2017年2月26日日曜日

ネットショップなどのサイトの安全性を簡単に判断する方法とは

最近は、ネットショップなどの様々なサイトで個人情報の流出が相次いでいます。このようなニュースを聞くと、なんでもう少し安全なサイトを作らないかと、怒りを通り越して、あきれてしまいます。

そこで、個人情報を入力するサイトの安全性の判断基準をまとめましたので、参考にしてください。最後に詳しく紹介します。

なお、今回紹介する安全性の判断基準で、問題があったサイトは、サイト自体が、安全性(セキュリティ)をあまり考慮していないサイトで、個人情報流出の危険性も高いと思われます。



 ①基本中の基本は、URLが”https://~”(Sがついている)で、アドレスバーに”鍵マーク”がついていること
 

 ②URLが”https://~”の場合に、使っている”SSL/TLS”という通信技術が安全かどうか確認すること

  例えば、暗号化技術が「SHA-2」で、暗号通信プロトコルが「TLS 1.2」であること


なお、②については、GMOグローバルサインという電子証明書を販売している会社が提供している、無料の”Webサイトの安全性診断サイト”を利用してみてください。


 SSL Server Test (Powered by Qualys SSL Labs)
 https://globalsign.ssllabs.com/


診断結果はA+ 、A……Fまでの8段階のグレードで表示、「B以下」と診断された場合には、何らかの脆弱性(サイトの弱点)が見つかったことになります。

難しいことが分からなくても、簡単にサイトの安全性を判断できます。


また、使っているブラウザを最新版に更新することも大事です。 ブラウザの更新方法は以下を参照ください。

 パソコン・スマホのブラウザを最新版に更新しましょう
 http://lifesecurityup.blogspot.com/2016/12/blog-post_4.html

 

ブラウザを最新版にすることで、URLが”https://~”のときに使われている「SSL/TLS」という技術が持っている、「SHA-1」問題に加え、”POODLE”脆弱性、”FREAK”脆弱性についても、エラー表示などの対応が可能になります。


■ 個人情報を扱うサイトは URLが「https://~」で 鍵マークを確認


銀行やショッピングサイトなどのように個人情報を扱うサイトでは、必ず、ブラウザの

 アドレスバーの表示に、
 ①URLが ”https://” ②鍵マーク が付いている
 
ことを確認してください。





■ 更に安全なホームページを示す「EV SSL」
■   インターネット・バンキングの場合はこれを確認しよう!!


なお、インターネット・バンキングなどでは、SSLの安全性を更に強固にした「EV SSL証明書」が使われているかの確認も必要です。

EV SSLの場合、

 アドレスバーの表示に、
 ①URLが”https://” ②鍵マーク に加え ③企業名
 
が付いていることを確認してください。アドレスバーが緑色になる場合もあります。







■ URLが”https://~”でもあっても、さらに安全性診断を実行



現在、もしネットショップやインターネットバンキング等の金銭に絡むサイトを利用しており、URLが”https://~”であっても、以下のGMOグローバルサインの安全性診断を実施すると安全かどうか分かります。

 SSL Server Test (Powered by Qualys SSL Labs)
 https://globalsign.ssllabs.com/



使い方は、簡単で、このサイトにアクセスして、①調べたいURLを入力 ②[Submit]をクリックすると診断がスタートし、しばらくたつと総合的な診断結果と、問題点の詳しい内容を知ることができます。


診断結果はA+ 、A……Fまでの8段階のグレードで表示され、「B以下」と診断された場合には、何らかの脆弱性(サイトの弱点)が見つかったことになります。

*8段階、私がサイトを調べた結果、安全性が高い順に ”A+、A、A-、B、C、D、E、F” となっているようです。


ネットショップやインターネットバンキング等の金銭に関わるサイトの場合、診断結果が「B以下」は利用しないほうが無難です。

なお、この診断は、「既存の」脆弱性について診断するもので、新しい脆弱性については、繰り返しチェックを行うことが必要です。

ちなみに、最近、情報流出が発覚した「Re:CENO公式オンラインショップ」の診断結果は「C」でした。明らかに安全性が低いサイトであることが分かりました。

なお、Amazonの診断結果は最高の「A+」でした、さすがですね。安心して利用できます。




■カード情報流出のサイトの診断結果は「C」→利用しないほうが良い

最近、Flavorが運営するインテリアのECサイト「Re:CENO公式オンラインショップ」が外部からの不正アクセスを受け、セキュリティコードを含むカード情報1万7085件が漏えいした可能性があることが分かりました。

 セキュリティコード含むカード情報1.7万件が流出か
  インテリアECサイトに不正アクセス | ネットショップ担当者フォーラム
 https://netshop.impress.co.jp/node/4047


このカード情報流出の「Re:CENO公式オンラインショップ」のサイトの診断結果は「C」ランクで、脆弱性(弱点)を持っていました。

具体的には、安全なSSL/TLSのバージョンである「TLS 1.2」を使っていません。このサイトは、利用しないほうが無難です。





■Amazonの診断結果は最高の「A+」→安心して利用できます。

私がいつも利用しているAmazonの診断結果も調べてみましたが、最高の「A+」という結果でした。さすが、Amazonです。これからも安心して利用できます。






■ 個人情報を入力するサイトの安全性の判断基準(まとめ)


ネットショップやインターネットバンキングなどの個人情報を入力するサイトの安全性の判断基準をまとめると以下になります。


 ①、②共に満足して初めて安全なサイトです



①基本中の基本は、URLが”https://~”(Sがついている)で、アドレスバーに”鍵マーク”がついていること

なお、インターネット・バンキングなどでは、SSLの安全性を更に強固にした「EV SSL証明書」が使われているかの確認も必要です。

この場合、URLが”https://”、”鍵マーク”に加え”企業名”がアドレスバーに表示され、アドレスバーが緑色になります。



②URLが”https://~”の場合に、使っている”SSL/TLS”という通信技術が安全かどうか確認すること 

 ・サイト証明書の暗号化技術に「SHA-2」を使っていること
 ・SSL/TLSの暗号通信プロトコルで「TLS 1.2」を使っていること



なお、②については、個人で判断するのは難しいので、上記で紹介した、GMOグローバルサインの下記サイトを利用ください。

 SSL Server Test (Powered by Qualys SSL Labs)
 https://globalsign.ssllabs.com/

診断結果はA+ 、A……Fまでの8段階のグレードで表示され、「B以下」と診断された場合には、何らかの脆弱性(サイトの弱点)が見つかったことになります。


2017年2月17日金曜日

ウオーキングで病気を予防 歩き方の黄金律は”1日8000歩と20分の中強度運動”

運動は痴呆症にもよいので、時々、ウオーキングをしていますが、どのようなウオーキングがよいか、明確な目標もなく、ただ単に、”週平均 1日8000歩”を目標にしていました。

しかし、何歩ウオーキングすれば効果的なのかの明確な数字がないため、歩かない日が何日も続くことがあり、これはマズイな!と考えていました。


この、長続きしないウオーキングを変えてくれたのが、病気にならない歩き方の黄金律

 ”1日8000歩と20分の中強度運動”
 
という具体的な目標
でした。

この内容は、以下のサイトに紹介されています。

この中で、ウオーキングについて、15年以上に及ぶ調査結果が紹介されており、とても明確なウオーキングの目標数字が紹介されています。

 起床後と寝る前の「1時間」 ウオーキングは避けよう|ヘルスUP|NIKKEI STYLE
 http://style.nikkei.com/article/DGXMZO12158880W7A120C1000000?channel=DF140920160927&style=1


このサイトのデータによると、1日に”歩く歩数”と”中強度運動の時間”で、予防できる病気が違うとのこと。

このデータは、東京都健康長寿医療センター研究所の青柳幸利・運動科学研究室長が、群馬県中之条町に住む65歳以上の住民5000人を対象にした、15年以上に及ぶ調査で導き出した結果だそうです。


★身体活動(歩数・中強度の時間)と予防できる病気の関係★

*上記の、”ヘルスUP|NIKKEI STYLE”のサイトからの情報

 1日8000歩/中強度運動20分
 ・・・糖尿病、高血圧、脂質異常症

 1日7000歩/中強度運動15分
 ・・・動脈硬化、一部のがん、骨粗しょう症

 1日5000歩/中強度運動7.5分
 ・・・脳卒中、心臓病、認知症、要介護

 1日4000歩/中強度運動5分
 ・・・うつ病

 1日2000歩/中強度運動0分
 ・・・寝たきり


とても明確な数字で驚きました。今では、この数字を冷蔵庫の前に貼って、家族全員で毎日見て、ウオーキングの目標にしています。

買い物などに出かけては、「今日は5000歩だったから、認知症は防げるね」、「今日は少なくて2000歩だったから、寝たきりしか防げないね」という調子で、その日の歩数を評価しています。

お陰で、ウオーキングが長続きしています。

なお、以下のサイトに、ウオーキングの際、「歩幅 プラス10cm歩行」を実践すれば、ウォーキング効果が上がるとありました。

 ウォーキング:「プラス10cm歩行」で、ウォーキング効果は格段に上がる:
 http://gooday.nikkei.co.jp/atcl/report/16/072000046/012300010/

歩幅が大きくなると自然にスピードが上がって、足圧も増し、筋トレ効果が期待できるそうです。

歩いているうちに、いつの間にか元の歩幅に戻っても、「プラス10cm」を思い出して、心がければ大丈夫とのこと。



■ 「1日8000歩/中強度運動20分」が「病気にならない歩き方の黄金律」

上記の、”ヘルスUP|NIKKEI STYLE”のサイトに紹介されていた、この数字、明確で分かりやすいです。

なお、1週間のうちで、平均して「1日8000歩/中強度運動20分」になるよう帳尻があえば、3日やって3日休もうが自分次第で、平均が「1日8000歩/中強度運動20分」になればいいとのこと。

私は、気にしている「認知症」予防のため、 ”1日5000歩/中強度運動7.5分” を目標にして、以下を心がけています。

 ①なるべく遠い所で買い物をする

 ②歩幅 「プラス10cm歩行」 を心がける
 
 ③歩く時、ときどき早歩きで歩き、中強度運動になるようにする
 
 ④時には、遠出をして一週間の歩数をかせぐ
 
 ⑤買い物は、今必要なものだけに済ませ、買い物に行く機会を増やす
 

なお、上記の、”ヘルスUP|NIKKEI STYLE”のサイトでは、歩くことを生活の中に組み込めば意外と歩けると説明されています。例えば、以下のような行動です。

 ・駅や会社ではエスカレーターやエレベーターを使わずに階段を使う
 ・駅の乗り換えが多いルートを使う
 ・トイレは違うフロアまで行く



なお、”ヘルスUP|NIKKEI STYLE”の別のサイトで、長生きするために以下が勧められていました。

 「1日1万歩」は間違い? ウオーキング黄金律の真実|ヘルスUP|NIKKEI STYLE
 http://style.nikkei.com/article/DGXMZO12109770V20C17A1000000?channel=DF140920160927

 ①40歳を超えたらジョギングをしていた方はウオーキングへ移行
 ②1日1万歩いていた方は歩数を減らす

    「1日8000歩」と「20分の中強度運動」が運動の黄金律
 ③生活の中に「中強度の運動」を組み込む




■ インターバル速歩で肥満解消、筋力アップ、血圧低下

インターバル速歩とは、ややきついと感じるくらいの「早歩き」と「ゆっくり歩き」を3分間ずつ交互に繰り返すウォーキングのことです。

このインターバル速歩が、肥満解消、筋力アップ、血圧低下につながると、以下のサイトで紹介されていました。

 ウォーキング:インターバル速歩で肥満解消、筋力アップ、血圧低下
 :日経Gooday(グッデイ)
 http://gooday.nikkei.co.jp/atcl/report/15/082700032/090200004/


この日経Gooday(グッデイ)の記事によると、

①「なにもしないチーム」
②「1日1万歩を目標に、普通歩きするチーム」
③「インターバル速歩チーム」

に分けて行ったウォーキングの効果を検証する実験では、「普通歩きチーム」はほとんど脚の筋力に目立った変化はなかったが、インターバル速歩を1日30分、週に4日以上、5カ月間行ったチームは膝を伸ばす筋力が13%、膝を曲げる筋力が17%向上したとのことです。

要するに、単にウォーキングをするだけではなく、「早歩き」と「ゆっくり歩き」を3分間ずつ交互に繰り返すウォーキングが、より効果的ということです。
インターバル速歩は1日30分、週に4日を目標に!

インターバル速歩を行う時間は、1日30分。ゆっくり歩き(3分)+早歩き(3分)を1セットとして考えて、5セットを目標に、この運動を週に4日以上、合計120分以上行うと、効果を実感しやすくなるそうです。


上で紹介した、「1日8000歩/中強度運動20分」と「ゆっくり歩き(3分)+早歩き(3分)」を組み合わせると、より効果的なウォーキングが可能ですね。

2017年2月14日火曜日

PowerPointで写真から動画を作る簡単な方法とは(画像つきで紹介)

PowerPointはバージョンが2010以降になって、写真からスライドショーの動画作成が、とても簡単になっています。

私は、デジカメで花の写真を撮るのが好きですが、この方法で、花の写真をPowerPointでスライドショーの動画を作成し、Youtubeに公開しています。



今回は、私が活用しているPowerPointで写真から動画を作る方法を画像つきで分かりやすく紹介します。なお、音楽は、以下のフリーのクラシック音楽を活用しました。
 

 クラシック名曲サウンドライブラリー
 http://classical-sound.seesaa.net/


もし、デジカメで写真を撮るのが好きで、PowerPointの2010以降を持っているかたは、ぜひチャレンジしてみてください。

なお、今回の方法で作成した画像をYoutubeに公開しています。私の大好きな梅の花を動画にしてみました。PowerPointだと画面の切替えを様々なパターンに出来るので、なかなか楽しい動画ができます。

 参考例: (福岡市)大濠公園の梅と菜の花 2017年2月8日
 https://youtu.be/K6AHYBjxqOE




実は、PowerPointでの動画作成、私も長年、PowerPointを使いながら、これに気づいたのが、実は、生徒にOffice2013を教えている時でした。

生徒に教えながら、なんとか楽しく勉強できないかと考えていたとき、動画が簡単にできることに気づき、生徒に”動画でクリスカスカード”を作ってもらいました。



■ PowerPoint2013 動画作成方法(PowerPoint2010でも、ほぼ同じ操作です)


  0. 写真の準備  *画像サイズが大きい場合は画像サイズを縮小
 
       ~フリーソフト「縮小専用AIR」などを活用

         (注)縮小専用AIRのダウンロード&使い方
           http://labo.i-section.net/shukusen-air/


    1. PowerPointで新規文書を作成

    2. フォトアルバムの作成

    3. アルバムのデザインと画面サイズの設定

    4. アルバムの表紙を作成

    5. (必要であれば)不要なスライド(画像)の削除

    6. 画面切り替えを設定

    7. 動画に音楽を追加

    8. スライドショーで動画を確認

    9. 動画を作成 *動画形式は“MP4” (Youtubeにも投稿可能)


作り方をPDFでも紹介しています、以下のGoogleドライブのPDFを参照下さい。

    PowerPoint2013 動画作成方法.pdf - Google ドライブ -
  

以下に画像で紹介します。



























《補足1》PowerPoint2013 特殊効果 操作方法

PowerPoint2013のアニメーション効果と画面切り替え&スライドショーの詳しい操作方法は以下を参照下さい。

    PowerPoint2013 特殊効果 操作方法.pdf - Google ドライブ -
  


《補足2》フリーのクラシック音楽

クラシック名曲サウンドライブラリー
http://classical-sound.seesaa.net/

上記で、素晴らしい クラシックのフリー音楽素材が提供されています。

ここの音楽は、NECのパーソナル商品総合情報サイト[121ware]で紹介されたり、学研の中学生向け参考書の付録CDに収録されているようです。

素材としてならブログやHP、YouTube、ゲーム、番組BGM、CMから大学の映画制作コンペまで、用途にあわせて自由に使えるとのことです(商用可)。

なお、何故、これがフリー音楽素材であるかということが以下で説明されています。これはCDからの音源ではなく、独自の「MIDIによるDTM制作音楽」ということです。

それにしても、聞き慣れた音楽を彷彿(ほうふつ)させる、なかなか素晴らしいクラシック音源になっています。

クラシック名曲サウンドライブラリー About - このサイトについて
http://andotowa.quu.cc/about.html

『そこで「クラシック名曲サウンドライブラリー」では、最新のデジタル技術を駆使して制作した、100%オリジナル音源を毎回お届けしています。わかりやすく言うと、いわゆるMIDIによるDTM制作音楽です。』 (上記の”About - このサイトについて”から)


2017年2月9日木曜日

Yahoo! Japanのパスワード変更時の注意点とは(私の失敗談)

Yahoo! Japanのプレミアム会員になったことをきっかけに、今までのパスワードを変更しました。

単純だと思ったYahoo! Japanのパスワード変更、メールソフトやスマホでのYahoo!メール受信ができなくなり、少々ドタバタしましたが、このとき悩んだことを今回紹介します。


そのまえに・・・桁数の短いパスワード、”英字4桁のパスワードは約3秒” ”英字6桁のパスワードでも約37分” で簡単に見破られるという報告があります。

大事なYahoo! Japanのパスワード、多少めんどうでも、長くて強固なパスワードに変更してください。

Yahoo! Japanには、GoogleやMicrosoftのサービスにある「セキュリティコード」を入力する2段階認証がないので、パスワードはとても大切です。そこで、今回は、Yahoo! Japanのパスワード変更手順、ならびに、パスワードの作り方も紹介します。




■ Yahoo! Japanのパスワード変更後の私の失敗談


私の場合、GmailやメールソフトThunderbirdで、Yahoo!メールを送受信していましたが、Yahoo! Japanのパスワード変更後、しばらくして、メールを受信できなくなりました。

そこで、パスワード変更したことを思い出し、新しいパスワードを入力・・・しかし、正しいはずのパスワードを何度入力しても、うまくいかない? 何故???

何をやってもうまくいかず、Yahoo!メールのヘルプをみたら、「パスワード認証が連続して失敗すると”ロック”がかかる」ということでした。

そこで、使っていた「ウェブ版Yahoo!メール」をいったんログオフして、再度、ログインしたら、バッチリ、GmailやメールソフトThunderbirdで新パスワード変更がうまくいき、メールを受信できるようになりました。

「ウェブ版Yahoo!メール」にログインしていない場合は、ログインしてみると良いと思います。


■Yahoo! Japanのパスワード変更 私の教訓!!

Yahoo! Japanのパスワードを変更したら、Yahoo!メールを受信している、パソコン、スマホのメールソフト、メールアプリのパスワード変更も忘れない!

*GmailでYahoo!メールを受信している場合は、Gmailの設定の「アカウントとインポート」で「他のアカウントでメールを確認」のYahoo!メールのパスワードを変更する必要があります。


このとき、新しいパスワードで失敗する場合は、「ウェブ版Yahoo!メール」をログインするか、再ログインしてください。


*スマホのネットワーク暗証番号の入力で、何度か失敗し、このとき”パスワードロック”がかかり、その時は、携帯会社に連絡して、パスワードロックを解除してもらいました。このときの経験が頭に浮かびました。


なお、GmailやメールソフトThunderbirdで、Yahoo!メールを受信している場合、定期的に受信しているため、Yahoo! Japanのパスワードを変更すると、何度も認証に失敗し、Yahoo!の「パスワードロック」がかかる可能性が大ですね。ぜひ、今回の内容を参考にしてください。


■ Yahoo!メールヘルプの説明


 Yahoo!メールヘルプ
 - パスワードを変更した後、メールソフト/スマートフォンで送受信できない
  https://is.gd/l9bmsu


『パスワードの設定しても送受信できない場合

パスワード認証が連続して失敗するとロックがかかり、メールソフト、IMAP、SMTPからの送受信ができなくなります。送受信できない場合、「ウェブ版Yahoo!メール」にログインして、Yahoo!メールの画面が表示されるか確認してください。

画像認証用の数字が表示された場合、ページの指示に従って数字を入力し、認証を行ってください。画像認証について詳しくは「画像認証について」をご覧ください。 それでも解決しない場合は「メールソフトで送受信できない」もご覧ください。』
(上記のYahoo!メールヘルプから引用)



■ Yahoo! Japanのパスワードの変更手順


①Yahoo! JAPANトップページ右にある[登録情報]ボタンを押します。

 (注)”こんにちは*****さん”の近くにあります

ログインしていない場合は、現在のパスワードでログインしてください。

② [Yahoo! JAPAN ID登録情報]ページが表示されます。

③「認証」の項目にある[パスワード]をクリックします。

④パスワードの変更ページが表示されます。

    [現在のパスワード]欄に現在使っているパスワードを、
    [新しいパスワード]欄に、これから使いたい、新しいパスワードを入力。
    確認のため、[新しいパスワードの再入力]欄にも、同じように入力。

⑤ [パスワードを変更]ボタンを押すと、変更が完了します。

 変更の完了後はYahoo! JAPANからログアウトし、変更したパスワードを使用して
 ログインし直す。

参考
 Yahoo! JAPAN IDに関するヘルプ - パスワードを変更したい
 https://is.gd/BJvTiq




■ パスワードの作り方


Yahoo! Japanには、GoogleやMicrosoftのサービスにある、ID・パスワードに加え「セキュリティコード」を入力する2段階認証がなく、パスワードを強固にすることが大事です。私の場合、以下のようなパスワードに変更しました。

 ①長いパスワード(16文字以上)

 ②英字の小文字・大文字、数字を混合させる(英字の大文字も使うことがポイント)

 ③辞書に載っている単語を使わない
 ④自分の誕生日・名前などの個人情報を使わない

 ⑤他のサービスで使っているパスワードと同じにしない

2017年2月6日月曜日

ブラウザで世界の名画を簡単に楽しむ方法

ブラウザChromeで、Google公式の拡張機能「Google Art Project」を活用すれば、世界の名画がブラウザのタブで鑑賞できます。新規タブを開くたびに名画が表示されるので、とても楽しいです。

私は、この拡張機能を使い、毎日、Chromeで名画を見ていますが、絵画好きの人には、とても楽しめるサービスです。


Google公式の拡張機能「Google Art Project」のインストール

 Chrome ウェブストア - https://goo.gl/eGQk6k  にアクセスしてインストール





(注)もう少し、しっかり世界の名画を楽しみたい方は、以下のGoogleのサイトで、印象派、浮世絵などを選択して名画を楽しめます。

ちなみに、このサイトには私の好きなモネの絵が177点もありました。

 Google Art & Culture 芸術運動
 https://www.google.com/culturalinstitute/beta/category/art-movement?hl=ja



(注)なお、ブラウザFirefoxで、同じ名前の拡張機能「Google Art Project」をインストールしても、同じように楽しめます。

  Google Art Project :: Add-ons for Firefox   https://is.gd/GRBBss



*以下からは、ブラウザChromeの例で説明します。


「Google Art Project」の初期設定では、1日ごとに表示される絵画が変更されるようになっていますが、設定を変更すれば、新しいタブを開くたびに、表示される名画を変えることができます。

また、表示する絵画を変えてみたい時は、画面左下の作品名の横にあるリフレッシュアイコンをクリックすれば、新しい絵画に変えることができ、これも便利です。


この拡張機能「 Google Art Project」 は、Google Cultural Institute のアートプロジェクトが公開しているライブラリから、評価の高い著名画家の作品を呼び出して新規タブに表示しています。

なお、Google Cultural Institute のアートプロジェクトは、世界40か国の美術館と提携し4万点以上の作品を高解像度でスキャンしオンライン公開する取り組みです。



■ Google Art ProjectをChromeに追加する方法


①Chrome ウェブストア - https://goo.gl/eGQk6k  にアクセス

②「CHROMEに追加」をクリックし、次の画面で「追加」をクリック





■ Chromeに名画を表示


①Chromeで新しいタブを開く

②新しいタブの画面に名画が表示される





■ Google Art Project 設定変更


Google Art Projectの設定を変更すると、新しくタブを開く度に別の絵画を表示させることが可能です。

①表示された絵画の上で右クリック

②「Google Art Project」の項目を選択

③[作品を変更]をクリックし、[すべての新しいタブ]をクリック






■ Google Art Projectの名画の見方


表示された絵画の画面の左下に、絵画に関する情報(作品名、画家名、保有美術館、画面更新のリフレッシュアイコン)があります。



■表示する絵画を変更したい場合

①画面左下(作品名の左)のリフレッシュアイコンをクリック

②新しい絵画に変更されます





■作品の内容や関連絵画を知りたい時

①画面左下の作品名をクリック

②作品の紹介と関連絵画が表示





■絵画の画家を知りたい時

①画面左下(作品名の下)の画家名をクリック

②画家を紹介したページが表示





■絵画を保有している美術館を見たい時

①画面左下(作品名の下)の美術館名をクリック

②美術館を紹介したページが表示




2017年2月5日日曜日

安全なサイトは URLが”https://”で ブラウザ表示が変わります 一目で見分ける方法とは(ブラウザ別に紹介)

インターネットでホームページを見た時、URLが”https://” と httpに”s”が付いていることに気づいたことがありませんか?

個人情報を扱ってもよい”安全なサイト”は、URLが”https://” と httpに”s”が付いています。


URLが”https://”の場合は、「インターネットでやり取りする情報は暗号化され安全ですよ」という意味です。この場合は、”SSL/TLS”という暗号化技術が使われています。

もし、”http://”と「httpにsが付いていない」場合、インターネットとのデータは暗号化されておらず、データ通信時に、盗聴されたり、変更されてしまう危険性があります。

なお、ブラウザが、URLが”https://”で安全なサイトを表示する場合は、鍵マークなどの特別な表示をしています。そこで、今回は、安全なサイトを一目で見分ける方法を、ブラウザ別に図で紹介します。


”https://”が使っている暗号化技術”SSL/TLS”を利用すれば、インターネットの通信が暗号化されているので、個人情報・クレジットカード情報などの大切なデータを安全にやりとりできます。また、サイトを運営する会社の身元を確認できる機能も備えています。


最近、大手のウェブサイトが"常時SSL化(https化)"されています。日本ではYahoo! JAPANが2017年3月までには常時SSLに切り替わる予定です。

 参考情報:
  素人でも安全なサイトを一目で見分けるには。SSLの基礎知識
   | ライフハッカー[日本版]
  http://www.lifehacker.jp/2017/02/170202_ssl_zenlogic.html




■ 個人情報を扱うサイトは URLが「https://~」で 鍵マークを確認


銀行やショッピングサイトなどのように個人情報を扱うサイトでは、必ず、ブラウザの

 アドレスバーの表示に、

  ①URLが ”https://” ②鍵マーク が付いている
 
ことを確認してください。





(注)URLが“https://”という暗号化された接続であっても、安全性が低い暗号化技術「SHA-1」を使っているサイトの場合は、最新版のブラウザの場合はエラー表示しますので注意ください。詳しくは、以下を参照ください。

 ブラウザのサイト安全チェックが今年(2017年)から厳しくなっています!
 http://lifesecurityup.blogspot.com/2017/02/2017.html


次に、ブラウザ毎の表示を以下に示します。



また、スマホで、公衆無線LANなど安全性が不明な場所でインターネットで個人情報を使う場合も、URLが ”https://”となっていることを確認してください。


なお、SSLサーバ証明書は、簡単に発行できる場合もあり、フィッシング詐欺に使われる可能性があったため考えられたのが、次の「EV SSL証明書」です。



■ 更に安全なホームページを示す「EV SSL」
■   インターネット・バンキングの場合はこれを確認しよう!!


なお、インターネット・バンキングなどでは、SSLの安全性を更に強固にした「EV SSL証明書」が使われているかの確認も必要です。

EV SSLの場合、

 アドレスバーの表示に、

  ①URLが”https://” ②鍵マーク に加え ③企業名
 
が付いていることを確認してください。
アドレスバーが緑色になる場合もあります。





次に、ブラウザ毎の表示を以下に示します。





EV SSL証明書とは、「Extended Validation SSL証明書」の略で、いままでのSSLサーバ証明書よりも企業の実在性確認などの認証方法を厳格にしたSSLサーバ証明書です。

EV SSL証明書は厳格な認証をクリアした企業だけが導入可能です。


機密性の高い情報を入力するオンラインショッピングやインターネット・バンキングなどはEV SSL証明書を使用します。

EV SSL証明書のサイトでは、ブラウザではアドレスバーが緑色に変わり、一目でEV SSL証明書のサイトにアクセスしていることがわかります。

中間者攻撃で通信が乗っ取られている場合には「EV SSL証明書」で表示されるはずの緑色のアドレスバーのウェブサイト運営組織が表示されません。そのため、EV 証明書は、フィッシング詐欺に加え、中間者攻撃も防止できます。



参考:EV SSL証明書の基礎:5分で絶対に分かるEV SSL証明書 - @IT
 http://www.atmarkit.co.jp/ait/articles/0810/31/news151.html




■ 《補足》HTTPSの3つの機能


 意外と知らない?HTTPSを使いこなすテクニック:ITpro
 http://itpro.nikkeibp.co.jp/atcl/column/15/021900028/040600007/


HTTPSには、以下の3つの機能がありますが、上記サイトでHTTPSについて詳しく紹介されています。

(1)通信経路の暗号化

HTTPSはWebブラウザーとWebサーバー間の通信経路を暗号化。万が一、通信が盗聴されたとしても、データ(情報)が暗号化されているので、盗聴されてもデータの内容を読み取ることはできません 。

(2)コンテンツの改ざん検知

サーバーから送信されたコンテンツが途中で改ざんされていないことを保証できます。

(3)通信相手の認証

通信相手のサーバーやクライアントが本当に意図した相手かどうかを確認できます。


2017年2月4日土曜日

Google検索で品質の低いサイトの順位が下がります~Google検索、アルゴリズム変更

2017年2月3日 Google ウェブマスター向け公式ブログによると、検索結果の上位に表示させることに主眼を置く、品質の低いサイトの検索順位が下がるそうです。

その結果、オリジナルで有用なコンテンツを持つ高品質なサイトが、検索結果の上位に表示されるようになるとのこと。詳しくは、下記を参照ください。


 2017年2月3日 日本語検索の品質向上にむけて
 Google ウェブマスター向け公式ブログ
 https://webmaster-ja.googleblog.com/2017/02/for-better-japanese-search-quality.html


昨年末、DeNAが運営する、医療系まとめサイト「WELQ(ウェルク)」の記事は、科学的根拠に欠ける内容や無断転用など無責任な記事でありながら、常に上位を独占し、医療関係者が発信する良質な情報を下位に押しやっていました。

なお、下記のITmedia NEWSによると、同様なキュレーションメディアは多数運営されており、検索上位に出続ける状態で、これらのサイトを検索上位に出し続けるGoogleへの批判も根強かったようで、今回の変更は、これへの対抗策のようです。

 キュレーションメディア“狙い撃ち” Google検索、アルゴリズム変更の狙い
  - ITmedia NEWS
 http://www.itmedia.co.jp/news/articles/1702/03/news099.html


ITmedia NEWSによると、アルゴリズム変更の影響を受けたとみられるサイトは、旅行を扱う「RETRIP」、商品情報の「KAUMO」、健康情報の「カラダノート」、育児情報の「マーミー」など。

なお、昨年末の医療系まとめサイト「WELQ(ウェルク)」における問題も含め、”どういうコンテンツが検索の上位表示されるのか?”について、以下のブログに簡単にまとめていますので、こちらも参考にしてください。

 検索結果上位の記事は信頼していいのか? 検索上位を狙うサイトに注意
 http://lifesecurityup.blogspot.com/2016/12/blog-post_5.html



《補足》キュレーションメディア、キュレーションサイト

特定のテーマで情報を収集・編集したウェブサイトのこと。まとめサイトとも言われます。

なお、キュレーションという言葉、コトバンクでは以下のように説明されています。

『IT用語としては、インターネット上の情報を収集しまとめること。または収集した情報を分類し、つなぎ合わせて新しい価値を持たせて共有することを言う。キュレーションを行う人はキュレーターと呼ばれる。』 出典:コトバンク https://is.gd/hcxgp4


2017年2月3日金曜日

多くの人が危険なパスワードを使っています! 危険なパスワードとは?

多くの人がシンプルで簡単に覚えられるパスワードを使っています。

Keeper Securityが公開した2016年の最もよく使われるパスワードのリストによると、最もよく使われるパスワードに大きな変化はなく、「123456」 が、今も多く使われ続けています。

 参考情報:
 よく使われるパスワード、Keeper Securityが2016年度のリスト公開
  - CNET Japan
 https://japan.zdnet.com/article/35095018/



この調査は、2016年に発生したデータ侵害で公になった1000万のパスワードを調べたもので、ユーザーの約17%が「123456」を使って自分のアカウントを「保護」しています。

この調査によると、危険なパスワード5件は以下になっています。


この5件は、データ侵害が一番多かったパスワードということになり危険です。なお、このようなパスワードだとすぐに見破られますね。

 1位・・・123456
 2位・・・123456789
 3位・・・qwerty  *キーボード配列順
 4位・・・12345678
 5位・・・111111



”単純なパスワードや個人情報で類推されるパスワードは危険ですぐに見破られます”

また、桁数の短いパスワード、例えば ”英字4桁のパスワードは約3秒” ”英字6桁のパスワードでも約37分” で簡単に見破られるという報告もあります。


”パスワードは他人に知られてはいけないもので、知られると何らかの被害を受けます”

昨年、日経新聞社員の男が、タレントのメールなどに不正アクセスしたとして逮捕されましたが、彼は名前や誕生日、電話番号などからパスワードを推測して勝手にログインしていました。


”パスワードはインターネット活用の鍵、見破られないパスワードを作りましょう”

インターネットのサービスで使うパスワード、これを悪用されると、自分が知らないうちに買い物をされたり、悪質な内容を発信されたり、とても危険です。


パスワードの基本
 ”英字の小文字・大文字、数字を混合させ、8桁以上にする”


英字の小文字だけ、数字だけのパスワードはNGです。パスワードの基本は、①英字の小文字・大文字、数字を混合させること、②8桁以上にすることです。



■ 良いパスワードの作り方


良いパスワードの作り方をまとめると、以下のようなパスワードになります。


 (1) 英字の小文字・大文字、数字を混合させ、8桁以上のパスワードを使う

 (2) 「123456」のような単純なパスワードにしない

 (3) パスワードには辞書に載っている単語を使わない

 (4) パスワードには自分の誕生日・名前などの個人情報を使わない

 (5) 会員ID(ログイン名)と同じ文字列をパスワードにすることは避ける。

 (6) 同じパスワードを複数のサービスで利用しない
 
 (7) パスワードは定期的に更新する



 
■ 重要なインターネットサービスを使う場合のパスワードとは



重要なインターネットサービス、例えば、インターネット・バンキング、ショッピング、Googleサービスなどについては、特に注意が必要です。

ポイント1:
 

ID・パスワードに加え「セキュリティコード」を入力する2段階認証を活用する
 
ポイント2:
 

2段階認証がない場合は、英字の小文字・大文字、数字を混合させ、16桁以上にして、他のサービスと違う”独自のパスワードにする


なお、2段階認証を有効にすると、ログインに際し、パスワードに加えて”セキュリティコード”の入力が必要になり、安全になります。

パスワードが解読、類推、盗用されたとしても、攻撃者は「確認コード」にアクセスできなければ、アカウントにログインできないので安全です。

この2段階認証、最初は本当に面倒くさいですが、徐々になれてきますので、辛抱しましょう。

次のブログに、Google、Dropbox、Microsoftの”2段階認証”の方法をまとめていますので、参考にして下さい。

 Googleの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/09/500google2.html

 Microsoftの”2段階認証”について
 http://lifesecurityup.blogspot.jp/2015/08/microsoft2.html

 Dropboxの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/10/dropboxid.html

2017年2月1日水曜日

ブラウザのサイト安全チェックが今年(2017年)から厳しくなった! サイト閲覧時の警告/エラー表示に注意

ブラウザのサイト安全チェックが厳しくなり、最新版のブラウザでアクセスすると、“この接続ではプライバシーが保護されません”というエラーが表示されるサイトがあります。
 

これは、個人情報を扱うサイトで、URLが“https://”という暗号化された接続であっても、

 安全性が低い暗号化技術「SHA-1」を使っているため、このサイトは危険!
 
という警告です。本来ならば、安全な暗号化「SHA-2」を使わないといけません(SHA-2移行問題と言われています)。


 参考:
 「Google Chrome」の閲覧画面にエラーが!
  ~“https://”のサイトにアクセスできない - やじうまの杜 - 窓の杜
 http://forest.watch.impress.co.jp/docs/serial/yajiuma/1041798.html


ブラウザ別にみると、以下のバージョンから、安全でない暗号化「SHA-1」を使っているサイトではエラー表示が出るようになり、ブラウザのサイト安全チェックが厳しくなっています。

 ・Chromeは2017年1月の最新版の「Chrome 56」からエラー表示
 ・Firefoxは2017年1月の最新版の「Firefox 51」からエラー表示
 ・Microsoft Edge および Internet Explorer 11 は2017年2月14日から


インターネット・バンキングや、ネットショッピング中などに、

 「セキュリティ証明書には問題があります」
 

 「安全な接続ではありません」
 
などといったエラー画面が表示されたら、タブを閉じるなどして、そこから先へは進まないようにする方が安全です。

また、これまで付き合っていたサイトで、このようなエラー表示がでたら、安全性を考えておらず、そのサイトとは、付き合うことはやめたほうが無難です。


なお、個人情報を入力するサイトは、通常、“https://”というURLになっており、今までは安全と考えられていましたが、“https://”であっても、安全でない暗号化「SHA-1」を使っているサイトは、プライバシーが保護されず、危険です。

アメリカ国立標準技術研究所(NIST)などの米国機関や業界団体においては、「SHA-1」の使用を取りやめ、より強固なハッシュ関数である「SHA-2」への移行が推奨されています。

また、SSL/TLSサーバー証明書を発行しているサイバートラスト、GMOグローバルサイン、シマンテック、セコムトラストシステムズの各社では、SHA-2を用いた証明書への移行を推奨しています。


■URLが「https://」の場合は「SSL/TLS」という技術を活用している

個人情報を扱うサイトのURLは、通常「https://”」になっており、この「https」で始まるサイトにアクセスすると、ブラウザには鍵のマークが出てきます。

この鍵マークが、「SSL/TLS」という技術を使って、お互いが正しい通信相手であるかを確認し、やり取りするデータを暗号化しているという意味になります。

インターネット・バンキングやネットショッピングなどの個人情報を扱うサイトは、「https」で始まるURLになっており、「SSL/TLS」という技術を使っています。

この場合、住所・氏名、クレジットカードの番号を送る時は、①サイトのコンピュータが正しいかを確認して、②情報を暗号化して送信しています。

しかし、この「SSL/TLS」という技術には問題点があります。



■「SSL/TLS」には問題点があり、ブラウザを最新版に更新しないとダメ

「SSL/TLS」という技術には、今回紹介した「SHA-1」問題に加え、”POODLE”脆弱性([補足1])、”FREAK”脆弱性([補足2])があります。

ただし、最新版のブラウザでしか、これらの問題には対応しないため、インターネット・バンキングや、ネットショッピングを、安全に利用するために、ぜひとも、ブラウザは常に最新版に更新してください。


なお、”POODLE”脆弱性、”FREAK”脆弱性共に、Chrome、Firefox、Microsoft Edge および Internet Explorer 11 の最新版では対応済です。

詳しくは、下記のwikipediaの記事を参考にしてください。

 ウェブブラウザにおけるTLS/SSLの対応状況の変化 - wikipedia
 https://is.gd/ZTLY9M


[補足1]”POODLE”脆弱性 問題

”POODLE”とはSSLのバージョン3.0に存在する脆弱性のことを指します。

この脆弱性を突くことで、悪意のある攻撃者は、第三者の通信に介在してSSL/TLSを脆弱なバージョン(SSL3.0)に落とし、通信させることができます。

POODLE脆弱性を持つプロトコルをそのまま放置していると、暗号化に必要な鍵を事前に知らない第三者が、大量通信や中間者攻撃によって、暗号化されたデータを解読してしまう可能性があり、パスワード等の個人情報やCookie情報が第三者に漏えいする可能性があります。

この問題は、SSL 3.0や実装が不十分なTLS1.0/1.1を有効にしているサーバとの通信において発生します。

なお、2017年1月時点でのChrome、Firefox、Microsoft Edge および Internet Explorer 11の最新版では、SSL 3.0は”安全ではない”として、非対応になっています。詳しくは、上記のwikipediaの記事を見てください。


[補足2]”FREAK”脆弱性 問題

”FREAK”とは、SSL/TLS通信をしているパソコン(クライアント)が、SSL/TLS通信で扱った情報が、「Man-In-The-Middle(中間者攻撃)」により盗聴、改ざんされるというものです

その方法とは、攻撃者が安全性が低い「RSA Export Suites」を使わせるよう「中間者攻撃」を行い、攻撃が成功すれば、脆弱な暗号化通信が行われ、その通信に対する「中間者攻撃」によって、通信内容が盗聴や改ざんされるというものです

ただし、前提としてサーバー側、クライアント側、双方がFREAKの影響を受けるソフトウェアを使用している必要があります。

そのため、FREAK攻撃を防止するためには、脆弱性を解消した最新のWebブラウザにバージョンアップすることが重要となります。有名なブラウザはいずれもFREAKの脆弱性は解消されています。詳しくは、上記のwikipediaの記事を見てください。


参考:

 SHA-1 ウェブサーバー証明書は 2017 年2月から警告!
 Microsoftブログ 日本のセキュリティチーム
 https://blogs.technet.microsoft.com/jpsecurity/2016/11/25/sha1countdown/

 企業サイトが表示されなくなる日、迫る「SHA-2移行問題」 | IT Leaders
 http://it.impressbm.co.jp/articles/-/12248

 主要ブラウザのセキュリティ強化でHTTPSエラー?! | GMOグローバルサインブログ
 https://jp.globalsign.com/blog/2016/browser_update_ssl_error.html

 SHA-1証明書を用いたウェブサイト閲覧時の警告/エラーや表示について
 フィッシング対策協議会が注意喚起 -INTERNET Watch
 http://internet.watch.impress.co.jp/docs/news/1037904.html

 今のままではSSL通信が使えなくなる? SHA-2証明書への移行ポイント
  - ZDNet Japan
 https://japan.zdnet.com/pickup/globalsign_201406/35049769/