釣られてしまうのでしょうね。インターネットのおかげであらゆることが便利になっていますが、犯罪者にとっても便利になってしまっているということも忘れないようにしましょう。

Novation パフォーマンスコントローラ Launchpad Mini MK2

posted with amazlet at 17.09.22

Novation (2015-08-28)売り上げランキング: 3,008

Amazon.co.jpで詳細を見る

IIJサービス利用に関するお願い

まさか自分が該当するとは。

昨日、私が利用しているインターネットプロバイダのIIJから、「貴殿あてに、本年7月18日付けで、下記のとおりの内容を書面にて通知しておりますのでご確認ください。」という一文で始まる「IIJサービス利用に関するお願い」というメールが届きました。まだ書面は届いていませんが、メールにも本文がそのまま記載されているようなので、一体何が起こっているのかということはわかります。

曰く、「貴殿の送出するトラヒック量が平均的なデータ転送量を著しく上回っていることにより、複数のお客様で共有されるネットワーク設備および通信帯域を専有してしまう状況が発生しております。」とのことで、要するに通信料が異常に多いからなんとかしろ、ということなのですが、それでは一体どれだけ使っているのかというのは「別紙」として以下のような表が記載されています。

| 07/11| 07/12| 07/13| 07/14| 07/15| 07/16| 07/17| Total(GB)
————————————————————
| 0 | 0 | 1 | 25 | 128 | 43 | 182 | 382

なんと、5日前までは1日1GB程度までだったものが一気に25GBに増えたかと思うと17日には382GBもの通信量になってしまっていたというわけです。さすがに私もこれには驚きましたが、そんなに何に使っていたのかといっても動画を共有していたとか、何かいかがわしいことをしていたというわけでは決してありません。

ではなぜかというと、先日、Google Backup and Syncが公開されたというので早速インストールしてみたのですが、この設定が以前のバージョンから完全に引き継がれておらず、これまでに撮ったすべての写真がRAWファイルも含めてそのままのサイズでアップロードされてしまっていたのでした。実際にアップロードされたファイルのサイズは全体でも100GB程度のはずですが、通信としてはいろいろなオーバーヘッドがあってこのようなサイズになってしまうのでしょう。まあいずれにしてもIIJが目安としているらしい1日15GB以下というラインを超えてしまっているのは事実のようなので、慌ててバックアップを止め、もう厄介なのでアンインストールしてしまいました。

メールの文面では「お客様」ではなく「貴殿」となっているなど、言葉遣いは丁寧ながら厳しい調子で、「お願い」と言いながらも明らかな「警告」です。もちろん私にまったく悪気はありませんが、自分の過失であることは間違いないので、もうただ謝るしかありません。さすがにバックアップを止めていればせいぜい1日数GB程度までには収まるでしょうから、なんとか許していただきたいところです。この時代、ネット接続が止められてしまうとかなり厳しいものがあります。

ロリポップ! レンタルサーバーで無料の独自SSL

時代の波に乗り遅れるな!

日本語の「安全」という言葉は英語で言うところのsafetyとsecurityの2種類の意味を持ちます。これら2つが感覚的に違うことがわかっていたとしても言葉で説明するのは難しく、その説明も人によってまちまちであったりするのですが、私の解釈ではsafetyは漠然とした「安全な状態」を指し、securityは「安全の確保」のことであるという感じでしょうか。

一方、私が仕事として携わっている自動車制御の分野では技術としてこれらは明確に区別されており、safetyは乗員の生命や身体に危害が加わらないこと、securityは情報技術的な攻撃(=クラッキング)を防ぐこと、ということができます。過去何年かはISO 26262という「機能安全規格」が2011年に発行されたことでセーフティへの対応が大きな関心事となっていましたが、2015年にJeep Cherokeeのクラックの発表からリコールに至ったことから急速にセキュリティが脚光を浴びるような状況となっています。

このセキュリティという分野は言うまでもなくインターネットの技術が先行しているので、それを参考に対応が進められているわけですが、そのインターネットではどういう状況なのかといえば、認証・暗号化・改竄の検出のためのTLSの普及が進んでいます。Googleが「HTTPS をランキング シグナルに使用します」と発表したことでその動きは一気に加速することになったのではないかと思われます。Googleでの検索表示順というのはウェブサイトへのアクセス数に直結しますので、特に企業のサイトでは対応が急務となったのではないでしょうか。

私のこのブログのようなところではもともと大したアクセスがあるわけでもありませんが、時代遅れではいけない、というよりも新しい技術はいち早く取り入れていきたいと思っています。しかし、TLSに必要な証明書の発行がこれまで大きな障害となっていました。この証明書はセキュアな通信の肝となるものなので、誰でもおいそれと発行できるものではないわけですが、以前は1年間有効のもので3万円程度というようなコストがかかってしまっていたのです。しかし、Internet Security Research Groupが提供するLet’s Encryptというサービスで証明書が無償で発行されるようになり、その状況を変えてくれました。

そして今週、私が利用しているロリポップ!がこのLet’s Encryptを利用する設定を無料で提供するという発表があり、即日申込み・利用が可能となりました。私も早速設定してみましたが、設定は本当に簡単で「独自SSL (無料) を設定する」のボタンを押すだけなのであっという間に終わり、その後数分で利用できるようになってしまいました。ただ、その後でウェブページ側で設定を変えなければいけないところがいくつかあります。

自分のサイトアドレスをhttpsに変更
.htaccessにhttpからhttpsへのリダイレクトを追加
Google Analyticsのプロパティ設定をhttpsに変更
Google Search Consoleでhttpsの登録を追加
ページ内に埋め込んでいるGoogle AdsenseやAmazon Associateのスクリプトをhttps対応のものに更新

加えて、HSTS (HTTP Strict Transport Security)というものも設定するとセキュリティをより強固なものにすることができるようになりますが、個人のブログのレベルではそこまでする必要はないかもしれません。

ということで長々と書いてきましたが、お伝えしたいことはこのブログもついにHTTPSで提供することになりました、ということです。ブックマークしていただいている場合などHTTPでアクセスしてもHTTPSにリダイレクトされるので特にURLの変更は必要ありませんが、ブラウザのURL表示が”https://wolverion.com/〜”となっていて、例えばChromeではそれが緑の文字で、その左に”Secure”と表示されるようになっているはずです。まだ完全にHTTPのスクリプトを無くせていないので警告が表示されていたりすると思いますが、少なくともこれまでより悪く(弱く)はなっていないはずなのでしばらくは目を瞑っていただけると幸いです。

なお、嬉しいおまけとしてTLS対応に伴いHTTP/2という高速化技術も適用されるようになったので、いくらかページの表示が早くなっているのではないかと思いますがいかがでしょうか。