パスワードマネージャーとは、すべてのパスワードを生成し、安全な場所に保存することができるプログラムのことです / A password manager is a program that allows you to generate and store all your passwords in a safe location.（転載）～トレンドマイクロのパスワードマネージャーは使ってはいけない～

A password manager is a program that allows you to generate and store all your passwords in a safe location. 

cybernews.com/best-password-…

多くの人は、アカウントを登録することも、パスワードを作ることも嫌います。そのため、アカウント作成時に何度もパスワードを使いまわしてしまうのかもしれません。登録という問題は解決されますが、セキュリティ上のギャップが残り、それがある日突然爆発する可能性があります。

その解決策のひとつがパスワードマネージャーです。これを使えば、複雑なパスワードを作成して保存することができます。ここでは、パスワードマネージャーがどのように機能するのか、また、ウェブ上での安全性を高めるためにどのように利用できるのかをご紹介します。

尚、パスワードマネージャーの不具合でパスワードを消失するリスクもあります。

ツールの活用は重要ですが、ツールだけに頼るのは注意しましょう。

パスワードマネージャーとは何ですか？

パスワードマネージャーとは、すべてのパスワードを生成し、安全な場所に保存することができるプログラムです。ほとんどのパスワードマネージャーでは、クレジットカード情報や安全なメモなども保存することができます。さらに安全性と利便性を高めるために、パスワードマネージャーはマスターパスワードの代わりにバイオメトリックデータ（指紋や顔）の使用をサポートしています。また、選択した情報をメールやインスタントメッセージにコピーペーストすることなく、家族や友人と共有することもできます。

そのため、各サイトで使用するすべてのログイン情報を記憶するのではなく、パスワードマネージャーを使用する場合は、1つのマスターパスワードを記憶するだけで済みます。また、自動保存や自動入力機能のおかげで、すべてのアカウントに簡単に接続できるようになります。

パスワードマネージャーはどのようにしてパスワードを保護するのですか？

パスワードマネージャーを分類する方法は複数あります。しかし、今回は3つの技術を紹介し、それらがどのように機能するかを説明したいと思います。また、プロバイダによっては、データを保存するために複数の方法を提供していることも指摘しておかなければならない。ほとんどのプロバイダは、あなたの金庫を保護するマスターパスワードを使用する必要があります。

ここでは、3種類のパスワードマネージャーを紹介します。

• ローカルにインストールされた、またはオフラインのパスワードマネージャー
• ウェブベース（オンライン）のパスワード管理サービス
• ステートレスまたはトークンベースのパスワードマネージャ

それでは、それぞれについて詳しく見ていきましょう。

ローカルにインストールされた、またはオフラインのパスワードマネージャー

その名の通り、ローカルにインストールされたパスワードマネージャーは、オフラインパスワードマネージャーとも呼ばれ、あなたのデータをあなたのデバイスに保存します。パソコンでもスマートフォンでも、お好みに応じてご利用いただけます。パスワードは、パスワードマネージャー本体とは別に、暗号化されたファイルに保存されています。パスワードマネージャーの中には、それぞれのパスワードを別々のファイルに保存できるものもあり、全体のセキュリティを大幅に向上させることができます。

いつものように、オフラインの金庫にアクセスするには、マスターパスワードが必要です。強力なパスワードであれば、政府やハッカーがあなたのローカルデータベースに侵入する可能性は最小限に抑えられます。というのも、軍用の暗号を解読するには膨大な時間がかかるからです。さらに、すべてのパスワードが入ったデバイスをオフラインにしておけば、押収しない限りアクセスすることはできません。

オフラインのパスワードマネージャには、当然ながらいくつかの欠点があります。まず、複数のデバイスで使用するのは難しいでしょう。保管場所は1つしかなく、他のデバイスは保管場所のあるデバイスと何らかの方法で同期する必要があります。これは通常、ローカルにインストールされたパスワードマネージャーのあるデバイスをオンラインにすることを意味し、第三者がアクセスできるようになります。最後に、オフラインのパスワードマネージャーがインストールされたデバイスが故障し、バックアップがない場合、面倒な手作業を覚悟しなければなりません。

オフラインまたはローカルにインストールされたパスワードマネージャーがあれば、パスワードはローカルに保存されていることになります。正確に言うと、それはあなたが金庫として選んだデバイスです。ただし、複数のデバイス間でパスワードを同期させることができるので、すべてのデバイスがオンラインになっている必要があります。さらにセキュリティを強化したい場合は、パスワードを異なるファイルに保存し、それぞれに固有のキーを必要とすることができます。

【メリット】

• 誰かにパスワードの保管場所を破られるリスクを排除できる
• 通常、無料のサービスです

【デメリット】

• 1台のデバイスでしかVault(金庫≒マスターデータ)にアクセスできない
• デバイスを紛失した場合、Vaultも紛失。

ウェブベースまたはオンラインのパスワード管理サービス

最も普及しているウェブベースのパスワードマネジャーは、パスワードをクラウド（通常はプロバイダーのサーバー）に保存します。このように設定することで、オンラインパスワードマネージャーのソフトウェアをインストールしなくても、いつでもどこからでもパスワードにアクセスできるようになります。ウェブアプリケーションでアクセスできない場合は、ブラウザの拡張機能やモバイルアプリケーションが必要となります。

しかし、自分のパスワードがプロバイダからアクセスできないことをどうやって知ることができるでしょうか。評判の良いオンラインパスワードマネージャーは、すべてゼロトラストテクノロジーを使用しています。つまり、データをサーバーに送信する前に、あなたのデバイス上でデータを暗号化するということだ。これは、お客様のデータは、お客様のデバイス上で暗号化され、サーバーに送信されますが、お客様のデータは、24時間365日、第三者がアクセスできる状態にあります。さらに、あなたのデバイスにキーロガー・マルウェアがあり、二要素認証を使用していなければ、セキュリティ対策は何の意味もありません。

最後に、ウェブベースのパスワードマネージャーにはお金がかかると思ってください。素晴らしい無料版もありますが、デバイスの制限やダークウェブのスキャンなど一部の機能は常に有料です。とはいえ、ほとんどの有料オンライン・パスワード・マネージャーは、特に長期的に利用するのであれば、銀行を破綻させることはないでしょう。

あなたはオンライン（またはウェブベース）のパスワードマネージャーを使っているかもしれません。この場合、あなたのパスワードはオンラインで保存されます。マスターパスワードさえあれば、24時間いつでもどこからでも利用できます。パスワードマネージャークライアントをインストールする必要はありません。ほとんどの場合、ブラウザの拡張機能で十分です。ほとんどの場合、ブラウザの拡張機能で十分です。時々、プロバイダのウェブサイトで利用可能なウェブアプリケーションを介してボールトにアクセスできます。

【メリット】

• すべてのデバイスでVaultを同期できる
• 通常は有料のサービスとなります

【デメリット】

• 認証にはインターネットへの接続が必要です。
• 認証情報が未知の場所に保存されている

ステートレスまたはトークンベースのパスワードマネージャー

最後にご紹介するのは、トークンベースまたはステートレスのパスワードマネージャーです。このシナリオでは、フラッシュUSBデバイスなどのローカルハードウェアに、特定のアカウントのロックを解除するためのキーが格納されている。ログインするたびにパスワードが生成されるため、パスワードの保管場所もありません。安全性を高めるために、トークンだけでなく、マスターパスワードも使用することをお勧めします。こうすることで、二要素認証を実現することができます。

ステートレス型のパスワードマネージャーは、そもそもデータベースが存在しないため、デバイス間の同期が不要です。ある意味では、ハッカーがすべてのパスワードを見つけられる場所がないので、そのほうが安全です。ただし、トークンベースのパスワードは、マスターパスワードと1つのアカウントを知っていれば、ハッキングすることができます。

オンラインのパスワードマネージャーとは異なり、これらは通常、無料でオープンソースである。そのため、フォーラムやナレッジベースでのサポートしか受けられないため、アマチュアユーザーには特にお勧めできない。その上、トークンを生成するためには、スマートカードリーダーやUSBスティックが必要になります。

トークンベースのパスワードマネージャー（ステートレス・パスワードマネージャーとも呼ばれる）を使っている人は、パスワードがどこにも保存されていないことになります。どうしてそうなるのでしょうか？その名のとおり、パスワードの保管場所はなく、特定のアカウントにアクセスするたびにトークンが生成されるだけだからだ。トークンは、USBメモリなどの外部デバイスで生成することができます。

【メリット】

• 認証情報は別のデバイスに保存されます

【デメリット】

• デバイスを紛失すると、アクセス権も失われる
• この方法では、通常、専用のハードウェアとソフトウェアが必要

パスワードマネージャーはどのようにパスワードを暗号化するのですか？

256ビットのAES暗号は、データの暗号化と復号化を行い、許可された人だけがアクセスできるようにするために使用される軍用レベルの暗号です。2005年にNSAや大手企業が採用したことで、仮想プライベートネットワーク、ファイアウォール、パスワードマネージャーなどの標準仕様となりました。

AESが暗号化であるのに対し、256ビットは鍵である。暗号化キーは0と1のランダムな文字列です。この場合、2の256乗通りの組み合わせがあるということになります。組み合わせが多ければ多いほど、ブルートフォースで正しいものを作るのが難しくなります。

AES 256ビットは、いわゆる共通鍵暗号化アルゴリズムです。鍵はデータの暗号化と復号化の両方に使用されるため、双方がそれを知っている必要があります。一方、公開鍵暗号では、暗号化に公開鍵を使用し、復号化に秘密鍵を使用します。そのため、秘密鍵はデバイスから離れる必要がなく、セキュリティが向上します。

すべてのパスワードマネージャが AES-256 暗号化を使用するわけではありません。安全性の低い（ブルートフォースが極めて困難な）AES128ビット規格を採用しているものもあります。このようなパスワードマネージャーは、無料のオープンソースのパスワードマネージャーであることが多く、アップデートの頻度は低いです。

しかし、AES 256ビットよりも優れた暗号化は、すでに XChaCha2 という名前で登場しています。今のところ、プレミアムパスワードマネージャーの中で、NordPassだけがこの次世代暗号を実装しています。NordPassには鍵の抽出にArgon2が搭載されており、XChaCha2はパスワード保管庫を暗号化します。

パスワードマネージャーを使う理由は？

1. パスワード生成。パスワードを考えるために、自分の好きなものについて15分も考え込む必要はありません。いくつかのパスワードマネージャでは、複雑さを変えた安全なパスワードを生成することができます。時間の節約になるだけでなく、よりよいパスワードを考え出すことができます。
   
   
2. プロセスの簡略化。パスワードマネージャは、パスワードを保存する最も安全な方法のひとつであるだけではありません。信頼できるパスワードマネージャーツールを使えば、1つのアプリケーションですべてのログインを管理することができます。多数のウェブサイトやプラットフォームを利用している人の救世主となる。
   
   
3. イチイチ入力不要。ほとんどのパスワードマネージャーには、パスワードやその他の定期的な情報を自動入力する機能が組み込まれています。それは、支払い情報や住所などにも及びます。パスワードをいちいち覚えておく手間が省けます。
   
   
4. 安全なパスワードの共有。多くの人が友人や家族とアカウントを共有しています。Netflixでは、すべてのユーザーが同じパスワードでログインできるようになっています。しかし、パスワードを共有するための最良の方法は、それをチャットに貼り付けることではありません。これではトラブルの元になってしまいます。そこでパスワードマネージャーは、ユーザーが他のユーザーと安全にパスワードを共有できるようにしました。
   
   
5. 複数プラットフォームに対応。アプリケーションとして、パスワードマネージャーは全く複雑ではなく、多くのリソースを必要としません。つまり、Webブラウザやスマートフォンのアプリなど、さまざまなプラットフォーム向けに開発することがはるかに容易なのです。エンドユーザーにとっては、どのような接続方法であっても、同じパスワード保管庫を利用することができるということです。
   
   
6. 多要素認証。ハッカーがキーロガーをインストールしてマスターパスワードを入手したとしても、二要素認証を有効にしていれば、世界の終わりを意味するものではありません。二要素認証がなければパスワードは使えませんから、あなたは安全ですし、金庫もロックされたままになります。

パスワードマネージャーの設定

その答えは、どのようなタイプのパスワードマネージャーを使おうとしているかによって異なります。トークンベースであれば、まず鍵の生成に使用するデバイスの種類を決める必要があります。また、オフラインのパスワードマネージャーに決めている場合は、データベースを保存する主なデバイスを選択する必要があります。また、オンラインサービスを利用する場合は、無料か有料かを選択することで、時間を大幅に短縮することができます。

7ステップのパスワードマネージャー設定

Webベースのパスワードマネージャーは最もユーザーフレンドリーなので、ここではそれを例に説明します。以下は、パスワードマネージャーを設定する際の主な手順です。

1. パスワードマネージャーをどのデバイスで使うかを決めます。スマートフォンにしますか？その場合、他の誰かがあなたのアクセスコードを知っていますか？タブレットやスマートテレビなど、家庭内の共有デバイスはどうしますか？職場のコンピューターでもパスワードマネージャーを使用しますか？これらは、金庫をセットアップする前に、自分自身に問いかけるべき最も重要な質問です。
   
   
2. 選んだパスワードマネージャーをインストールする。無料のものも有料のものもたくさんありますが、最高のパスワードマネージャーだけを使うことをお勧めします。無料版にどんな機能があるか（ある場合）、追加された特典が価格に見合うものかどうかを確認する必要があります。その上で、お使いのOSやブラウザに対応しているかどうかを確認してください。また、現在使っている金庫をインポートしようと思っているなら、まずそれが可能かどうかを確認しましょう。最後に、24時間365日のカスタマーサポートを受けるために多少の費用を払うことは、しばしば利益につながります。
   
   
3. 安全なマスターパスワードを作成する。選択したパスワードマネージャーがマスターパスワードの復元を可能にしている場合でも、覚えやすく、かつ推測しにくいパスワードを選択する必要があります。最後の条件を満たすためには、ランダムに選ばれた4〜5個の単語を含むパスフレーズを使用するのがよいでしょう。最後に、奇妙に聞こえるかもしれませんが、あなたが最も信頼している人とマスターパスワードを共有し、あなたに何かあったときに、その人があなたの金庫にアクセスできるようにしましょう。
   
   
4. 2要素認証（2FA）を有効にする。2FAを追加すると、パスワードのセキュリティが大幅に向上します。2つ目の要素は、「あなたが持っているもの」（おそらくスマートフォン）でもよいのですが、「あなた自身が持っているもの」を選び、生体認証を利用することをお勧めします。デバイスによっては、指紋だけでなく、顔認証も利用できます。さらに、マスターパスワードの代わりに2FAを使えば、タッチスクリーン端末での使い勝手が格段に向上します。
   
   
5. パスワードの入力を開始する。新しいパスワードマネージャーに慣れる前に、また、マスターパスワードがまだうまく覚えられないうちに、まずは重要度の低いパスワードを入力してみてはいかがでしょうか。マスターパスワードの復旧に使用するメールには、強力なパスワードを設定しておくとよいでしょう。そうしないと、ハッカーはメールボックスに侵入した後、簡単にあなたのデータベースを手に入れることができます。
   
   
6. 他のデータの追加も検討しましょう。パスワードマネージャの大半は、ログイン情報だけでなく、クレジットカードの詳細や安全なメモなども保存できるようになっています。オンラインショッピングが多い人は、支払い情報を自動入力できるようにしておくと、かなりの時間を節約できます。また、最も信頼できる友人にしか教えたくないような秘密を保管するのに、これほど適した場所はないでしょう。
   
   
7. ログイン情報を共有する。遅かれ早かれ、誰かがあなたのNetflixアカウントを尋ねるでしょう。ユーザー名とパスワードをコピーして貼り付けるのは最善の方法ではありません。そのため、パスワードマネージャーでは、他の人とログイン情報を共有することができます（少なくとも一部のサービスでは可能です）。一部のサービスでは、機密性が低く、共有されることの多いパスワードを保存するフォルダを作成することもできます。

パスワードマネージャーは、複数のデバイスやスマホアプリで使えますか？

すべてのパスワードマネージャーが、スマートフォンを含む複数のデバイスで動作するわけではありません。ステートレスなパスワードマネージャーは、1つのデバイスだけがアカウントのパスワードを生成できるという考え方に基づいています。さらに言えば、パスワードの保管場所を確認できるようなものでもありません。

また、ローカルにインストールされたパスワードマネージャーは、たくさんのデバイスでの使用には適していません。なぜなら、1台のパソコンやスマートフォンにデータベースを保存しているので、すべてのデバイス間での同期は可能ですが、便利ではないからです。もちろん、多要素認証を使用することになれば、互換性のある2つのデバイスが必要になるでしょう。

ウェブベースのパスワードマネージャは、複数のデバイス、モバイルアプリ、さらにはブラウザの拡張機能で動作する。また、プロバイダーのウェブサイトからアクセスできるウェブアプリケーションを提供しているところもあります。パスワードマネージャーはクラウドに保存されているため、デバイスを選ばず、最大限の使いやすさが保証されているのです。実際の利用範囲は、利用しているサービスによって異なります。

Read More

【詐欺サイト】復讐屋：トラブルキック

 

以前ダークウェブで暗殺を依頼したらどうなるかを紹介した。

先日聞いた話だが、表層Webには復讐屋なるサイトがたくさんあるらしい。

頼んだらどうなるか。

大体想像はつくと思うが、実際に申し込んだ人の顛末を聞けたので、気になる方は下記の動画をご覧あれ。

ちなみに特殊工作62万円でローンも使えるらしい。。。

Read More

明暗が分かれたTポイントとPontaポイント～オワコンのTポイントはどこに向かうのか～

 明暗が分かれたTポイントとPontaポイント　Tポイントはどこに向かうのか

Tポイントは息の長いポイントサービスであるが、ポイントの貯めにカードを差し出すのがイヤで個人的には貧者向けのポイントサービスと思っている。

以前、メインバンクとして新生銀行を使っていたが、Tポイントがたまる無駄なサービスの開始をきっかけにメインバンクを変更した。

以前はSBI証券を使っていたが、こちらもポイントサービスでたまるポイントがTポイントのみとなることを受けて、証券会社を変更した。

約3年の時を経て、2022年4月以降にYahoo!ショッピングやPayPayモールでTポイントではなくPayPayボーナスが貯まるようになる。

また、ソフトバンクもTポイントを終了し、PayPayボーナスに交換できるソフトバンクポイントに切り替える。

既にYahoo!ショッピングではPayPayを中心にキャンペーンが実施されている。

Tポイントは勢いを失っているが、逆に息を吹き返したのがPontaポイントだ。

Pontaが復活したのはKDDIとの提携があったためだろう。

なぜ、PontaがKDDIと提携したことで復活したのか。

共通ポイントに加盟する企業の目的は"相互送客"だ。他の加盟店のお客さんを送ってもらい、自社のお客さんを他の加盟店に送るのが共通ポイントの仕組みとなる。

しかし、楽天ポイントやdポイントは、加盟店にとって"相互送客"ではなく、ほぼ一方的な"集客"となる。楽天市場などでは楽天グループの利用でポイントがアップするプログラムであるSPU（スーパーポイントアッププログラム）などのキャンペーンで楽天ポイントが大盤振る舞いされており、その楽天ポイントを楽天ポイントカードなどの加盟店に送っている。楽天が2020年に発行したポイント数は4,700億円。このポイントを加盟店に送ります、と言われれば他の共通ポイントを導入していたとしても楽天ポイントカード加盟店にひっくり返る事はあるだろう。

dポイントも同様、ドコモ側がキャンペーンやdカード GOLDなどでポイントを大盤振る舞いしている。dカード GOLDは年会費11,000円（税込）のゴールドカードとなるが、会員数は800万人を突破。年会費無料のdカードよりも保有者が多い。

なぜ年会費が11,000円もするゴールドカードを保有しているのだろうか。理由は、ドコモの料金やドコモ光の料金に対して10％のdポイントを獲得できるためだ。1ヵ月10,000円程度のドコモ料金がある場合、毎月1,000ポイントを獲得できる。1年で12,000ポイント獲得できれば、年会費以上おトクになる計算だ。毎月1,000ポイントを獲得しているdカード GOLD会員が800万人いると考えると、1ヵ月で80億円分のdポイントが発行されており、これはドコモ負担のポイントとなるはずだ。以前PayPayが行っていた100億円あげちゃうキャンペーンを毎月行っているようなイメージと考えるとわかりやすい。

ここ数年でTポイントやPontaの加盟店から楽天ポイントやdポイントの加盟店に鞍替えする企業も多い。例えば大戸屋はPontaポイントから楽天ポイントに切り替え、ドトールはTポイントからdポイントに切り替え、ファミリーマートはTポイントのみの取り扱いだったが、dポイントと楽天ポイントが追加となっている。共通ポイントを鞍替えする理由は圧倒的な送客力に魅力を感じてのことだろう。

しかし、PontaがKDDIと提携したことにより、KDDIが発行する大量のポイントをPonta加盟店に送客できるようになり、一気にPontaが復活。au PAYを利用すると最大20％のPontaポイントを還元する「たぬきの大恩返し」などのキャンペーンを実施し、Pontaが攻めに転じている。

一方、ソフトバンクやヤフーもポイントの大盤振る舞いを行っているが、大盤振る舞いするポイントがTポイントではなく、PayPayボーナスとなる。PayPay加盟店への送客効果はあるが、Tポイント加盟店への送客効果は見えてこない。このような事から、Tポイントは厳しい状況になっている。

実は、ここ10年間のポイント再編の火付け役はTポイントとヤフー陣営であり、これがなければ、そもそも楽天がリアル加盟店でのポイントサービス参入やドコモがdポイントを開始したり、KDDIとPontaが提携したりする事もなかったのかもしれない。Yahoo!ポイントとTポイントの統合は、過去10年間で最もポイント業界に影響を及ぼしたニュースと言えるだろう。

発表当時はTポイントはANAと相互ポイント交換を行っており、Yahoo!ポイントはJALと相互ポイント交換を行っていた。このTポイントとYahoo!ポイントが統合するという事はANAとJALのマイルが相互に交換できるようになる。

TポイントとYahoo!ポイントの関係

さらに、TポイントとYahoo!ポイントが統合すると、Tポイントとnanacoポイントの相互交換が可能になる。当時はTポイント＝ファミリーマートであったため、ファミリーマートで貯めたTポイントをnanacoポイントに交換すればセブン-イレブンで利用可能となった。そのため、2013年3月にはYahoo!ポイントとnanacoポイントの提携が解除。同じくJALとYahoo!ポイントの提携も解除となった。宙ぶらりんになったnanacoポイントは同年4月にANAと提携。

発表から約1年後の2013年7月にYahoo!ポイントが廃止されTポイントに統合。

ここからの動きが激しい。2014年5月にauがau WALLETを開始し、au WALLETプリペイドカード（現au PAYプリペイドカード）にポイントをチャージする事でMastercard加盟店で利用できるようになった。同年7月にはソフトバンクポイントがTポイントに切り替えとなる。同じ月にリクルートポイントとPontaポイントが提携を開始。

2013年7月時点でのポイント提携図

2014年10月には楽天が実店舗で利用できる楽天ポイントカード（当時はRポイントカード）を発行した。ヤフー＋Tポイント＋ソフトバンク連合 vs リクルート＋Ponta連合＋楽天と言う構図だ。auとソフトバンクに出遅れたドコモも2015年12月にdポイントを開始。現在の4大共通ポイントの誕生だ。

dポイントの参加で4大共通ポイントの誕生

2016年2月にはJR東日本のポイントプログラムを統合するJRE POINTを開始し、同年4月には阪急阪神グループがSポイントを開始。6月にはイオングループがWAON POINTを開始し、現金でもイオングループでポイントを貯められるようになった。2016年はグループ内共通ポイント元年と言えるだろう。

2017年7月にはJR九州のインターネット列車予約サービス、クレジットカードのJQ CARD、IC乗車券SUGOCAのポイントが統合され、JRキューポとして誕生。2017年12月にSuicaポイントがJRE POINTに、2018年6月にビューカードのポイントであるビューサンクスポイントがJRE POINTに切り替わり、JR東日本の大部分のポイントはJRE POINTになった。

2019年11月にはファミリーマートがファミペイを開始し、Tポイントだけでなくdポイントと楽天ポイントにも対応。その後、au WALLETのポイントがPontaポイントに統合。2020年5月の事だ。auの大盤振る舞いが始まり、ここからPontaの快進撃が始まる。

2021年5月にはリクルートポイントがdポイントと提携。同年6月にえきねっとポイントがJRE POINTに統合し、9月にはイオンカードのときめきポイントがWAON POINTに変更。

このように、これまで様々なポイントプログラムの提携・統合などがあったが、元を辿ると2013年7月のYahoo!ポイントを廃止しTポイントの統合がきっかけとなっている事がわかるだろう。この統合がなければポイント業界は全く別の進化となっていたはずであり、2022年4月にヤフーサービスの一部でTポイントを終了、ソフトバンクがTポイントからソフトバンクポイントに変更されるのは感慨深い。

2022年4月以降のポイント提携図

現在、TポイントとしてはTマネーでの高還元キャンペーンやT NEOBANKの開始、SBI証券やネオモバ証券でのTポイント利用なども積極的に開始しているが、キャンペーンなどがどこまで続けられるかどうかだろう。やはり数十パーセントのポイント還元を行う場合、ポイント発行の原資が必要となり、○○経済圏と言った企業との提携がなければキャンペーンを続けるのは難しい。

ここからは独断と偏見で、Tポイントの今後を少し考えて見た。

常に10％程度のポイントを付与しているのが家電量販店や百貨店などとなり、提携するのも良いと思った。しかし、これらは自社で発行したポイントを再度使ってもらうための仕掛けのため、付与したポイントが共通ポイントとしてコンビニなどで使われると成り立たないモデルだ。

ネットショッピングで共通ポイントを導入していないAmazonとの組み合わせも考えてみた。Amazonはd払いとの提携があり、dポイントを使う事ができるが、共通ポイントを導入しているわけではない。

Amazonポイントの開始は2007年と意外と老舗のポイントサービスだ。しかし、共通ポイントなどのように上手に利用されているとも思えない。

Amazonではスマホ決済のAmazon Payもリアル加盟店で提供しているが、正直力の入れ具合はイマイチだ。Tポイントと提携することで、実店舗の導入は進みやすくなる。ただし、Amazonで発行したポイントを他の企業への送客するツールで考えると、この組み合わせも可能性は低い。

○○ペイでは、TOYOTA Walletが提携先としては面白いかもしれない。コード決済は銀行Pay、BANK Pay、TS CUBIC Payに対応し、非接触決済はiD／Mastercard、QUICPay／JCBに対応。オンラインはMastercard加盟店で利用できる。TS CUBIC CARDの利用明細も確認できるなど、様々なスマホ決済に対応しているのも特徴だ。

TOYOTA Walletの残高をiD／Mastercard残高、QUICPay残高にチャージして利用すると2％相当を還元するサービスも開始となり、決済分野には力を入れている。ポイントの提携はないため、提携先としては面白い。ただし、TマネーとTOYOTA WalletのiD／Mastercardが被ってしまう。ヤフーとTポイントがうまくいかなかった理由として、やはり同じようなサービスを提供している事があったためだろう。

最もすっきりするのは、PayPayがTポイントを吸収し、「PayPayポイントカード（Tカードをリニューアルした場合）」を発行する事だ。Yahoo!ショッピングやPayPayモール、PayPayで大盤振る舞いしているPayPayボーナスを、PayPayポイントカード加盟店に送客できるため、Tポイントの一人負けは避けられる。PayPayとしても共通ポイントを一から作り、加盟店開拓するよりは、Tポイントの加盟店を全て吸収した方が早い。

現在、Tポイント・ジャパンの主要株主を確認すると、カルチュア・コンビニエンス・クラブ、Zホールディングス、ソフトバンクとあるように、Zホールディングスもソフトバンクも株主として残っているため、可能性がないわけでもない。

ただし、いくつか不具合もある。スマホ決済サービスとしてTポイントと提携しているファミペイからはTポイントの機能が消えそうだ。また、Tポイントは金融サービスとも提携もあり、SBI証券でTポイントを使った投資ができたり、T NEOBANKで銀行サービスを提供していたりするが、PayPay証券やPayPay銀行との兼ね合いも出てくる。

2023年にはTポイントは20周年を迎える。筆者以上にTポイント陣営は考えているだろう。日本のポイント文化を長年牽引してきた老舗のTポイントの将来はいかに？

Read More

個人情報保護委員会から個人情報漏洩

個人情報の漏えいについて(令和４年１月18日) 個人情報保護委員会

ppc.go.jp/220118_rouei/

個人情報保護委員会が個人情報を漏えいしました。ウェブ上で公表した意見募集手続きの結果に、意見提出者12人の氏名と一部所属先が載っていた（現在は修正済み）ということです。

プレスリリース（アーカイブ）

Read More

会社の看板を背負っている以上、SNSに書いていいことと、いけないことは見極めるべきだな。

私も採用（最近は採用される側だけどw)する側で面接をするけど、この「採ってはいけない人」を見極めるの、すごく大事。これは採用する側に回るとよくわかる... https://t.co/s7frfegYex Quoted tweet from @sake_sake7: 「sansanの面接で落とされた就活生が画面の向こう側で見ているかもしれない」っていう想像力が欠如しているからこういう発言が生まれるんですよね。「採ってはいけない」要素をチェックするより、就活生の良いところを引き出す面接をするべきだと思います、、しかもツイート見る限り反省の色無し、、 twitter.com/Nissy_0189/sta… https://t.co/G9W6yp4UnE: 

Quoted tweet from @sake_sake7:

「sansanの面接で落とされた就活生が画面の向こう側で見ているかもしれない」っていう想像力が欠如しているからこういう発言が生まれるんですよね。「採ってはいけない」要素をチェックするより、就活生の良いところを引き出す面接をするべきだと思います、、しかもツイート見る限り反省の色無し、、 twitter.com/Nissy_0189/sta… https://t.co/G9W6yp4UnE

Read More

ビッシングとは？（転載）～ビッシングはVoice＋Phishingの略～

ビッシングは在宅時代の穴となるか

Phishing returns to its roots

コンピュータへのアクセスを要求するテクニカルサポート、支払いを要求する税理士、「折り返し電話します」という医療機器業者など、正当なものではないが、今では誰も電話に出ないのが不思議なくらいだ。このような電話詐欺を経験したことがない人はほとんどいないだろう。しかし、このような詐欺の名前はあまり知られていない。

ビッシングとは？

ビッシング(Vishing)とは、Voice+Phishing（SMS+PhishingはSmishing）の略で、リモートワークへの大規模な移行も手伝って、電話が詐欺の大きな武器となり、警察が定期的にその危険性を公式に発表するほどになっている。

米国連邦取引委員会の2019年のデータによると、詐欺電話のうち金銭的な損失に至ったのはわずか6％。とはいえ、起きてしまった場合の被害額はかなり大きく、中央値で960ドルとなっています。

詐欺師の餌には、すべてを知っていると思っている専門家でも、誰でも引っかかる可能性があります。詐欺師の多くは、警戒心の強いターゲットの信頼を得ることに長けています。

一方では、電話自体が古いコミュニケーション手段であるため、ヴィッシングは通常のフィッシングよりも保守的である。一方で、デジタル時代の大量のデータ流出は、音声詐欺に新たな力を与えている。詐欺師が地球上のほとんどすべての人の情報をこれほど大量に手に入れたことはかつてなかった。また、インターネット電話（VoIP）の普及は、電話番号を操作して痕跡を消すことを可能にし、サイバー犯罪者の手中に収められています。

詐欺電話の種類

詐欺師は電話で何でも話しますが、その内容は大きく分けていくつかあります。

テレマーケティング

電話勧誘販売の詐欺は、本当のことを言うにはあまりにも良すぎるオファーや、時間的に余裕のないプレッシャーに巻き込まれる傾向があります。例えば、宝くじの当選（チケットを買わなくてもボーナスポイントがもらえる）や、クレジットカードの金利引き下げなど、断るのが難しい有利なオファーがあります。これらに共通しているのは、その場で決断しなければならないことと、あなたから相手に少額の前払いをすることです。

もしあなたがその申し出について考える時間があれば、それは（たいてい）明らかに詐欺的なものです。もしあなたがお金を払えば、そのお金は詐欺師に渡ることになり、文字通り彼らの犯罪に報いることになります。また、流出した電話番号のデータベースを使って何千人もの人々に電話をかけ、詐欺を働くことの価値を高めることにもなるのです。

政府機関

最も一般的な手口の1つは、税金の未払いや過少払いを装うものです。税務署が電話をかけてきて、選択肢を提示します。滞納している税金を払わないと罰金を課す。この選択肢には期限があり、期限が過ぎると罰金額が増えていきます。

ここでも、時間を意識した演出が有効です。税務署がどのように市民とコミュニケーションをとっているのか、その期限構造はどうなっているのかを考えれば、一般市民はこのような電話が詐欺であることを理解できるでしょう。しかし、刻々と過ぎていく時間と、厳しいことで知られる政府機関を前にしては、詐欺師に有利な状況になってしまいます。

テクニカルサポート

技術サポートの電話をかける際、詐欺師は実際にその製品を使用しているユーザーにつながる可能性を高めるために、大手の有名ブランドを選びます。電話の主は、被害者のコンピュータに問題があると主張し、ログイン情報やコンピュータへのリモートアクセスを要求します。

より巧妙な手口では、例えば、コンピュータにマルウェアを感染させて、問題とされる内容や修理を依頼するための電話番号を表示するポップアップ・ウィンドウを呼び出すなどの準備が必要です。

　※ちなみにテクニカルサポート詐欺に電話するとどうなるかは↓の動画参照

銀行

詐欺の最終目的はお金ですから、当然、銀行を装って電話をかけてくる詐欺師もいます。一般的には、疑わしい口座の動きを報告すると称して、実際にはCVC/CVVコードやワンタイムパスコードなどの詳細情報をテキストメッセージから要求してきます。そのような情報を持っていれば、偽の銀行員は簡単に本物の口座を消去することができます。

詐欺電話の見分け方

詐欺師たちは常により説得力のあるフックを探し求めており、いつかは詐欺の豊かな歴史から学ぶことができるかもしれないという考えを否定することはできませんが、ほとんどの詐欺はいくつかのレッドフラッグのうち少なくとも1つを示しています。

• 銀行や政府機関からと思われる電話が携帯電話の番号からかかってきたら、それはほぼ間違いなくビッシングです。また、その電話番号が他の地域のものであれば、その確率は2倍になります。しかし、公式に見える番号であっても、正規の電話であることを保証するものではありません。最近の技術では、発信者番号を偽装することができます。
  
  
• 特に脅迫的な方法で機密情報を聞き出そうとしてきたら、それもフィッシングの兆候です。一般的に、個人情報を聞き出そうとする行為は詐欺の兆候です。実際の銀行や税務署の職員があなたについて必要とする情報は、おそらく彼らがすでに持っています。
  
  
• 期限を指定して金銭的な取引を促してきた場合は、間違いなく詐欺です。
  
  
• 問題を解決するためにコンピューターにソフトウェアをインストールするように説得されたら、それはあなたにとって悪い結果を招くでしょう。

 最後に、間接的ではあるが、ビッシングの確実な兆候として、電話をかけてきた人が混乱したり、話し損ねたり、敵意を持ったり、俗語を使ったりする場合が挙げられる。もちろん、日常的な言葉遣いを否定するものではありませんが、実際のオペレーターは一般的にプロフェッショナルな言葉遣いをするように訓練されています。

詐欺電話への対処法

上記のレッドフラグのうち少なくとも1つを見つけた場合、最善の選択肢は単に会話を終了することです。その後、電話をかけてきたと思われる会社や組織に電話して、事件を報告してください。テクニカルサポートやカスタマーサポートの番号は、その企業の公式サイトなどで別途調べてください。

また、どんなに説得力のある電話がかかってきても、自分のコンピュータにリモートアクセスプログラムをインストールすることは断固として避け、危険なアプリケーションを適時に検出して警告してくれる信頼性の高いセキュリティソリューションを使用してください。

ー2022/1/19追記ー

パソコンがウイルスに感染…“サポート詐欺容疑”国内初検挙　フィリピン人3人逮捕

パソコンがウイルスに感染したと嘘の画面を表示させ、サポート費用の名目で現金をだまし取ったとして、フィリピン人ら3人逮捕。

新井イメルダ容疑者（52）らは2019年、東京都内の当時50代の女性からパソコンのサポート費用の名目でおよそ3万円をだまし取った疑いが持たれています。

警視庁によると、新井容疑者らは、女性のパソコン画面に「ウイルスに感染した」「5分以内に連絡して下さい」などの嘘の警告を表示させて、マイクロソフトをかたって女性に偽のサポート契約を結ばせていた。

「サポート詐欺」の容疑者が逮捕されるのは全国で初めて。

Read More

ランサムウェアギャング「REvil」の主要メンバーが逮捕される / Russia Takes Down REvil Ransomware Operation, Arrests Key Members

Russia Takes Down REvil Ransomware Operation, Arrests Key Members:

ロシア連邦保安局（FSB）は、米国政府の要請により、多発するランサムウェアグループ「REvil」のメンバーを逮捕しました。この重要な進展は、2国間の地政学的緊張が高まる中でのタイミングであることから、いくつかの懐疑的な見方とともに受け止められています。

FSBは声明の中で、REvilグループの14人のメンバーを拘束し、グループに属する多くの資産を押収する結果となった作戦で、彼らに関連する25のアドレスを捜索したと述べています。これには、暗号通貨を含む各種通貨の約680万ドル相当、高級車20台、コンピューター機器、REvilグループが作戦で使用した暗号通貨ウォレットが含まれています。

ウクライナで教育省や外務省など複数の政府機関のウェブサイトがダウンした一連のサイバー攻撃のニュースが流れる中、このような展開となりました。この攻撃の背後にロシアを拠点とする工作員がいるかどうかはまだ不明ですが、多くの人が彼らを容疑者と考えているようです。

FSBは、この調査を、Revilの活動を停止させ、その犯罪基盤を無力化することにつながった、複雑で協調した取り組みであると説明しています。FSBにREvilの首謀者を特定し、外国企業を標的とした同組織のランサムウェア活動の詳細情報を提供した米国当局の要請により、捜査と制圧が開始されたと、FSBは述べています。米国当局には、この作戦の全詳細が提供されたと付け加えています。

ロシアはこれまで、組織的なランサムウェアグループの保有を否定し、米国の要請にもかかわらず、彼らに対して何の措置もとってこなかったため、少なくともロシア当局が説明するREvilのテイクダウンは重要な意味を持ちます。バイデン大統領は2021年6月の会合で、米国の重要インフラはハッカーにとって立入禁止であるとロシアに警告し、プーチン大統領にランサムウェアやその他のサイバー犯罪グループに対して行動するよう促したのです。

Sodinokibiとしても知られるREvilの攻撃活動は2020年に表面化し、他の脅威グループに対してランサムウェア・アズ・サービスモデルでマルウェアを提供していました。このランサムウェアは、主要な組織に対するいくつかの攻撃で使用されていますが、2021年5月のJBS Foodsに対する攻撃ほど、米国とオーストラリアでの食肉加工と配送に大きな混乱を引き起こした問題はありません。また、2021年6月に発生したKaseyaへの攻撃では、マネージドサービスプロバイダーの顧客数千人が所有するシステムにランサムウェアが展開され、広く懸念を抱かせる事態となりました。

2021年11月、米国司法省は、REvilグループの主要人物の特定または所在につながる情報に対して1,000万ドル、関連者の逮捕と有罪判決につながる情報に対して500万ドルの報奨金を出すと発表しました。

真意に対する懐疑的な見方

複数の安全保障専門家がFSBの行動を歓迎し、全体的に良いことだと評した。

しかし、米国とロシアがウクライナへの侵攻を準備しているとの懸念から緊張が高まっている中での行動であることを考えると、その真の動機については懐疑的な意見もある。ウクライナ情勢を緩和するための両国間の協議は、今のところどこにもつながっておらず、この地域での紛争が米露関係の大きな崩壊につながるという懸念が高まっているのである。

「REvilをダウンさせることは、米国との協議中にロシアによく役立ち、ウクライナとの紛争に干渉する可能性がある西側諸国からの好意を引き出すのに役立ちます 」とJosh Lospinosoは述べています。「この公開は、ロシアに、REvilが身代金1100万ドルを受け取ったJBSのサイバー攻撃に責任があったという、もっともらしい反証も与えています。」

REvilをダウンさせることで、ロシアは重要なインフラに対するサイバー攻撃の猛威を真剣に受け止めているというメッセージを送ることができます。しかし、ランサムウェアグループ、特にプーチン政権と直接的・間接的に連携しているグループは、過去に立ち直った経緯があるとLospinosoは言います。REvilに代わる別のグループが出現する可能性は十分にあるという。

Immersive Labs社でサイバー脅威研究のディレクターを務めるケビン・ブリーン氏は、現在の地政学的状況からは、ロシアがREvil作戦の撤収でどのようなメッセージを発しているのかを把握するのは難しいと指摘する。この作戦が、ロシア当局によるサイバーセキュリティに関する長期的な協力の意思を示すものかどうかは、時間が経ってみなければわかりません。

「ロシア領内を発生源とするサイバー攻撃を妨害し、抑止するために国際当局と継続的に協力することは、政府が長期的な変革を推進する意図があるというメッセージになるでしょう」と、ブリーンは述べています。

少なくとも表面的には、FSBによるREvilの排除は、米国当局や同盟国からの情報に対してロシアが積極的に行動する姿勢を示しています。Trustwaveが2021年11月にモニターしたアンダーグラウンド・フォーラムでのチャットでは、ロシアを拠点とする脅威者が、国内の法執行機関に追跡されることを少なくともある程度は危惧していることが示されました。セキュリティ・ベンダーによると、フォーラムのメンバーの中には、自分たちが捕まる可能性があること、それにどう備えるか、また、その後に起こりうる刑罰について議論する者さえいたそうです。REvilグループは、その活動に対する法執行機関の関心が高まったため、ここ数カ月で活動を停止しています。

Stairwell社の脅威アナリストであるSilas Cutler氏は、REvilの逮捕は、ロシアがランサムウェアや国外で活動する他の脅威グループと戦っているように見せかけるための試みかもしれないと述べています。しかし、少なくともこれまでのところ、この行動は少なくとも一部のサイバー犯罪者を怯えさせるには至っていないようだ。

「サイバー犯罪フォーラムのメンバーは、逮捕された人々はこれらのグループの主要メンバーとは考えにくく、適切な当局に保護費を払わなかった中堅レベルの関連グループだろうとジョークを飛ばしてコメントしています」とCutlerは言います。「過去数年間、いくつかのランサムウェアファミリーは、ロシア語のアーティファクトを持つシステムに影響を与えないように特別に設計されています。これは、ロシアの法律に違反しないように、彼らのオペレーションが国際的なターゲットにのみ焦点を当て続けるようにするためと思われます。

Read More

Excelがない環境下でCSVを読むのに重宝するツール【Timeline Exproler】

 Timeline Explorer

Timeline Explorerはデジタルフォレンジック検査に特化した、無料の機能豊富なExcel代替ソフトです。分析を行う際にExcel/CSV出力で生活しているすべてのアナリストのために考慮する価値のあるExcel上の生活の質の機能のほんの一握りがあります。Timeline ExplorerはGUIのみのツールなので、このガイドで扱うのはそれだけです。

このガイドのいくつかの例では、Lone Wolf 2018 シナリオに対して実行された KAPE からの出力を使用しています。2020年12月現在、KAPEの出力は、このEZ Toolsガイドのために私がまとめたGitHubリポジトリから取得することができます。GitHubリポジトリは、こちらからご覧いただけます。

このガイドはTimeline Explorerを初めて使う方を対象に作成されています。このガイドの主な目的は、Timeline Explorerのような新しいツールを試してみることの怖さを取り除くことです。Timeline Explorerを活用する、より高度な方法もありますが、このガイドでは取り上げません。

また、Excelは非常に快適なユビキタスツールであり、多くのユースケースで「一長一短」の役割を果たし、仕事をこなすことができることも理解しています。しかし、このガイドは、Timeline Explorerが提供できる利点を知ってもらうことを目的としています。最終的には個人の好みの問題ですが、このガイドはあなたが情報に基づいた決定をし、視野を広げるのに役立ちます。

ダウンロードリンク: Eric Zimmerman’s GitHub

Timeline Explorerの使い方を説明する前に、なぜTimeline Explorerを使う必要があるのかを理解する必要があります。ありがたいことに、以下のガイドはビジュアルエイドと説明でWHYとHOWの両方をカバーするようにデザインされています。Timeline ExplorerはKAPEを使用しているアナリストを完璧に補完することができます。KAPEからのCSV出力をTimeline Explorerに取り込み、簡単に分析する事ができます。

ここでは、個人的に日々の分析に役立つと感じたTimeline Explorerの機能を紹介します。

• ダークモード
• これは個人的な好みですが、私はダークモードが利用できるときはいつでも大歓迎です。Office 2019 Black（私の好み）以外にも選択肢はありますが、その選択肢があるのはありがたいことです。
  
  
• インスタント・フィルタリング
• Excelでは、フィルタのオプションを選択しても、結果が表示されません。Excelでは、選択してからOKを押さないと、結果が目の前に表示されません。Timeline Explorerでは下記のようにリアルタイムでフィルターをかけることができるので、とても便利な機能です。

また、フィルタリング中にドラッグして連続した複数の項目を選択し、スペースバーを押すと一気に選択することができますよ。これは偶然知ったのですが、ここにそのためのGIFを追加することにしました。

• 列ヘッダーのコンテキストメニュー
• 列のヘッダーを右クリックすると、以下のような多くのオプションを利用することができます。昇順・降順のソート、ベストフィット（すべての列）

• カラムチューザー
• 列が多すぎる？いくつかの列を削除したり、表示されていない列を確認したいですか？
• 列選択ツールで列をダブルクリックすると、スプレッドシート内の元の位置に戻すことができます。また、列選択ボックスから手動で列のヘッダーをスプレッドシート内の所定の位置にドラッグすることもできます。

• 複雑なフィルタリング
• 複雑なフィルタを作成するのはとても簡単で、それをクリアするのはさらに簡単です。左下で、AKMonitor.exe (キーロガー)を見つけるために、Timeline Explorer内で複数のフィルター変数を作成する様子をご覧ください。また、複雑なフィルタの1つの要素、またはフィルタ全体を一度にクリアする方法も紹介します。各ステップでのもう一つの注目点は、右下の「表示可能なライン」がフィルタを追加するたびに変化するところです。

例えば、すべての.docx, .pptx, .pdfファイルに対してフィルタリングを行いたい場合は、以下のデモを参照して、使用するケースに合わせて調整してください。以下の例では、フィルタを適用した後に値データ2でソートしているので、これらのファイルタイプが最後に開かれた時刻で効果的にソートできていることがわかります。注：ANDからORに変更した場合、下のフィルターにどのような影響があるか、またANDでは結果が出ないことに注意してください。同じ行に3つのクエリを含むエントリーはありません。

また、以下のようにフィルターを手動で調整することも可能です。

もう一つ注目すべきは、列のヘッダーからフィルタリングする場合と、「フィルタの編集」メニューからフィルタリングする場合のオプションの違いです。

フィルタリングに関して最後に強調しておきたいのは、複雑なフィルタを設定しても、下のチェックを外すことで一時的にそのフィルタを無効にできることです。これは、何か悪いものを見つけたときに、一時的にフィルターを無効にして、タイムスタンプ列でソートしたときにその前後に発生する他のものを確認するのに便利です。

• タブ表示
• KAPEを実行したエンドポイントで分析を行う場合、私は通常、関連するすべてのCSV出力ファイルを取り、そのエンドポイント用のTimeline Explorerの1つのインスタンスに放り込みます。出力はエンドポイントフォルダ内にネストされていることが多いので、左下隅にあるファイルパスを見れば、特定のエンドポイントに関連するTimeline Explorerのインスタンスを簡単に見分けることができます（例： C:\UsersAndrewDesktop\2019 Lone Wolf Scenario
• 下の例では、FileFolderAccessのKAPE出力フォルダからすべてのファイルをドラッグ＆ドロップしているのがわかります。これには、JLECmd、LECmd、SBECmdからの出力が含まれます。

• タブ管理
• バージョン1.1.0.0の新機能 - 検索バーは、以下の例のようにMFTを探している場合、MFTが入力されるとどのような結果が表示されるか、コンテナ検索のように動作します。

Read More

週刊OSINT 2021-49号 / WEEK IN OSINT #2021-49（転載）

 WEEK IN OSINT #2021-49

フィッシング、人権侵害、ソックパペットなど、OSINTニュースでいっぱいの月曜日です。

サムネ画像は目が壊れそうなバナーの塊です。

今週の概要はこんな感じです。

• OSINT on Phishing Campaigns
• Bayanat
• Ocelli Project
• Sock Puppetry
• Save TikTok Video

記事: OSINT on Phishing Campaigns

Maciej Makowskiは、悪意のあるサイトを調査する際に生じるあらゆる側面について、優れた記事を書いています。この場合、さまざまなブランドに対する大規模なフィッシング・キャンペーンが対象になっています。Maciejは、豊富なリソース、リソースに関するヒント、ピボットポイントを共有しており、この分野の調査を始めたばかりで、どこから始めればよいかのヒントが必要な人にとっては、絶対必要なものです。

ツール: Bayanat

Roger Lu Phillipsから、SJAC（Syria Justice and Accountability Centre）がBayanatという新しいオープンソースのドキュメント作成ツールをリリースしたという情報を得ました。これは、人権侵害の事件、場所、時間、人物、団体を処理し、記録されたすべてのデータを関連付けるデータ管理ソリューションです。

GitHub: https://github.com/sjacorg/bayanat

サイト: Ocelli Project

ベンジャミン・ストリックは、すでに数年前からミャンマーの不正と戦っており、ボランティアチームとともに、ミャンマーのラカイン州における大規模な建物破壊の情報を収集してきました。そして今回、C4ADSと提携し、これらの情報をすべて可視化することに成功しました。ミャンマーがこれまで疑惑を否定していることも考慮すると、これらの情報は貴重なものです。この訴訟について詳しく知りたい方は、CIJの公式ページか、こちらでご覧ください。

小技: Sock Puppetry

そしてまた、我らが「cyb探偵」によるTwitter上の巨大なスレッドがあります。今回はソックパペットに関するヒントがぎっしり詰まっています。このスレッドでは、人と交流するためのヒントも紹介されているので、場所によっては、必ずしも合法的とはいえないことに注意してください。このスレッドも、まだ読んでいないなら、ぜひ読んでみてください。

小技: Save TikTok Video

ここ数年、TikTokのTipsやToolをいくつか紹介してきました。今年の初めには、動画を手動で保存する方法も紹介しました。しかし、ちょっとしたGreaseMonkeyやTamperMonkeyのスクリプトを使うと、もっと簡単にできることをご存知ですか？単にストアでスクリプトのいずれかをインストールし、保存したいTikTokのビデオを訪問し、右クリックし、それをまっすぐに保存します。

Read More

警視庁 区営住宅の申し込み者情報記録 フロッピーディスク紛失（転載）～再発防止よりもフロッピーディスクをいまだに使っている点を問題視してほしい（笑）～

フロッピー？！！？！？！？ https://t.co/stdrXZTzk9 Quoted tweet from @nhk_news: 警視庁 区営住宅の申し込み者情報記録 フロッピーディスク紛失 #nhk_news www3.nhk.or.jp/news/html/2021…: 

Quoted tweet from @nhk_news:

警視庁 区営住宅の申し込み者情報記録 フロッピーディスク紛失 #nhk_news www3.nhk.or.jp/news/html/2021…

暴力団を排除する目的で警視庁が区役所から預かった、区営住宅の申し込み者38人分の情報が記録されたフロッピーディスクがなくなっていたことが分かりました。個人情報の流出などは今のところ確認されていないということです。

なくなっていたのは、東京 目黒区の区営住宅の申し込み者38人分の氏名や性別、生年月日が記録されたフロッピーディスク2枚です。

警視庁は目黒区と暴力団の排除に関する協定を結んでいて、その一環として区営住宅の申し込み者の情報が記録されたフロッピーディスクを一定期間預かり、暴力団関係者が含まれていないかどうか確認しているということです。

警視庁によりますと、今回なくなったディスクは2019年12月と2021年2月に預かったもので、いずれも鍵のかかる収納庫に保管されていました。

しかし2021年12月、区から返却を求められた際に収納庫を確認したところ、保管されているはずの場所にディスクがなかったということです。

調査したものの、紛失した原因は分からないとしています。

個人情報の流出などは今のところ確認されていないということで、警視庁は「情報が記載されていた方々に対して心からおわび申し上げます。個人情報の取り扱いについては今後も指導を徹底し、再発防止に努めたい」とコメントしています。

Read More

JALグローバルクラブ会員向けオリジナルカレンダーが卓上版のみに（転載）

JALグローバルクラブ会員向けJALオリジナルダイアリーが終了、JALオリジナルカレンダーのサービスが変更:

2022年以降、JALグローバルクラブ会員向けのJALオリジナルダイアリーとJALオリジナルカレンダーのサービスが変更となる。

JGC本会員に届けていたJALオリジナルダイアリーは2022年版をもってサービスを終了する。

また、2023年版カレンダーは「JAL FLEETカレンダー（卓上版）」のみとなる。カレンダーが不要の場合は「カレンダー不要」を選択する事で郵送されない。ただし、カレンダー不要を選択してもe JALポイントの積算はない。

JALオリジナルダイアリーとJALオリジナルカレンダーの変更について

Read More

ソニー生命社員が盗んだ1億5400万ドル相当のビットコインを米国が返還 / US returns $154 Million in bitcoins stolen by Sony employee（転載）

US returns $154 Million in bitcoins stolen by Sony employee:

米国は、SONYの子会社であるソニー生命が、BEC（Business Email Compromise）攻撃により、従業員が盗んだとされる1億5400万ドル以上を押収・返還する法的措置を講じました。

「政府の訴状によると、ソニー生命保の社員である石井伶は、ソニー生命が同社の金融口座間で資金移動を行おうとした際に1億5400万ドルを流用したとされています」と司法省は発表しました。

"石井は取引指示書を偽造することでこれを行い、石井が管理するカリフォルニア州ラ・ホーヤの銀行の口座に資金を振り込ませたとされています。"

盗まれた資金をビットコインに変換

裁判資料によると、石井はソニー生命の取引で、自分の管理下にあるシルバーゲート銀行の口座を使うように振込先を変更したとのことです。

石井はその後、盗んだ資金をビットコインに変換するために、ビットコインアドレスbc1q7rhc02dvhml8smywr9mayhdph85jlpf6paquに転送するように設定しました。

また、石井は暗号通貨に変換した後、上司やソニー生命の幹部数名に英語と日本語でタイプされた身代金請求書をメールで送り、捜査に協力しないよう説得を試みました。

「和解に応じるなら、資金を返還する。もし、刑事告訴をするのであれば、資金の回収は不可能になる」と書かれていた。

"我々はこのすべての背後に沈むかもしれないが、1つ確かなことは、あなたが我々のすぐ隣にいることだ。警察を含む第三者とのコミュニケーションを止めることを強くお勧めします。"

FBIの捜査に伴い暗号通貨を押収

しかし、2021年12月1日、日本の警察当局と連携した捜査の結果、FBIは秘密鍵を入手した上で石井のウォレットにある3879.16242937BTCを押収し、すべてのビットコインをFBIのビットコインウォレットに転送することが可能になりました。

「ソニーとシティバンクは、盗難が発覚するとすぐに警察当局に連絡・協力し、FBIは両者と連携して資金の所在を突き止めました」と、FBI特別捜査官のスザンヌ・ターナー氏は説明します。

「第二に、FBIのリーガル・アタッシェ・オフィスを通じた国際的なフットプリントと、海外（今回は日本）で築いた既存の関係により、法執行機関は連携して対象者を特定することができました」 と述べています。

警視庁は、不正送金を行い、1億5400万円を入手した疑いで、32歳の石井を逮捕、刑事告発しました。

「この事件は、FBI捜査官と日本の警察当局が連携して、この仮想通貨の追跡を行った素晴らしい例です。犯罪者は、法執行機関から不正に得た利益を隠すために暗号通貨に頼ることはできないことに留意してください」と、米国連邦検事代理のランディ・グロスマンは述べています。

Read More

2021年11月16日～30日 サイバー攻撃のタイムライン / 16-30 November 2021 Cyber Attacks Timeline（転載）

16-30 November 2021 Cyber Attacks Timeline:

2021年11月の2回目のサイバー攻撃タイムラインが公開されました。今月後半は96件のイベントを収集し、1日平均は6,9件/日から6.4件/日とやや減少しています。ランサムウェアが引き続き脅威の中心となっており、直接的または間接的に特徴付けられるイベントの割合は、前回のタイムラインと同様です（22%）。

脆弱性の影響も前回のタイムラインと同様であり（10.4%対12%）、今回も脅威者はProxyShellとZohoのManageEngine ADSelfService Plusの脆弱性を悪用し続けています。

メガブリーチの季節が続き、複数の組織が数百万規模の侵害に遭いました。良いニュースは、少なくともこのタイムラインでは、フィンテック・プラットフォームのメガハックを記録していないことです（ただし、次のタイムラインではこれが変わる予感があります）。

11月は、サイバー諜報活動を目的とした脅威が非常に活発で、このタイムラインのイベントの22%を記録しました。このタイムラインは非常に混雑しているため、このタイムラインを閲覧して、この期間を特徴付けた旧知の人物や新参者を発見することをお勧めします。

日本関連は1件でした。

パナソニックは、正体不明の脅威者が同社の内部ネットワークにアクセスし、大規模なセキュリティ侵害が発生したことを明らかにしました。

Read More

イシバシ楽器WebサーバにSQLインジェクション攻撃、約10万件の会員メールアドレスが流出（転載）～想定損害賠償額は1億円程度か～

イシバシ楽器WebサーバにSQLインジェクション攻撃、約10万件の会員メールアドレスが流出:

株式会社石橋楽器店は2022年1月11日、同社運営のWebサーバへの外部からの不正アクセスによるメールアドレス情報の一部漏えいの可能性について発表した。

これは2021年12月20日に、同社が運営するWebサーバのプログラムの一部の脆弱性を突いたSQLインジェクション攻撃によって、対象のテーブルへのアクセスが判明したというもの。

流出した可能性があるのは、2006年9月5日から2020年11月27日までにIMC会員へ登録した会員のメールアドレス98,635件。なお、メールアドレスへの限定的な攻撃だった為、氏名や住所、生年月日、クレジットカード情報の情報の漏えいはない。

同社では対象の顧客に対し、個別にメールを送付し、個人情報保護委員会と警察署へ報告を行っている。

同社では不正アクセス判明後に、攻撃のあった同社プログラムを停止し、再度の攻撃を受けないよう対応を実施している。

同社では安全管理措置を確実に実施することを確認済みで、特に技術的措置については外部専門機関による脆弱性診断を実行し、サーバシステム、Webサイトのセキュリティを強化し再発防止に努めるとのこと。

プレスリリース（アーカイブ）

Read More

2021年11月1日～15日 サイバー攻撃のタイムライン / 1-15 November 2021 Cyber Attacks Timeline（転載）

1-15 November 2021 Cyber Attacks Timeline:

この時期の共通した傾向は、脆弱性の影響です。このタイムラインでは、いくつかのランサムウェア攻撃を含むイベントの12％を脆弱性が特徴づけています。Android向けの新しい0-day（CVE-2021-1048）、ProxyShellを悪用してBabukランサムウェアを展開するTortilla脅威アクター、ZohoのManageEngine ADSelfService Plus CVE-2021-4053（SolarWinds Serv-U CVE-2021-35211 も引き続き悪用しています）を利用した複数の広範囲な操作などがあります。

Robinhoodでは約700万人の顧客情報が漏洩し、また別の分散型金融（DeFi）プラットフォームでは、北朝鮮の脅威者と思われる人物に5500万ドル相当の暗号資産を盗まれる被害に遭っています。

DEV-0322 と呼ばれる脅威が ManageEngine の脆弱性を悪用するために大忙しで、Lazarus Group は、Lyceum や Kimsuky などの有名な脅威とともに、タイムラインを欠かすことはありません。このタイムラインを特徴付けるもう1つの重要なサイバースパイキャンペーンは、韓国のAndroidユーザーを標的としたPhoneSpyスパイウェアです。

日本関連のインシデントはありませんでした。

Read More

マルウエア脅威レポート / Stealer Malware Intelligence Report - Japan（転載）

Stealer Malware Intelligence Report - Japan

日本では6,801ユーザーがStealer（Redline、Raccoon、Vidarなど）に感染しています。

.jpドメインにアクセスするための認証情報58,198件が流出し、ダークウェブやディープウェブに分散しています。

流出元となる主なjpドメイン一覧

Read More

サイバー攻撃者に防弾サービスを提供するプロバイダ "Shinjiru” / “Offshore” Shinjiru Provides Bulletproof Services to Cyberattackers（転載）～「Shinjiru」を「信じる」！？～

“Offshore” Shinjiru Provides Bulletproof Services to Cyberattackers:

防弾ホスティング（BPH）は、インターネットを利用した犯罪行為に対応するためのサービス提供の集合体である。脅威のインフラに頻繁に登場する「Shinjiru」もその一例です。このマレーシアのホスティング会社は、顧客とそのウェブコンテンツおよびサーバーをテイクダウン要求から保護し、疑わしい活動や不正な活動のためのセーフハーバーとして機能しています。

シンジルのIPスペースは、マルウェアの配布、詐欺、フィッシング、ビジネスメールの漏洩など、様々な悪質行為に利用されてきた経緯があります。このICANN公認レジストラは、APNICから2万を超えるIPアドレスを割り当てられ、マレーシアに自社のデータセンターを保持しています。

私たちは、Shinjiruによって促進された悪意のある活動のいくつかの例を調査し、ホスティング会社が所有するインフラストラクチャを強調しました。また、Shinjiruと他の防弾ホスターとのつながりも検証しています。

Shinjiru:「オフショア」ホスティングプロバイダー

Shinjiru Technology Sdn Bhdはマレーシアのホスティング会社で、自治体番号AS45839で運用される21504のIPアドレスと、他のホスティングプロバイダーから借りている追加のIPレンジを割り当てられています。防弾プロバイダは、しばしばグレーゾーンで活動し、不正利用の苦情やテイクダウン要求がある中で、ホストしている違法な活動を妨害されないようにしながら、合法的に見せかけようとするものです。

Shinjiruは、顧客の匿名性を維持し、顧客とそのウェブコンテンツおよびサーバーをオフラインから保護することに焦点を当てた「オフショア」ホスティングプロバイダーであると自称しています。同社のウェブサイトには、「DMCAやテイクダウン要求を無視する...オフショア管轄として、Shinjiruは世界中のあらゆるタイプの匿名ホスティングを提供することができる」と書かれています。

Shinjiruの場合、"オフショア "とは "防弾 "を意味します。このウェブサイトは、潜在的な顧客に対して、彼らが効果的な法執行や規制措置の手の届かないところにいるというシグナルとして、この言葉を強調している。ビットコインホスティングのページだけでも14回も登場している。

Shinjiruのドメイン登録ページでは、どのトップレベルドメイン（TLD）がICANNの下になく、米国の法律の適用を受けないかを紹介しています。.comを除くすべてのTLDが、"DMCAシャットダウンなし "と "検閲なし "を約束しています。

また、マレーシア、ブルガリア、オランダ、香港、リトアニア、ルクセンブルグ、ロシア、シンガポールの8つの「オフショア」でもホスティングサービスを提供することが可能です。

この防弾プロバイダーのサポートポータルは、もしそうせざるを得なくなった場合、顧客の活動を中断させる前に警告するようあらゆる努力をすることを再確認し、SpamHausのリスト回避に関するガイダンスさえ提供しています。

Shinjiruは、悪意のある活動のためにホスティングサービスを提供した過去があります。例えば、OceanLotus（APT32）は、Shinjiruのウェブサイトを利用して悪意のあるドメインを登録しました。2018年、CiscoのAndrea Kaiserは、マルウェアのコマンド＆コントロール（C2）ドメインをサービスするネームサーバーを特定し、悪意のあるボットネットにFast Flux DNSを提供するブログを公開しました。

2020年、アラバマ大学バーミンガム校のコンピュータ・フォレンジック研究部長であるゲイリー・ワーナーは、自身のブログで、違法なオピオイドやフェンタニルを販売するウェブサイトの調査について記事を書きました。彼とUABの法医学プログラムの責任者であるElizabeth Gardner博士は、Verdina Ltd.という会社に所属するShinjiruを通じて登録され、ホストされている薬物販売サイトの一群を発見したのです。

Verdina Ltd.はベリーズで登記されているが、ブルガリアにもあるようだ。VerdinaはそのIPブロックのいくつかをShinjiruにレンタルしている。Verdinaの他のブロックのほとんどは、theOnionHostやRackSrvr LTDのような他の疑わしいホスティング事業体にレンタルされています。

Warner氏は、同ネットブロックにおける追加の悪質な活動として、Shinjiru IPアドレスでホストされる複数のサブドメインとネームサーバーのクラスターを指すフィッシングや税金の還付詐欺などを取り上げました。また、Warner博士は、これらのネームサーバーは、ビジネスメール詐欺（BEC）を行う詐欺師グループによって使用されているとしています。

Shinjiruのライブサポートサイト「247livesupport.biz」での最近の投稿から、Shinjiruがこれらのドメインと関連するネームサーバーに加え、他のいくつかのドメインとネームサーバーを直接運営していることが確認されており、RiskIQ TIPで確認することができます。これらのネームサーバーは、何千ものドメインに接続しており、その多くが明らかに悪意のある目的であることがわかります。

今回の調査で判明した「Shinjiru」に関連する脅威のインフラは、RiskIQのThreat Intelligence Portalのこちらでご覧いただけます。

Read More

週刊OSINT 2021-48号 / WEEK IN OSINT #2021-48（転載）

WEEK IN OSINT #2021-48

ストリートビューとシェード、ドメイン、ジョブ、マップなど、今回も素敵に満たされたニュースレターです。

今号も盛りだくさんのトピックで、ニュースレターをお届けします。これから登場するサイトやヒントを探索するのが楽しくて、もっと時間があれば全部遊びたいくらいです。トップの画像は侵入されてメッセージを残されちゃった無防備で残念なウェブカメラの映像です。

• Street View Applications
• Shademap
• OSINT Jobs
• Domains
• World of Wigle
• IPVM Camera Calculator
• Maps, Maps and More Maps!

メディア: Street View Applications

Benjamin Strickは先週、ストリートビューアプリケーションが捜査にどのように利用できるかを紹介する新しいビデオをアップロードしました。Googleのストリートビューだけでなく、Googleが存在感を示さない地域で役に立つかもしれない代替手段も紹介しています。

サイト: Shademap

Twitterユーザーの@truted2が、特定の場所、特定の日時に影が落ちる様子を見ることができるインタラクティブマップを作成しました。Shademapは全てブラウザ上で動作し、Mapboxの3Dデータセットをソースとして使用しています。この素晴らしいツールを作ってくれて、ありがとうございます

サイト: OSINT Jobs

かなり待たされましたが、ようやく本番です。Loránd Bodóは、OSINT Jobsというサイトが正式にオープンしたことを伝えました。このサイトでは、インテリジェンスの分野におけるさまざまな仕事と、今後予定されているポッドキャスト、そしてより多くの記事を紹介する予定です。

小技: Domains

White Hat Inspectorは先週、DMNSというサイトで、15種類のTLDの中から類似したドメインを簡単に見つけることができるという、素晴らしいヒントを紹介してくれました。ドメイン名を入力するだけで、どのサイトが似ているか、あるいは全く関係ないかを素早く確認することができます。また、スクリーンショットや技術的な情報も掲載されています。このサイトを紹介してくれてありがとうございます。

記事: World of Wigle

公開前に@Ginger__Tさんの記事を読ませていただきました。私はWigleのファンであるだけでなく、Gingerが共有する詳細な情報が大好きです。SSID、MACアドレスの検索方法に関する基本的なステップに加え、一部の人が認識していなかったBluetoothデータセットにも触れています。もしあなたがWiFiデータセットの世界に初めて足を踏み入れるなら、この記事を読んでみてください。

サイト: IPVM Camera Calculator

IPVMはビデオ監視のための独立したプラットフォームで、そのウェブサイトではさまざまな情報を提供しています。そしてBen Heublは、そのサイトで「カメラ計算機」という素晴らしいツールを見つけました。これは、カメラとその角度、解像度をプロットできるツールで、状況をプロットすることができます。また、カメラに関する大規模なデータベースがあり、事前に設定された情報を使って、撮影可能な画像の品質について良いアイデアを得ることができます。

リンク: Maps, Maps and More Maps!

Twitterユーザーの@ohshint_さんが先週、素晴らしい地図のリストをシェアしてくれました。もし、あなたが何かに必要な地図があるのなら、この果てしないリソースのリストを見てみてください。私が2017年のフォレンジッククイズのステージの1つを作るのに使ったサイトもありますよ。素晴らしいリストです！これをキュレーションしてくれてありがとう。

Read More