Google Maps APIs からGoogle Maps Platform へ

これまでGoogleのマップサービスだったGoogle Maps APIsに代わって、2018年6月から新しく始まったサービスが「Google Maps Platform」です。これまでとは利用料金体系がガラリと変わり、7月16日より適用開始となります。
・Google Maps Platform
 

有料サービスのGoogle Maps Platform

これまでは有償版の「Google Maps APIs Premium Plan」と、無償で使えた「Google Maps APIs Standard Plan」に分かれていたのが統合されて有料のサービスとなりました。ユーザーが使った(呼び出した)回数に応じて料金が加算されていく従量制ですが、毎月使用した合計から200USドル分が無償となりこれを超えた分が課金対象となるようです。
・Google Maps Platform 料金表
 

無料で使える地図表示もある

また、すべてが有料というわけではなく、GoogleMapの機能「地図を共有または埋め込む」のようにAPIキーを使わずに表示する場合や、APIキーを使用しても「Embed API」のPlace modeやView mode、モバイルアプリ用のSDK「Mobile Native Static Maps」「Mobile Native Dynamic Maps」などを利用した地図表示は無料のようです。
 
これからGoogleMapを使ってWebページに地図を表示させるのであれば、多くの場合はGoogleMapの機能「地図を共有または埋め込む」で事足りるかと思っています。地図の移動や拡大縮小ができればほとんどの場合は十分じゃないかな。
GoogleMap共有・地図の埋め込み
 

地図を共有または埋め込むを利用して地図表示


 

Embed APIを利用して地図表示


 
「Embed API」を利用した地図表示と「地図を共有または埋め込む」で表示した地図の違いは感じられません。
このような単純に地図を表示させるだけならばこれまでと変わりなく使えるのですが、問題が起こるのは課金対象のサービスを使っていた時です。
 
メディアデザインでは「避難所はどこだ? – 仙台市の避難所案内」という、地震や津波などの災害時に避難できる仙台市指定の施設や場所を表示するウェブサービスを開設してます。
このサービスでは現在地から近い避難所を探す機能と、現在地から避難所までの経路を示す機能に「Maps JavaScript API」と「Maps Embed API」を使っています。現在のところそれほどアクセス数が多くないので毎月の使用料は200USドル分を超えてはいませんが・・・・・
 
一日あたりのGoogle Maps API呼び出し回数に制限を設定していますが、それを超えてしまうと地図が表示されなくなります。
GoogleMap制限を超えると表示されない
 
新しい料金体系は7月16日より適用開始となるので、今後どうするかそろそろ決めないといけませんね。
クレジットカードと請求先アカウントを登録すれば今のままで使うことはできますが、無料のサービスなのにそこまでするべきなのか悩みます。

請求先アカウントを追加しない場合、1 か月の使用量が 200 ドル超えたとき、Maps API が正常に機能しなくなったり、他の API リクエストでエラーが返されたりする可能性があります。
価格と請求に関する変更Q:クレジット カードまたは請求先アカウントが必要ですか?

これによると請求先アカウントを登録せずとも継続して使うことは可能のようです。
とはいえ、代替策があった方が良いのでちょっと考えています。

フィッシングメール:Appleアカウントのアカウントに

関東地方が異常に早く梅雨明けした6月末に届いたフィッシングメール。
件名は「Apple ID は一時的にロックされています。」というもので、以前からよくあるAppleサポートを装っています。
今回のフィッシングメールは今までに届いた中でも特に日本語が変。
「Appleアカウントのアカウントに異常なアカウントにログインしています」とアカウントが3つも並んで行ってさっぱり意味が通りません。

件名:Apple ID は一時的にロックされています。
親愛な xxxx@xxxxxx.jp,

Appleアカウントのアカウントに異常なアカウントにログインしています。 新しい場所や別の端末からログインしている可能性があります。下のリンクをクリックしてアカウント情報を確認してください。:

マイアカウント確認 >

私たちは24時間以内にあなたからの応答を受信しない場合は、アカウントがロックされます。 Appleチーム

 
直ちにゴミ箱行き。

マルウェア:エクセルファイルが添付されたメールたち

週明けの月曜日から届き始めたSPAMメールの中に、似たようなエクセルファイルが添付されているものが3通ありました。
 
どのメールも本文は短く、一応ビジネスメールを装っていますが社名が変だったり無かったり、担当者や住所が記入されていませんから直ぐにゴミ箱行きです。

 

1通目

タイトル:注文書よろしくお願いします。
添付:2445.注文書(2018.06.26).xls
マルウェアが隠されたエクセルファイルが添付されたメール1
 

2通目

タイトル:添付ファイルをご確認下さい。
添付:8224_6月.xls
マルウェアが隠されたエクセルファイルが添付されたメール2
 

3通目

タイトル:2018.6月分請求データ送付の件
添付:1834_6月.xls
マルウェアが隠されたエクセルファイルが添付されたメール3
 
添付されていたエクセルファイルはどれもマルウェア(悪意のあるプログラム)が仕込まれていました。いわゆるトロイの木馬型のコンピュータウィルスです。
このマルウェアを含むエクセルファイルは、Windows Defender セキュリティセンターで検出可能でした。

このようなメールに対する注意喚起は、日本サイバー犯罪対策センターのページ:犯罪被害につながるメール INDEX版にも掲載されています。

何かうまくいかなかったようです。時間を置いてもう一度お試しください

ウエブサイトを開設していると外部からの攻撃に対するセキュリティに気をつける必要があります。様々な攻撃に対処するにはいくつもの方法がありますが、その一つにWAF(ウェブアプリケーションファイアウォール)があります。
WAFは、ウェブサイトに対するクロスサイトスクリプティングやSQLインジェクションなどの攻撃パターンを検知してブロックします。多くのレンタルサーバーではこのWAFの機能を装備しており、より安全なサイト運営ができるようになっています。

 

ワードプレスとWAFの関係

ところが、このWAFの影響でワードプレスを使っているときに管理画面であるダッシュボードからの更新作業ができなくなることがあります。
カスタマイザーで更新できない
スタイルシートをちょっと変更、なんて時にカスタマイザーは便利なのですが、時間をおいても公開できません。
 
先程のWAFが、ワードプレスの更新作業を攻撃パターンと認識してブロックしているようです。
プラグインなど、他に原因があることもありますが、投稿の編集や新規追加ができるのに、カスタマイザーだけがおかしい場合はWAFが原因の可能性が大です。
 

ロリポップWAFの設定

ロリポップWAFの設定
レンタルサーバーのロリポップを例にあげると、サーバーのWAFの設定はドメインごとに切り替えができるようになっています。(ユーザー専用ページ>セキュリティ>WAF設定)
1 ドメインの一覧にWAFが有効になっているかどうか設定状態を見ることができます。
2 有効と無効を切り替える設定変更のボタンがあります。
3 攻撃として記録されたログを見ることができます。
 
ここで、問題のあるドメインのWAFを無効にして、ワードプレスが正常に動くようになるかチェックします。
[無効にする]ボタンをクリックしていったんWAFを無効にします。
すぐには設定変更が反映されないので10分ほど待ってからワードプレスで更新作業をしてみます。
何事もなく更新作業が公開されればWAFが原因ですね。WAFを無効にしたままだとせっかくのセキュリティが無駄になってしまいます。更新作業のたびに無効と有効を切り替えるのも面倒です。何かいい方法はないでしょうか?
 

WAFのログを見る

3 WAF設定の[ログ参照]をクリックしてWAFが検知してブロックした記録を見てみます。
ロリポップWAFのログ
4 ドメイン名 ワードプレスを公開しているドメインです。
5 アクセスした日時から自分自身がアクセスしたログかどうか判断します。
6 攻撃と判断されたURL
7 アクセス元のIPです、自分のアドレスか判断します。
8 検出されたシグネチャは、攻撃パターンの定義です。
本当に外部からの攻撃を受けていないのであれば、カスタマイザーで[公開]できなかった分のログが記録されているはずです。
全部自分自身のアクセスですからアクセス元IPはすべて同じはずですので、このIPからのアクセスのWAFだけを無効にすればセキュリティを損なわずにできそうです。
 

IPアドレスを使ってWAFを無効にする

IPアドレスを使ってWAFをコントロールするには.htaccessファイルの書き換えをします。
ワードプレスをインストールしたディレクトリにある.htaccessファイルの最後に以下のように追加しておきます。

<IfModule mod_siteguard.c>
  SiteGuard_User_ExcludeSig ip(xxx.xx.xxx.xxx)
  SiteGuard_User_ExcludeSig ip(ooo.ooo.oo.ooo)
</IfModule>

xxx.xxx.xxx.xxやooo.ooo.oo.oooの部分に7[アクセス元IP]で表示されている自分のIPを記入します。
自宅や職場など複数のIPからアクセスする場合はSiteGuard_User_ExcludeSig ip(ooo.ooo.oo.ooo)のように、複数のIPを追加しましょう。
※.htaccessファイルの書き換えに不具合があると、サイトが表示されないなんて事態にもなるので、バックアップを用意して書き換え前に戻せるようにしておくなど、くれぐれも慎重に行ってください。

使い心地が大きく変わったWordPress 4.9

ワードプレス最新版のWordPress 4.9がリリース。
この更新では、WordPressによるサイト作成/変更の使い心地が大きく変わりました。

WordPress 4.9リリース
 

カスタマイズしたデザインの適用を予約

前もって編集していたサイトのデザインの公開日時を予約できます。
これからだとクリスマスやお正月バージョンのデザインを作っておいて、自動的に切り替える、なんてことができるようになります。

 

テキストウィジェット内のショートコードサポート

いままではfunctions.phpにadd_filter(‘widget_text’, ‘do_shortcode’ );なんたらかんたら・・・とやってましたがもう必要ありません。

 

テーマの編集が便利に

WordPress 4.9テーマの編集注意

テーマのスタイルシートを変更しようとしたらこんな注意書きが表示されました。
テーマを直接編集せずに、子テーマで変更するかテーマのバックアップをとってから編集することを勧められます。

WordPress 4.9テーマの編集

そのままスタイルシートの変更へ進むと、付随のCSSエディター(テーマカスタマイザーにある追加のCSS)でCSSを変更できるんですよ、とお知らせ。
もちろんこれまでと同じように直接編集することができます。行番号がつくようになって編集が楽になりました。

WordPress 4.9テーマの編集チェック

さらに、構文のエラーチェックまでしてくれます。

他にも変更点がありますが、個人的に気になったのはこの3点でした。

フィッシングメール:口座振替払い

今回のフィッシングメール、件名は「口座振替払い」で、登記費用の請求を求めている内容。
怪しい添付ファイルは、Excel形式(サービス請求書.xls)。
SPAM:口座振替払い
身に覚えは無いけれどとりあえず請求書を確認・・・なんて事はせずに、即刻削除。

改正個人情報保護法が施行されました

平成29年5月30日から「改正個人情報保護法」が施行されました。
これまでとの主な違いをあげてみると、以下のようになります。
 

1 法律の適用対象が個人情報を取り扱うすべての事業者・団体に

これまでは5001人以上の個人情報を取り扱う事業者に限り適用されてきましたが、これからは中小企業や個人事業主、町内会、同窓会やPTAなど、規模の大小や営利/非営利を問わず個人情報を取り扱うすべての事業者が対象となります。
 

2 個人情報の定義を明確化

これまでは明確でなかった情報(顔・指紋・音声データー、電話番号、メールアドレス、アカウントIDなど)も個人情報と定義されました。
 
メールフォームや申込用紙、あるいは履歴書などで、イベントや物品販売等の申し込みを受け付けたデータはすべて個人情報になりますので、法令に則った取り扱いが必要になります。
サーバーやパソコンのデータベース、申し込み用紙や履歴書の管理・取り扱いルールの明確化と厳格化が求められますね。
 

3 要配慮個人情報

個人情報のうち、人種、信条、病歴(健康診断の結果)などは不当な差別・偏見が生じる可能性があるため「要配慮個人情報」として、本人の同意なしに取得や第三者への提供ができません。
 

4 罰則規定

不正に利益を得る目的で個人情報を漏らす行為に対し罰則規定「個人情報データベース等不正提供罪」(6ヶ月以下の懲役または30万円以下の罰金)
が設けられました。
 

5 第三者への提供についての記録義務

情報第三者に提供する場合は、提供者、受領者ともに記録を保存する義務があります。
 

6 第三者へ提供する場合の届け出義務

いわゆるオプトアウトで一定の条件下で本人の同意を得ずに個人情報を第三者に提供する場合には、個人情報保護委員会への届け出が必要です。
 

7 匿名加工情報の利用が可能

個人を特定できないよう個人情報を加工し、かつ戻せない状態にした場合には一定のルールのもとで活用できる。
 
改正個人情報保護法の詳細や、説明については、以下のリンクが参考になります。
個人情報保護委員会 (個人情報取扱事業者に対する監督機関)
“平成29年5月30日から 小規模事業者や自治会・同窓会も対象に。 これだけは知っておきたい「個人情報保護」のルール”(政府広報オンライン)

フィッシングメール:保安検査に請求書払い、駐禁報告書が立て続けにやってきた

ここ数日で立て続けにやって来たフィッシングメール。


 
件名は「保安検査」「請求書払い」「駐禁報告書」で、どれも怪しい添付ファイルがついています。
全国的に出回っているようで、警視庁の犯罪抑止対策本部のツイートでも注意が喚起されていますね。


 
他の件名でのフィッシングメールもあるようですので、添付ファイルは開かないというのが基本的な対策ですね。
添付ファイルを開くのは、送信してきた相手の確認ができている場合だけにしましょう。こちらから添付ファイルを送る際には、ファイルを添付したメールとは別のメールで送付することを連絡するなどして、確認できるようにする必要があるかもしれません。

ランサムウェア:WannaCry対策

ランサムウェアの脅威がメディアを賑わしています。

日立、JR東も感染したランサムウェア「WannaCry」とは? 侵入経路から感染対策まで
https://www.businessinsider.jp/post-33635
 BUSINESS INSIDER JAPANの記事

 
コンピュータウイルスの一種であるランサムウェアは「身代金要求型ウイルス」と言われています。
話題となっているWannaCryが感染するとパソコンのファイルを暗号化して利用できなくした後、元に戻すための身代金を要求されます。仕事やプライベートで使っている大切な文書や画像を人質に金銭を要求してくるのです。
 
WannaCryには、Windowsの脆弱性が利用されて既に感染しているサーバーやパソコンから侵入して感染する(ワーム)機能があるので、ユーザーが特別な操作をしなくても、ネットワークに接続しているだけで感染してしまうところが特徴的。もちろんメールの添付ファイルからの感染も起こるので警戒はフィッシングメールへの対策などと同様に、【差出人が不明なメールは開封しない、URLをクリックしない、添付ファイルを開かない】といった事も必要になります。
 
何よりも重要なのは、Windows の脆弱性はWindows Updateを実施することで対応できるので、最新のシステムにしておくことですね。

フィッシングメール:三菱東京UFJ銀行(MUFGカードWEBサービス)を名乗るスパム

銀行系のスパムメール。
三菱東京UFJ銀行のMUFGカードWEBサービスを名乗り、フィッシングサイトへ誘導した後、IDとパスワードを入力させて盗み出そうとするもの。

件名:重要:必ずお読みください

MUFGカードWEBサービスご登録確認
いつも MUFGカードWEBサービスをご利用いただき、ありがとうございます。
この度、MUFGカードWEBサービスに対し、第三者によるアクセスを確認いたしました。
万全を期すため、本日、お客様のご登録IDを以下のとおり暫定的に変更させていただきました。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。
http://www.cr-mufg.online/selected/id
上記MUFGカードWEBサービスIDは弊社にて自動採番しているものですので、
弊社は、インターネット上の不正行為の防止・抑制の観点からサイトとしての信頼性・正当性を高めるため、
大変お手数ではございますが、下記URLからログインいただき、
任意のIDへの再変更をお願いいたします。
なお、新たなID?パスワードは、セキュリティの観点より「10桁以上」のご登録を強くおすすめいたします。
http://www.cr-mufg.online/selected/id
*ID変更の際はこれまでご利用いただいておりましたIDのご利用はお控えいただきますようお願い申しあげます。
*他のサイトでも同じIDをご利用の場合には、念のため異なるIDへの変更をおすすめいたします。
———————————————————————–
本件に関するお問い合わせにつきましては、MUFGカード係まで
お電話いただきますようお願い申しあげます。

お問い合わせ・ご照会
<三菱東京UFJ銀行 BizSTATION>
0120-541-034
受付時間 9:00〜19:00(土日・祝日・銀行休業日を除きます)
———————————————————————–
*誠に勝手ながら本メールは発信専用アドレスより配信しております。
本メールに ご返信いただきましても、お答えすることができませんのでご了承ください。

長々と書かれていますが、最後の方にある「三菱東京UFJ銀行 BizSTATION」というのは法人向けのインターネットバンキングサービスです。法人の担当者でもない個人のメールアドレスに来ること自体がおかしい、怪しい。しかし法人の担当者のアドレスに届いてしまったら「つい、うっかり」があるかもしれません。ご用心。