Googleのシステム障害、認証サービスダウンがはらむリスクがあらわに（転載）～クラウドサービス使うときは、年1回程度の大規模障害を受け入れる覚悟が必要～

Googleのシステム障害、認証サービスダウンがはらむリスクがあらわに:

　2020年12月14日20時55分ごろから約50分間にわたってGoogleの主要サービスが使用できなくなった。日本ではすでに終業時間の企業が多かったが、Googleアカウントに関連するサービスが約50分間使用できなくなった。

サービスダウンではなく認証システムのトラブル、発生の要因は

　本稿執筆時点でGoogleから今回のサービス停止に関する詳細報告はない。現時点では「Google Cloud Status Dashboard」に掲載されている簡素な説明が障害の原因を伝えるのみだ。

　執筆時点での説明によれば、今回のサービス停止は「Google Cloud Platform」および「Google Workspace」で動作するもののうち、アカウントログインと認証を必要とする全てのサービスで発生した。原因は、クラッキングなどではなく、自動化されたクォータ（quota）管理システムにあるとされている。

　クオータとは、システムやアプリケーションごとにストレージの利用条件を設定する仕組みだ。一つのサービスがストレージを全て使い尽くしてしまうリスクを避ける場合などに使われる。

　今回の障害は、Googleが運用する「中央ID管理システム」が必要とするストレージ容量が、クオータの設定によって不足したことで、認証システムが適切に動作しなくなったことが原因だという。データ量がクオータの設定上限に至った理由や自動拡張されなかった理由はまだ明らかになっていないため、単純な設定の問題か、認証サービスダウンを狙った悪意ある攻撃の影響なのかは定かではない。

単一アカウントを使用することの利便性と危険性

　「Google Workspace」を契約するビジネスパーソンであれば、Googleが提供するさまざまなサービスを利用していることだろう。Google以外のサービスの認証にGoogleアカウントを利用するケースも考えられる。

　今回のサービス停止は、こうした単一のアカウントに依存した状況が障害発生時の回避方法の選択肢を狭めるものであることを示す結果となった。障害が発生した時間帯が日中であればさらに多くの企業が影響を受けた可能性がある。

　今回の問題はGoogleが直接提供するサービスに限定されるものではなく、Googleの認証機能を使用するサードパーティー製のサービスでも発生した。

【転載】マイクロソフトは2021年8月17日のInternet Explorer終息に着手 / Microsoft begins to finally kill off Internet Explorer

Microsoft begins to finally kill off Internet Explorer

マイクロソフト社は、Chromiumベースの新しいブラウザ「Microsoft Edge」を採用して、時代遅れのInternet Explorerを廃止するために、さらなる措置を講じようとしている。

マイクロソフト社は何年にもわたってユーザーにInternet Explorerからの切り替えを勧めてきたが、いまだにブラウザの市場シェアは5％近くにとどまっている。

多くの人にとってはまだ始まっていないとしても、間もなく開始されるマイクロソフトは、人々をInternet Explorerから遠ざけるためのより積極的な措置を取ることになるだろう。

互換性のないサイトのMicrosoft Edgeへの自動リダイレクト

Microsoft Edgeの最近のバージョンから、Internet Explorerが互換性のないサイトにアクセスすると、Microsoft Edgeで自動的にブラウジングセッションが起動し、ブラウジングセッションを継続するようになりました。

互換性のないサイトのリストはMicrosoftが管理しており、現在はTwitter、Facebook、Instagram、Google Drive、Microsoft Teams、ESPN、Yahoo Mailなど1,156サイトが含まれています。

このリダイレクトは、以下のように「IEtoEdge BHO」というInternet Explorerのブラウザヘルパーオブジェクト（BHO）を介して行われます。

BHOに関連付けられたファイルは、「C:Program Files (x86)」フォルダの下にあります。

ie_to_edge_bho.dll
ie_to_edge_bho_64.dll
ie_to_edge_stub.exe

BHOでは、Webサイトを閲覧する際に、Internet Explorerに対応していないWebサイトがないかどうかを確認しています。対応している場合、BHOは自動的にMicrosoft Edgeでサイトを開き、以下のように「このサイトはInternet Explorerでは動作しません！」というメッセージを表示します。

アラートを表示すると、Microsoft Edgeでは、Internet Explorerの設定やデータ、CookieをMicrosoft Edgeに移行するようユーザーに促すメッセージも表示されます。

 

"以下の閲覧データがインポートされます。お気に入り、パスワード、検索エンジン、開いているタブ、履歴、設定、クッキー、ホームページ」とマイクロソフトは説明する。

データを移行しないことを選択した場合でも、『ブラウジングを続ける』ボタンをクリックして、Microsoft Edgeでウェブサイトを閲覧することができるという。

Internet Explorerと互換性のないサイトを閲覧している間、Microsoft Edgeでは、デフォルトブラウザを新しい最新のブラウザに設定するよう促すバナーが表示されます。

Microsoft Edgeでサイトを開くと、互換性のないサイトのIEタブは、コンテンツがなかった場合は自動的に閉じられます。そうでない場合は、"あなたが到達しようとしていたウェブサイトはInternet Explorerでは動作しません "と説明するMicrosoftのサポートページにリダイレクトされます。

10月26日、マイクロソフトは、先日追加されたサポートドキュメントに詳細が記載されているこのリダイレクト動作をユーザーが制御できるようにする新しいグループポリシーテンプレートを導入します。

• RedirectSitesFromInternetExplorerPreventBHOInstall - Internet Explorer での「IEtoEdge BHO」のインストールを防ぐことができます。
• RedirectSitesFromInternetExplorerRedirectMode - Internet Explorer の Microsoft Edge へのリダイレクトを無効にします。
• HideInternetExplorerRedirectUXForIncompatibleSitesEnabled - 管理者がMicrosoft Edgeに表示されるリダイレクトアラートを無効にできるようにします。

Microsoftのサポート文書では、このリダイレクトは11月17日頃にリリースされるMicrosoft Edge 87で開始されるとされていますが、BleepingComputerのテストでは、Microsoft Edge 86.0.622.51ですでにリダイレクトが発生しています。

マイクロソフトのサービスは11月にIEのサポートを失う

今回のリダイレクトに加えて、Microsoftは、Microsoftが提供するさまざまなサービスでInternet Explorerのサポートを無効化する予定だという。

また、Microsoftは8月のブログ記事で、Microsoft Teamsが11月30日からInternet Explorer 11のサポートを終了することを明言していた。

Microsoftは最終的に、2021年8月17日にすべてのサービスでInternet Explorerのサポートを終了する予定だ。

引き続きInternet Explorerのサポートを必要とするユーザーは、Microsoft EdgeのInternet Explorer Modeを使用して後方互換性を保つことができるようになる。

【転載】Windows 10はコントロールパネルを非表示にしている。どうアクセスするか / Windows 10 now hides the SYSTEM control panel, how to access it

Windows 10 now hides the SYSTEM control panel, how to access it:

Windows 10 20H2のリリースに伴い、Microsoftは現在、由緒あるSYSTEMコントロールパネルへのアクセスを禁止し、代わりに新しく更新された「バージョン情報」設定ページにユーザーをリダイレクトしています。

SYSTEMコントロールパネルは、Windows NT 3.51とWindows 95で最初に導入され、インストールされているWindowsのバージョン、オペレーティングシステムのビットタイプ、コンピュータ名、ワークグループ、CPU、およびメモリに関する情報を提供します。

コントロールパネルはコンピュータに関する多くの情報を提供しているため、Windows PCのトラブルシューティングやコンピュータの基本情報を決定する際によく使用されています。

7月にBleepingComputerは、Microsoftが「バージョン情報」の設定ページを更新し、SYSTEMページにある情報のほとんどを含むようにしたと報じた。当時、マイクロソフト社は、SYSTEMコントロールパネルを開いたときにユーザーを「バージョン情報」ページにリダイレクトする隠し機能もテストしていました。

Windows 10 20H2で、マイクロソフトはコントロールパネルの棺桶に別の釘を打ち込み、ユーザーがSYSTEMコントロールパネルにアクセスできないようにしました。現在、ユーザーがそれを開こうとすると、代わりに [バージョン情報] ページが表示されます。

 

最新のディスク管理ツールのテスト、リフレッシュレートオプション、「プログラムと機能」コントロールパネルを「アプリと機能」設定にリダイレクトするテストを行うことで、マイクロソフトがコントロールパネルを徐々に削除していることがわかります。

最終的には、Windows 10 は設定が異なる場所に配置されていて混乱しているので、これは良いことだと思います。設定機能の下にそれらを整理することで、特定の設定を見つけやすくなります。

日常的にSYSTEMコントロールパネルを使用している方には朗報ですが、以下に説明するように、まだアクセスする方法があります。

Windows 10 20H2でSYSTEMにアクセスする方法

MicrosoftがSYSTEMコントロールパネルをリダイレクトしている間、特別に細工されたWindowsショートカットを介してアクセスする方法があります。

SYSTEMコントロールパネルを開くショートカットを作成するには、以下の手順に従ってください。

1. Windowsデスクトップが表示されるように、開いているすべてのアプリケーションとフォルダを最小化します。
2. デスクトップを右クリックし、以下のように「新規作成」>「ショートカット」を選択します。
   
   
   
   
   
3. ショートカットの作成] ウィンドウが開いたら、[エクスプローラーシェル::{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}をコピーしてフィールドに貼り付けます。その後、「次へ」ボタンを押します。
   
   
   
   
   
4. ショートカットの名前を尋ねるページが表示されます。名前に「SYSTEM」と入力し、「完了」ボタンを押します。
   
   
   
   
   
5. デスクトップにSYSTEMというショートカットが作成され、SYSTEMコントロールパネルを再度開くために使用できるようになります。
   
   
   
   
   

Windows 10 20H2でこのショートカットを作る方法を説明した動画が以下にあります。

この SYSTEM ショートカットは、スタートメニューで「SYSTEM」を検索し、「アプリ」セクションの下に表示されるアイコンを選択することで、スタートメニューから直接起動することもできます。

現在の Windows 10 Insider プレビュー ビルド（Windows 10 20231 でテスト済み）では、SYSTEM コントロール パネルにアクセスする他のすべての方法は、新しい [バージョン情報] ページにリダイレクトされます。

freee、パスワード付き添付ファイルのメール受信を廃止（転載）～ハンコ文化と並ぶ悪しき風習のPPAP根絶へ！～

freee、パスワード付き添付ファイルのメール受信を廃止 - ITmedia NEWS:

 　クラウド会計ソフトを提供するfreeeは11月18日、メールに添付されたパスワード付きファイルの受信を12月1日に廃止すると発表した。メールを受信した場合、メールサーバで添付ファイルは自動的に削除される。メール本文は維持したまま受信できるが、ファイルが削除された旨が本文に追記されるという。

　

freeeは「パスワード付きファイルはマルウェア検査を迂回（うかい）してしまうことからセキュリティリスクを増大させる」と指摘。パスワード付きファイルの受信をやめることで、添付ファイルを通じて感染するマルウェア「Emotet」などを防ぎたい考え。

効果が薄いとわかっていてもなかなか仕組みを変えられないのが日本企業の特徴だが、いかにして廃止を実現したのか。

今回、パスワード付きファイルのメール受信廃止を決めたfreeeでは、どのように社内の理解を取り付け、実現させたのか。話を聞くと、以前から行ってきたセキュリティに対する意識の醸成が大きな影響を与えていることがわかった。

　freee CIO（Chief Information Officer：最高情報責任者）の土佐鉄平氏によれば、セキュリティ上の観点から、これまでもfreeeからの送信メールにはなるべくファイルを添付しない方針だったそうだ。

　同社はGoogle Workspace（旧G Suite：Gmailやカレンダー、ドライブ、ドキュメント、スプレッドシートなどのツールを含むクラウド上のワークスペース）を利用しており、従業員にはGoogle ドライブを使ってファイル共有を行うことを推奨。個人情報を含むものなど特に重要な情報は、メールではなくドライブを利用するよう指示してきた。

　ただし、取引先のポリシーによってはドライブへのアクセスが制限されていることもあるため、その場合は別の手段を選択。ほかに選べる手段がなければ、例外的にメールにファイルを添付して送信するという運用だった。

　その一方、これまで外部からのメール受信の際には添付ファイルの受け取りは制限されていなかった。パスワードが後送される、いわゆるPPAP方式のファイル受信も行っていたという。

　ここ数年、不審メールの検知が増えていたfreee。土佐氏は「幸い、実害を受けることは今までなかったが、やはりパスワードで暗号化されてスキャンツールが効かない状態で受信しているケースは結構あった。以前からずっと、これは課題だと認識していた」と語る。

　具体的に、パスワード付きファイルをメールで受け取らないことを検討し始めたのは、米CISAによりEmotetへの注意喚起が出たことがきっかけだった。ウイルス対策ソフトやファイアウォールの設定、電子メールに添付された実行ファイルのブロックなど、これまでも対策を講じるよう推奨されてきた項目に加えて、「ウイルス対策ソフトでスキャンできないタイプのメール添付ファイル（zipファイルなど）のブロック」が対策として推奨されていたからだ。

「公的な機関からの注意喚起という後ろ盾を得て、これを機に廃止を進めてしまおうということになった」（土佐氏）

　土佐氏らはパスワード付きファイルを受信しない設定方法と、受信廃止による影響について調査を進め、11月2週目まで社内で検証を実施。11月18日、取引先への周知のために廃止をアナウンスした。この日はちょうど平井大臣からPPAP廃止の方針が出た翌日で、タイムリーな発表となったが、テストも含めた準備自体は1カ月ほどかけて行ってきたものだった。

「調査により、Google Workspaceを利用する企業ユーザーなら、Gmailの添付ファイルに関するコンプライアンスルールの設定が管理画面から比較的簡単にできることがわかった。暗号化されたファイルをメールから削除することも容易で、かつ送信元による例外処理の設定も可能だとわかったので、原則としてパスワード付きファイルは受信しないルールとし、仕組み上、どうしてもパスワード付きファイルをメールで送らざるを得ない相手については例外処理とすることにした」（土佐氏）

　同社CSIRT（Computer Security Incident Response Team：コンピュータセキュリティ問題への対応チーム）の吉本真一氏は「Gmail以外のメールサービスでも、同様の設定は技術的には対応可能」として、「設定の難易度はサービスによって違いがあると思うが、いずれもさほど難しくないのではないか」と語る。

　freeeでは、取引先やパートナーに、パスワード付きファイルをメールで送らないよう依頼する際、外部にも説明しやすいようにと対外的なアナウンスを実施。社内への告知は外部への公表の前日だったそうだが、大きな反発はなかったという。

「折に触れて、PPAPやパスワード付き添付ファイルの問題点については社内へアピールしていたので、そのこと自体は浸透していたのだと思う。金融機関とのやり取りが多い部署などとは『もし廃止することになったら、結構影響を受けそう』といった対話もしていたが、そこでも大きな反発はなく、せいぜい『大胆なことを考えますね』という感じ。そのため、社内的には“行ける”という感触をつかんでいた」（土佐氏）

　発表後の社外からの反響もおおむね好意的だ。「スタッフからは、ほとんどのところで先方に対応いただけていると聞いている」と土佐氏。「12月1日の廃止に向けて、もっと例外設定の依頼がたくさん来るものと構えていたが、思ったより依頼は来ていない」という。

「セキュリティポリシーの一環として、送信ファイルが自動的にパスワード暗号化されるソリューションが入っている相手なら仕方がないと思っていたが、Google ドライブが使えない相手先からも『別のストレージなら対応できる』と提案をいただくなど、社内外ともに賛同が多い」（土佐氏）

　freee社内のセキュリティへの理解度、認識の高さは、これまでの教育のたまものでもある。

「従業員には入社初日のセキュリティ研修で、なぜメールでのファイル送信はいけないのか、クラウド上のドライブによるファイル共有の方が望ましいのはなぜか、説明している。また四半期に1度は、セキュリティに関する理解度チェックをeラーニングで実施するなど、コツコツと活動している」（土佐氏）

　理解度テストは全5問。復習していれば100点が取れる内容で、「テストの点数が上がることよりも、選択肢を読むことが大切で、全員に受けてもらうことにこだわっています」と土佐氏は言う。

　またfreeeでは、新たなセキュリティ上の問題（インシデント）についての情報を、経営陣とともに従業員にも共有している。

「話題になっているインシデントについては、CSIRTから経営陣向けに定期的に報告をしている。インシデントに対してfreeeではどういう対策がとられているか、また足りない部分については『このように対策すべき』という取り組みを説明するが、その報告の様子を全社にも動画で配信している」（土佐氏）

　取り上げるインシデントは世間で起きているニュースなので、従業員にも興味を持ってもらいやすい。専門的な難しい用語は避け、こちらも少なくとも四半期に1度は配信するようにしているという。セキュリティインシデントの社内理解が進むとともに、経営者がセキュリティに関心を持つ姿勢もアピールできる点で、実に優れた取り組みと言えるだろう。

　こうしたセキュリティに関する啓蒙活動により、「メールにファイルを添付しないことについても、freeeでは社内の共通認識となっていた」と土佐氏。パスワード付きファイルの受信廃止が他社より比較的進めやすかったのは、これまでの教育の成果と言って過言ではないだろう。

【参考】
無意味な「パスワード付き添付ファイル」受信をfreeeが廃止できた理由（ダイヤモンド・オンライン）

三菱パワーがMSP（マネージドサービスプロバイダ）の不正アクセスの2次被害を受ける（転載）～サプライチェーンリスク顕在化事例～

MSP経由で不正アクセス、提供ソフトにゼロデイ脆弱性 - 三菱パワー

三菱パワーが被害に遭ったMSP経由の不正アクセスについてまとめてみた

三菱パワーは、マネージドサービスプロバイダ（MSP）経由で不正アクセスを受けたことを明らかにした。一部情報の流出が確認されているが、機微な情報や個人情報は含まれていなかったとしている。

9月初旬より約1カ月間にわたり、同社や同社子会社のパソコン、サーバが不正アクセスを受けたもの。サーバの設定情報やアカウント情報、認証プロセスにおけるメモリダンプなど、システム関連の情報が窃取された。

機微な情報や機密性の高い技術情報、取引先に関する重要な情報、個人情報の流出などは確認されていないという。また親会社である三菱重工グループなどへの不正アクセスについても否定した。

同社によると、9月7日に同社のサーバ1台がマネージドサービスプロバイダ経由でマルウェアに感染。同プロバイダが提供するソフトウェアに修正プログラムや対策など用意されていないいわゆる「ゼロデイ脆弱性」が存在し、悪用された。

その後、ネットワークの偵察を経て断続的に感染を拡大する活動が行われ、同月22日には同社子会社のサーバに攻撃の起点を移すなど横展開されている。

株式会社日立システムズのプレスリリースバックアップ

三菱パワー株式会社のプレスリリースバックアップ

不正アクセスで顧客情報約8.8万件が被害か（転載）～想定損害賠償額は21億円程度か～

不正アクセスで顧客情報約8.8万件が被害か - 保険代理店

顧客管理システムが不正アクセスを受けた保険代理店のライフィは、データベースに保存されていた顧客情報8万8564件が被害に遭った可能性があることを明らかにした。

今回の問題は、同社サイトを通じて顧客情報の管理システムにおける脆弱性を突かれ、データベースが不正アクセスを受けたもの。10月13日に判明し、流出した顧客情報を特定するため、調査を進めていた。

調査の結果、保有する顧客情報が不正アクセスを受けたものの、流出した具体的な情報の特定はできず、攻撃を受けたファイル内に保管されている全顧客情報8万8564件が流出したと結論づけた。

具体的には、同社サイトを通じて保険商品のパンフレットを請求したり、同社スタッフと面談、メール、電話を通じてやり取りした最大8万8111件の顧客に関しては、氏名、住所、電話番号、生年月日、メールアドレス、対応履歴などが記録されていた。

ITセキュリティリスクアセスメントの実施 / Conducting an IT Security Risk Assessment

Conducting an IT Security Risk Assessment

企業のリスクを低減する能力を高めましょう。新しいホワイトペーパーでは、効果的なITセキュリティリスクアセスメントの実施が重要な理由をご紹介しています。ITセキュリティリスクアセスメントの実施

すべての企業は、既知のものから未知のものまで、ほとんど毎日のようにリスクに直面しています。リスク評価は、ビジネスの混乱や損害を最小限に抑えるために、テクノロジーやその他の企業資産に対する脅威を評価するのに役立ちます。

リスクは様々な形で発生するため、企業がこれらの脅威に備え、対処するための最善の方法は、事業目的に沿った強力で構造化されたリスク軽減戦略と計画を策定することです。

現在および将来のリスクを軽減し、潜在的な損害を軽減するためのリスクアセスメントを成功させるための重要なステップをより深く理解することができます。これらのステップには以下が含まれます。

• 資産の特定と評価
• 既知の脅威の識別
• 脆弱性の特定
• リスクの特定
• リスク治療の決定

このISACAホワイトペーパーは、ITセキュリティリスク評価プロセスを初めて利用する方や、ITセキュリティリスク評価プロセスに慣れていない方のための情報システムやビジネスの専門家向けのホワイトペーパーです。

バックアップ（非公開）

【転載】「会社の看板」は早く利用して、こちらから捨てたほうが良い

「会社の看板」は早く利用して、こちらから捨てたほうが良い

 日本最大の大手広告代理店が、40代以上の正社員230人を業務委託の個人事業主に切り替える制度を開始するというニュースが話題になつています。

正社員という日本型の雇用形態は、企業から見れば大きなリスクになっています。事業環境の変化が大きくなればなるほど、固定費となる社員を抱え込むのは、経営を不安定させる要因なのです。

すでに日本では、企業年金制度が確定給付型から確定拠出型（日本版401k）にシフトし、年金の運用リスクが企業から従業員に転嫁されました。

今後も大きな流れとして、会社側がリスク回避のために、従業員を実質的に切り捨てていくと思います。

であれば、会社で社員として働いている人がやるべき事は、2つです。

1つは会社の看板を可能な限り利用すること

そして

もう1つは、会社に捨てられる前に自分から会社を捨てられる力を身に着けておくことです。

会社の看板があることによる1番大きなメリットは「お金を借りる力」が持てることです。個人事業主になれば、信用力がつくまで借り入れすることができません。会社にいるうちに、お金を借りられるだけ借りておく。「信用力のマネタイズ」をできるだけ早くやっておくことです。