ソリッドステートドライブ（SSD）は、ハードドライブとは仕組みが若干違うため、穴を開けようが、磁気を消去しようが、初期化しようが、データを完全に保護することはできません。 「Backblaze」などでは、2つのやり方を提案しています。1つは、SDDを暗号化して暗号キーを捨ててしまう方法、もう1つは粉砕する方法です。ただし、SSDを粉砕するには特別な機械が必要で、一般の人は使えません。というわけで、ここでは、暗号化についてお話します。トップシークレットを扱うプロジェクトに携わっている人を別とすれば、この方法で十分です。いずれにせよ、暗号キーがなければ、暗号化されたSSDは1と0がランダムに並ぶただのドライブでしかなくなります。 SSDを処分する理由が何であれ、プロセスはいたって単純です。暗号化して初期化する、それだけです。念には念を入れたい人は、そのあとでもう一度、暗号化してください。 この

Adrian Kingsley-Hughes （Special to ZDNET.com） 翻訳校正： 編集部 2016-04-20 10:10 セキュリティコミュニティーは「Windows」ユーザーに対して、多くの重大な脆弱性が存在するとして「QuickTime for Windows」の削除を勧告しているが、Adobeはこれを削除すると「Creative Cloud」ユーザーにとって不具合が生じる可能性があると警告している（訳注：日本のユーザー向けの公式発表も公開されている）。 「残念ながら、Windows環境にインストールされたQuickTimeに依存しているコーデックが存在しており、その代表例がApple ProResだ。このフォーマットが多くのワークフローで頻繁に使用されていることは認識しており、状況改善ために対応を進めていくが、現時点ではネイティブデコードが可能になるまでの期間

解説 弊誌のFacebookページでお伝えしたように、2016年4月中旬、セキュリティ対策企業やメディアなどがWindows用のQuickTime（QuickTime for Windows）を速やかにアンインストールするよう勧める報道が相次いだ。 Windows版QuickTimeに深刻な脆弱性、直ちにアンインストールを（ITmediaエンタープライズ） その後、アップルはWindows版QuickTimeのサポートを終了することを同社Webサイトで表明した。 QuickTime 7 や QuickTime 7 Pro についてわからないことがある場合（Appleサポート） これに対してWindowsのユーザーや管理者はどのように対処すればいいのか？ QuickTimeのことをよく知らない読者も対象として解説する。 ●QuickTimeとは？ QuickTimeとは、Appleが開発・提

もうパスワードを忘れても大丈夫？ 実はWebブラウザに保存されているパスワードは簡単に確認できる。Internet Explorerで保存されているパスワードを確認する方法を紹介する。 解説 さまざまなWebサイトのサービスを利用する際、認証のためにIDとパスワードの入力が求められることがある。このようなWebサイトでも、Internet Explorer（以下、IE）のオートコンプリート機能を有効にしておけば（デフォルトで有効）、一度入力したIDとパスワードはブラウザ内に保存され、次回からは自動的にWebサイトに送信される。 しかし、いつもオートコンプリート機能に頼っていると、ついついパスワードを忘れてしまいがちだ。Webサイトのページ構成が変更されるとオートコンプリート機能が働かなくなるが、IDとパスワードの入力を求められてもまったく思い出せないことがよくある。 こうなってしまうと、I

Ｆａｃｅｂｏｏｋで偽ショッピングサイトへ誘導するイベントスパムが出回っている。人気のサングラスブランド・レイバンを騙(かた)ったもので、今までとは異なりＦａｃｅｂｏｏｋの「イベント機能」で多くの人に拡散させているのが特徴だ。（ＩＴジャーナリスト・三上洋） 偽レイバン「チャリティー」「慈善」と称するＦａｃｅｂｏｏｋイベント招待スパム Ｆａｃｅｂｏｏｋで新たな手口のスパムが流行している。Ｆａｃｅｂｏｏｋのイベント機能を使ったもので、「チャリティーイベント」「慈善活動」「メガネイベント」などのタイトルでイベントを作り、多くの人に招待スパムを出している。人気のサングラスブランド・レイバンを騙ったスパム（迷惑メッセージ）だ。 左の画像がそのイベントスパムで、「レイバンのチャリティー販売」として、「８６％まで割引！」などと勧誘し、サイトへのリンクを張っている。Ｆａｃｅｂｏｏｋのイベント機能は、本来はリ

Internet Explore（IE）8、9、10ユーザーは1月12日のWindows Updateにご注意を：End of Life Upgrade 米Microsoftが1月12日（現地時間）に配布する更新プログラム（KB3123303）を適用すると、最新版ではないInternet Explorer（IE）を使っているWindowsで、IEのアップグレードを促す警告メッセージが表示されるようになる。Microsoftはこの更新プログラムを「End of Life Upgrade」と呼んでいる。 これは、Microsoftが以前から告知しているIE 8、9、10のサポート終了に伴う措置。同社の日本語公式ブログでも昨年12月、「IEのサポート ポリシー変更まで1カ月を切りました。2016年1月12日を過ぎると、IEのサポートポリシーが各OSの最新版のIEのみへと変更になります。」と告知し

関連キーワード Linux | UNIX | 脆弱性対策 | セキュリティ対策 | セキュリティホール デスクトップLinuxのセキュリティ対策も、Windows同様に忘れてはいけないものだ（画像はUbuntu 14.04 LTS）《クリックで拡大》 LinuxはデスクトップPCのOSでは主流ではなくニッチだ。だが、Linuxを使っている企業では、このOSは重要な役割を果たしている。こうした企業はデスクトップLinuxのセキュリティに気を付ける必要がある。 企業向け用途として、Linuxが役立つ場面があるのは確かだ。企業は特定のビジネスアプリケーションやエンドユーザーの要望をサポートするために、Linuxを使用している。しかし、Linuxは広く使われているデスクトップOSではない。デスクトップLinuxは、サーバやWindowsベースワークステーションほど注意が払われていないこともある。こ

大勢の「Internet Explorer（IE）」ユーザーが、セキュリティパッチを入手できなくなる前に、MicrosoftがサポートするWindowsで利用可能な最新版にアップグレードするにはわずか5週間の猶予しかない。 Microsoftは11月末、ドライブバイダウンロードやその他のブラウザの脆弱性からの保護を旧IEに与えるパッチが2016年1月12日以降に提供されなくなることについて、ユーザーに注意をあらためて呼びかけた。 IEがほぼ毎月、ハッカーや攻撃者の標的になる可能性が最も高いブラウザの1つになっていることを考慮すると、サポート終了は影響を受ける大勢にとって先行きが心配な出来事だ。 米政府の「Digital Analytics Program」から推定した数字によると、実に1億2400万人ものユーザーがIE 10またはそれ以前のバージョンを使っており、より新しいブラウザにアップ

近い将来に大きな問題となるのが、自分や身近な人が亡くなった時における大切な写真やメール、インターネットサービスなどのデータだ。この「デジタル遺品」について解説しよう。 ある日来た「デジタル遺品」の相談 筆者が「デジタル遺品」に興味を持つきっかけは、10年以上も前に女性から届いた1通のメールからだった。そこには50代の夫が急死したこと、今までの家庭の資産管理を全て夫が行っていたこと、夫が資産のほとんどについて自分のPCで作業をしていたこと、自分がPCについては全くの素人であること、パスワードも分からないこと――などが記され、どうしていいか教えてほしいということであった。 その後、筆者はパスワードを解析して奥さんに知らせ、基本的なPCの操作方法は知っているようなので、ご自身で作業してほしいと伝えた。そこでの重要なポイントを次にようにお伝えした。 どういう金融機関（銀行、証券、保険など）で、どう

10月5日からマイナンバーの通知がスタートし、間もなくお手元に届き始めるだろう。まず確認すべきチェックポイントを個人、企業それぞれの視点で紹介する。 10月5日から国内に住民票を持つ人へのマイナンバーの通知が始まった。そこで今回は通知を受け取った後、すぐに確認しておきたいポイントを取り上げたい。 通知が届いたら？ 1.基本だが、必ずあて名を確認する。簡易書留で送られてくるが、配達するのは人間であり、間違いがある。実際に筆者の知人は、手紙が近所の同姓同名の方に誤って配達され、憤慨したことがある。 2.配達される「通知カード」の記載内容をもれなく確認する。「氏名」「住所」「生年月日」「性別」「マイナンバー」に本当に誤りがないかどうかは、現状では確認できないので、取りあえずそのまま信用するしかないが。 3.顔写真付きの個人番号カードを申請する。申請先は市町村だ。顔写真が必要になるが、無料で交付さ

企業のメッセージインフラとして、今日も当たり前のように利用されている「電子メール」。 当たり前すぎて、もう何も疑問に感じていない方は多いのですが、実はここにも日本特有のガラパゴスがいくつか存在します。中でも最も“ここが変だよ”と言われているのが「ファイル添付」です。 みなさんの会社には、メールでファイルを送る際にどのようなルールがありますでしょうか？　また、相手にどのように届いているかご存じでしょうか？ ファイルは暗号化して、パスワードは別メールで 2015年現在、多くの日本企業では、メールでファイルを送る際に、セキュリティの観点から次のようなルールが設けられています。 ファイルはそのまま添付せず、zipなどで圧縮し、パスワードをかけてから 解凍パスワードは同じメールに記載せず、別メールで送信 これらの目的は誤送信対策ですね。確かに、間違えて送ってしまってもパスワードがなければ（パスワード

いうまでもなくスマートフォンは「個人情報のかたまり」です。ところが、楽天が始めた「楽天アプリ市場」で、ちょっと“聞き捨てならない”操作が説明されているのです。 スマートフォンは「個人情報のかたまり」です。あなたと仲がいいという属性が付いている連絡先情報や、さまざまなSNSのログイン情報があり、高性能なカメラで撮影したアルバムの中には、身分証明書を撮影した写真もあるでしょう。さらに、スマートフォンはあなたがいる場所にぴったりくっついていくという性質を持っています。これらは、ある意味保険の効くクレジットカード番号や、みんなが注意して取り扱うと宣言しているマイナンバーよりもパーソナルな情報です。有名人だけでなく、一般人ですらTwitterの発言一つで社会的地位を失う可能性すらあります。あなたがいま、手元に持っている機械が、実は重要なものであることは常に認識すべきことでしょう。 えっ、そんなに簡単

「貴組織にマルウエアに感染したホストがあるようです」とメールを受け取ったら？：セキュリティ事故対応の鉄則 日本ネットワークセキュリティ協会（JNSA）が2015年6月25日に行った「緊急時事ワークショップ〜他人事ではない、サイバー攻撃を受けた組織の選択肢」と題するパネルディスカッションでは、水際でマルウエア感染を防ぐことだけに専念するのではなく、事後の対応にも目を配る必要があるという前提で、必要な取り組みが議論された。 「JPCERT/CCです。貴組織の管理しているネットワーク内のホストがマルウエアに感染し、不審な通信が行われているようです」——もしこんなメールを受け取ったとき、あなたの組織や会社ではどう対応するか、ルールや体制を決めているだろうか？ 2015年6月、日本年金機構が標的型攻撃を受け、「Emdivi」と呼ばれるマルウエアに感染して大量の個人情報が流出したことが発覚した。後述す

米Googleは、Googleドライブに第三者と共有しているファイルについて、ダウンロード、印刷、コピーを禁止する新機能を追加したことを現地時間の7月14日に発表した。 本機能を利用するには、ファイルの共有を行う際に表示される画面にて、「詳細設定」を開き、「コメント権を持つユーザーと閲覧権を持つユーザーのダウンロード、印刷、コピーの機能を無効にします」をクリックしてチェックを付けるだけ。

日本年金機構の情報漏えい事件は、個人情報のずさんな管理や危機意識の低さなど、さまざまな問題を浮き彫りにしましたが、筆者が注目したのは“内規に違反してパスワードを設定していなかった”ということ。内規違反よりも“パスワードを設定すればよいという運用が問題でしょ”ってことに突っ込まないと。 連載目次 Officeのパスワード保護で安心していいの？ 2015年5月に発生した日本年金機構の情報漏えい事件が公になってすぐ、その詳細がまだ明らかになっていない時点でも、＠IT読者のようにITに詳しい方なら事件の全貌について、だいたいの想像が付いたと思います。 【参考記事】日本年金機構の情報漏えい、本当に必要な再発防止策とは？（＠IT） 年金業務の基幹システムはクローズドなもののはずですし、外部からの攻撃で情報が直接抜き取られるなんてあり得ません。 漏えいしたという項目が異なる3種のデータのうち、その一部は

日本年金機構から年金情報125万件が流出した問題は、機構の職員が標的型攻撃メールの添付ファイルを開いたことでウイルスに感染したことが原因とみられており、「怪しいメールは開かないのが常識」などと批判する声もある。 ただ標的型攻撃メールは、送信元や内容を巧妙に偽装していることが多い。報道によると年金機構に届いたメールは、タイトルが「『厚生年金基金制度の見直しについて（試案）』に関する意見」となっているなど、年金業務に関連する内容を偽装していたという。 怪しいメールをどう見分け、被害を防ぐか――情報処理推進機構（IPA）は、標的型攻撃メールには「高度なだましのテクニック」が使われているとし、見分ける際の着眼点を解説するリポートを、今年1月に公開している。 内容、差出人、添付ファイル……怪しいメールの「着眼点」は リポートでは、IPAが情報提供を受けた実例などから、標的型攻撃メールを見分ける際の着

簡単に解説すると、安価な証明書はそのほとんどが「ドメイン認証」であり、通常は個人利用が多い。その次が法的な実在証明を行う証明であり、一般企業の多くがこの方式を採用している。最も厳格なものは以前にも解説したが「EV SSL」だ。「物理的実在証明」と呼ばれている。安全な場合はWebブラウザのアドレスバーが緑色に変化するので、初心者が見ても分かりやすいと評判だ。 EV SSL証明書は価格が少し高いものの、顧客の安全を考慮するなら、十分に検討に値するものだろう。定価ベースで年間に約7万～10万円ほど高いだけだ。月1万円にも満たない価格差でより大きな安心感を得られると思えるが、あまり普及していないのは残念である。証明書の処理については、確かに厳密な確認を行うものであるほど時間がかかると想定される。だが、体感ではユーザーが全く気付かない場合がほとんどだろう。 また、「証明書失効リスト」（CRL）をチェ

大きな期待を集めながら、一方でセキュリティリスクが懸念される「IoT」。IoT特有の事情により、ITの世界におけるセキュリティベストプラクティスをそのまま適用できないこともあります。 「IoT（Internet of Things）」市場への注目が高まっています。ともすればバズワード的に、何でもかんでも「IoT」と称されがちですが、これは一部では当たっています。IoTとは、「何でもかんでも」ネットワークにつなげ、人の手を介在させることなく互いに制御したり、情報を共有したりして、より利便性の高いサービスを実現していこうというコンセプトと表現できるからです。 ですから利用範囲も多岐にわたります。身近なところでは、スマートハウスや家電、車などがあるでしょうし、小売りや流通業ならばPOS端末やATM、製造業ならば流通管理や生産管理といった領域で、効率化やコスト削減、新サービスの創出を後押しするもの