画像：pixabay

2018年9月にFIDO2認定を取得したヤフーは、パスワードを使わないSNS認証や生体認証を使った、新たな安全なログイン認証を推進しています。

FIDO2とは、FIDOアライアンスとW3Cが共同で策定した「Webブラウザでできる生体認証の国際的な標準規格」です。
ヤフーだけでなくKDDIやLINEもFIDO2認定を受けており、2019年には本格的にFIDO2がサービスに適用されていくと言われています。

先日宅ファイル便ではパスワードを平文で保存していたことが大きな話題になりました。パスワードの使い回しも多く、個人情報漏洩などがあったときにはパスワード変更など管理も大変ですし、深刻なセキュリティリスクにもつながります。

多くのWebサービスではまだパスワード認証もしくはSNS認証がほとんどですが、今後は認証の仕組みも変わってきます。
大手サービスが認証に関してどう取り組んでいるのかを知っておいてもいいかもしれません。

4500万人のユーザーに“パスワード”をやめさせたい――ヤフーが進める「もっと安全で簡単な認証」とは (1/3) – ITmedia エンタープライズ

画像：ピクトアーツ　輸送・交通・貿易 フリーイラスト-4

IPA（独立行政法人情報処理推進機構）が2018年に発生したセキュリティ事案から影響が大きかったものの中からランキングした「情報セキュリティ10大脅威 2019」を発表しました。

新たな脅威として、個人では「メールやSNSを使った脅迫・詐欺の手口による金銭要求」、組織では「サプライチェーンの弱点を悪用した攻撃の高まり」がそれぞれ4位にランクインしています。

サプライチェーンの脆弱性についてはEC運営にかかっている方には特に気になるところかもしれません。
原材料や部品の調達から顧客に届くところまで、一連のサプライチェーンの中で脆弱性があれば、そこを攻撃されて全体に影響を及ぼす可能性があります。

「情報セキュリティ10大脅威 2019」の詳しい解説をIPAは2月下旬にサイトに公開するそうです。気になる方はチェックしておきましょう。

プレス発表　「情報セキュリティ10大脅威 2019」を決定：IPA 独立行政法人 情報処理推進機構

画像：pixabay

CMSシェア3位の Drupal に複数の脆弱性が存在しており、この脆弱性により遠隔の第三者がシステムを乗っ取る可能性がある情報が出ています。

United States Computer Emergency Readiness Team (US-CERT)が脆弱性の情報を公開しており、アップデートを呼び掛けています。
対象となるバージョンは以下です。

• Drupal 7.62 より前の 7系のバージョン
• Drupal 8.5.9 より前の 8.5系のバージョン
• Drupal 8.6.6 より前の 8.6系のバージョン

Drupalを利用されている方は情報確認のうえ修正済みのバージョンにアップデートしておきましょう。

Drupalに複数の脆弱性、アップデートを | マイナビニュース

Drupal Releases Security Updates | US-CERT

画像：pixabay

特定非営利活動法人日本セキュリティ監査協会（JASA）が、「情報セキュリティ監査人が選ぶ情報セキュリティ十大トレンド（2019年予測）」を公開しています。

1位は2018年の圏外からランクインした「仮想通貨の盗難、詐欺の拡大」。
2018年1月26日に発生したコインチェックのNEM流出事件により2018年は仮想通貨がニュースやメディアで取り上げられ、あまり詳しくない人にも「仮想通貨」という言葉がよく知られるようになりました。

2位は「巧妙化する標的型攻撃による被害の甚大化」、3位は「家庭用IoT機器のセキュリティ不備によるプライバシー侵害の更なる拡大」で2018年と順位変わらずです。2位はウェブ担当者として気になるところですね。

1位と同様に2018年の圏外からランクインしたものとしては、6位「時代遅れとなりつつあるパスワード認証」と9位「問われるサイバーセキュリティ経営の責任体制」、10位「クラウドバイデフォルトの情報セキュリティ体系化」です。
パスワード認証は2018年に話題となり、自社システムや提供しているサービスのログインなどの認証の見直しを検討されているウェブ担当者の方もいらっしゃるかもしれませんね。

クラウドサービスを利用する企業も増えてきており、またIT技術もどんどん変わっています。デジタル変革期の今、セキュリティトレンドも急激に変化してきているようです。
経営とIT/Webなどのデジタルは切り離せなくなってきています。セキュリティについても合わせて考えておきましょう。

監査人の警鐘 – 2019年 情報セキュリティ十大トレンド｜JASA

画像：pixabay

PHPエンジニア向けの民間資格試験を行なっている「一般社団法人 PHP技術者認定機構」が、2019年12月より新しく「ウェブ・セキュリティ試験（通称：徳丸試験）を始めるそうです。

通称：徳丸試験。。。
まずここに食いついてしまいました。個人名。。。

さまざまなメディアや書籍でウェブセキュリティについて書かれている徳丸浩氏（EGセキュアソリューションズ株式会社代表）の監修により試験は行なわれるようです。
試験は、開発者とウェブサイト運営責任者向けの「基礎試験」と最新のサイバー攻撃への対策を押さえた開発者向け「実務知識試験」の2種類。

あとまわしになりがちなセキュリティですが、知っておいたほうがいいウェブセキュリティ全般をに体系的に学べそうです。
環境のセットアップなどは非エンジニアには難しそうですが、来年受けてみようかしら？と個人的に思っています。

ウェブ・セキュリティ試験（通称：徳丸試験）を2019年12月より開始 | PHP技術者認定機構

ウェブ特化のセキュリティーの新試験、第一人者が監修 | 日本経済新聞

画像：pixabay

11月9日に開催された「JPAAWG 1st General Meeting」でさくらインターネットの山下氏が、クラウドホスティングサービスのサーバーがサイバー攻撃の踏み台に悪用されないためにやっておいて欲しい対策をユーザーに呼び掛けたそうです。
その対策とは以下の4つです。引用します。

1）パスワードはすべて適切な強度を満たすように設定してほしい
2）なるべく自動アップデートを利用してほしい
3）ファイアウォールを設定すること、ウェブアプリケーションファイアーウォール（WAF）を活用すること
4）持続的な運用または終了方法を考えてほしい

さくらインターネットではユーザーに注意喚起を行なっていても、運用管理者がいなかったり管理をする意思がなかったりなどの理由で対応されていないことが多数確認されているそうです。

セキュリティ対策はあとまわしになってしまいがちですが、サイバー攻撃の踏み台に悪用されないためにやっておかないといけない対策は最低限考えておきましょう。

「注意喚起しても効かない……」、さくらインターネットから利用者への“お願い”【JPAAWG 1st General Meeting】 – INTERNET Watch

画像：pixabay

昨年Googleはシマンテック傘下の認証局発行の証明書について「信頼できない」とし、近々リリース予定のChrome 70ですべてのシマンテック傘下の認証局が発行したSSL/TLSサーバ証明書が無効になります。
10月23日にリリース予定のFirefox 63でも同様の措置がとられます。

シマンテック社のCA事業はすでにデジサート社に買収されており、デジサートではシマンテック・GeoTrust・RapidSSLが発行したSSL/TLSサーバ証明書の再認証と再発行を無償で行なっています。
→参考：シマンテックの SSL/TLS サーバ証明書の入れ替えについて | DigiCert & Symantec

Firefoxを提供するMozillaは、10月23日リリース予定Firefox 63でシマンテックの証明書が無効になることで、上位100万のサイト中3.5%に影響があるとブログで書いています。
また、セキュリティ研究家のScott Helme氏がまとめたリストによると、Alexaの上位100万のうち1139のサイトが古い証明書を使っているそうです。
日本企業でも「ハルタ」や「ジョイサウンド」「小倉山荘」もリストに含まれていました。

証明書が問題ないかどうか、Google Chromeの「検証」→「console」でチェックすることができます。
念のため確認をしておくといいかもしれません。

Chrome 70ではHTTPS証明の不具合をめぐって数百もの人気サイトがアクセス不能になる | TechCrunch Japan

10月公開の「Firefox 63」、シマンテック発行の証明書を完全に無効化へ–モジラが警告 – ZDNet Japan

Symantec証明書の失効迫る　GoogleがWebサイト管理者に対応呼びかけ – ITmedia エンタープライズ

Symantec、GeoTrust、RapidSSLを使っている人は要注意！SSLの強制無効化について | ウェブ担当者通信

画像：Firefox Monitor

さまざまなWebサービスや企業から、メールアドレスやパスワードなどの個人情報流出が多発しています。
先日は日経ビジネスで特集されていた「パスワード16億件の流出を確認」の記事がバズっていました。

Mozilla Foundationはメールアドレスを入力するだけで、そのメールアドレスが流出していないかをチェックできるサービス「Firefox Monitor」を無料で公開しました。
「Firefox Monitor」は、以前からあったメールアドレス流出チェックサービス「Have I been pwned？（HIBP）」と提携して開設されています。

画像はワタクシ個人のメールアドレスをチェックしてみた結果です。Dropboxから2012年に流出しています。
2012年7月、不正アクセスによりDropboxから大量にメールアドレスが流出したことは当時ニュースになっていたのでパスワードはすでに変えていますが、こうやってあらためて見ると気になりますね。

メアドを入力すると、流出被害に遭っているかが分かる　Mozillaが無料のチェックサービス – ITmedia エンタープライズ

画像：PictArts ピクトアーツ

ウェブ通で連載中の「【プレミアム】ゼンロジック（Zenlogic）とGCPの障害から考えるウェブ担の必須サーバー知識」でも書いていますが、レンタルサーバーなど外部のサービスを利用している以上、何らかの予期せぬトラブルにより自社のサービス提供に影響が及ぶことがあります。
ウェブ担当者として最低限必須のサーバーに関する知識を身につけ、適切なリスクへの対処をしていくことが求められます。

今回取り上げている記事「レンタルサーバーを選定比較する際に、考えておきたいリスク低減について | レンタルサーバーのCPIスタッフブログ」では、レンタルサーバーを選定する比較項目のひとつとしての「リスク低減」についてまとめられています。
レンタルサーバーのリスク低減項目として4つあげられています。

バックアップの取得先

ウェブサーバーと別のサーバーにバックアップを取得する

サーバー構成

バックアップサーバー同様にウェブサーバーとメールサーバーを分離することが望ましい

サポート体制

電話サポートがあると緊急対応がやりやすい

過去の障害状況

できるだけ障害が少ない会社を選ぶ

レンタルサーバーを選定比較する際に、考えておきたいリスク低減について | レンタルサーバーのCPIスタッフブログ

画像：pixabay

Yahoo! JAPANが提供するすべてのウェブサービス・アプリにおいて、2018年6月1日以降TLS 1.0/1.1のサポートをとりやめ、TLS 1.2に対応していない古いPC・スマホ・ブラウザでは順次利用できなくなっています。
そして2018年9月末で、ヤフートップページやLOHACO、メール、天気・災害などがTLS 1.2に対応していない環境では利用できなくなります。

Windows Vista以前・MacOS X 10.8以前のOSを使っているPCや、Internet Explorer 10以前・Chrome 29以前・Firefox 26以前のブラウザ、そしてAndroid 5以降・iOS 9以降ではないスマートフォンやタブレットなどは注意が必要です。

使っている環境がTLS 1.2に対応しているのか、この影響を受けるかどうか、下のYahoo!セキュリティページから確認できます。

Yahoo!セキュリティセンター | セキュリティ強化のお知らせ