2019/12/10

Webサーバの情報収集サイト【netcraft】


自分のWebサイトってセキュリティ的に大丈夫だろうかって思うことないでしょうか?

幾つかのオンラインサービスを使うと、指定したWebサイトの情報収集を行ってくれるサイトがあります。

その一つが

netcraft

サイト内にある”What's that site running?”という欄にURLを打ち込むと、簡易のチェックをしてくれる。

試しに自分のサイトを調べさせたら、いろいろな情報を拾ってきてくれた。。。


言語情報、IPアドレス、国情報、DNS情報、TLS関連情報、CMS、RSS、エンコード方式、etc...

これらの情報って、基本的に公開されていると思ったほうが良いです。

その前提で、まずいものが見つかったら、早めに手を打つようにしましょう。

2019/12/07

ザルな設定のWebカメラを晒すサイト【insecam】


最近テレビを見ていないので知らないのだが、一時期スマホで外出先から操作できるエアコンみたいなものがあったと思う。

これを聞いたとき、皆さんどう思うだろうか?

売り文句だけを聞けば、寒い日に家に帰る1時間前にスマホから遠隔操作で電源を入れて部屋を暖めておくとか、消し忘れてしまったときにスマホから遠隔操作で電源を切るとかできるので、非常に便利なように聞こえる。

駄菓子菓子

遠隔操作できるということは、他人からも操作されるリスクがあることを認識しておかなければならない。

今、街中で監視カメラが溢れかえっていますが、監視カメラは出荷時に共通のパスワードが設定されていて、それをそのまま使うと当然ながら第3者もアクセス可能となってしまいます。

今回はそんなザルな設定のWebカメラをまとめたサイトであるinsecamを紹介する。


国ごとや地域ごと(おそらくWebカメラに割り当てられているIPアドレスのロケーション所法からとってきていると思われる)に分類されている。

日本は1500台近くが登録されている模様

アメリカについて世界2位になっている。。

ふと気が付いたが中国が無い。

グレート・ファイアウォールの影響だろうか。

これをみると、家電にネット機能はいらないなと思う。


2019/12/05

クラウドサービスのステータス(障害疑い)が分かるサイト【Downdetector】


クラウドサービス使えなくなったものの、サービスサイトにアクセスしてみると何も情報が上がっていない。

その時、「自分だけの問題なのだろうか?」「ほかの人は使えているのだろうか?」とか悶々としないだろうか?

そんなクラウドサービスのモニタリングや、悶々とした人たちが書き込むサイトがある。

それが、

Downdetector

Gmail、Office365、LINE等、いろいろなものに対応している。

というか、それぞれのサービス毎にスレッドが経っていて、そこに書き込むイメージかな?

例えば、Gmailのステータスを開くと下記のような画面が出てくる。


恐らく縦線はタレコミの数と思われる。

サービス事業者からのリリースが無くても、みんなが使えない状態になるとここにタレこまれ、その件数が伸びて個人の問題ではなくサービス障害が疑わしい状態になると判断することができる。

ちなみに実際に障害が起きるとこんな感じになる。


クラウドサービスが使えなくなって一人で悶々としてきたらこういったコミュニティを使うのは有効だと思う。

ただ、ガセ(個人の環境の問題)が含まれている可能性もあるので、過信は禁物。

2019/12/04

日経平均を現物の売りで仕掛ける方法


日経平均を現物売りで仕掛けるには信用取引でETFを空売りするか、CFDで売りを仕掛けるしかないと思っていた。

CFDの場合、取引所取引ではなく、証券会社での取引となるため、いざというときの透明性が課題になる旨の話を聞いたことがあり、まだ手を出していない。

今日、「日経インバース」と「日経レバレッジ」という、聞きなれないキーワードを耳にし、調べてみたところ、「日経レバレッジ」は普通に現物のETFを購入することで信用取引の空売りと同じ効果を得られることが分かった。


画像はマネックス証券のサイトから拝借

そういえば、ブルベアって言葉は聞いたことがあったけど、特に意識していなかった。

しかし、ブルベアってどっちも強そうな気がするのだが、もう少しわかりやすい表現は無かったのだろうか。ヒマラヤとマリアナとか、山脈と海溝とか・・・。

2019/12/03

【悲報】楽天でソーシャルエンジニアリングによる情報詐取


楽天でソーシャルエンジニアリングによる従業員情報の詐取があったらしい。

イマドキ!?と思うかもしれないが、数年前はビジネスメール詐欺でJALが多額の損失を被っている。

ちなみに楽天は電話によるソーシャルエンジニアリングだったらしい。

今回面白い(と言うと若干失礼だが)点が2つある。

1.世に露呈した発端が西日本新聞の「あなたの特命取材班」への情報提供であった点

2.英語による電話だったことと、楽天の公用語が英語だったことから変に盛り上がってしまっている点。

1点目はマスコミって個人的にはオワコンと思っていたが、価値があることを再認識したという点では面白かった。

インターネットが普及して、情報のリークなんて誰でも簡単に出来るが、情報が溢れすぎていて貴重な情報が埋もれてしまうという課題がある。

その点、(正確性については意見が分かれるが)マスコミのほうがまだまだ情報発信力があるのだなと感じた。

2点目は、楽天は英語が公用語であることを知っている人たちが「楽天は英語が公用語なのになに詐欺に引っかかちゃってんの~」的な感じで盛り上がっている点である。

ま、正直日本語であれば引っかかる可能性が低いのは何となく同感である。

しかし、下記の経緯を読んでみると、なかなか巧妙で、そんなに気軽に楽天を馬鹿にする気にはなれない。

最終的に誰かが社外(西日本新聞)に漏洩してしまった点は残念で仕方ないが、
応対した従業員が別部門に相談した点はむしろ評価すべきのような気がする。

-経緯ここから-
楽天のグループ会社の代表電話番号に役員を名乗る人物から英語で電話があり「出張先でパソコンの調子が悪く社内ネットワークに接続できないため、指定する従業員のメールアドレスを教えてほしい」と連絡が入ったという。

役員を名乗る人物は、社内システムから従業員の個人情報を抽出する方法を指示。

説明内容が具体的だったため、電話を受けた従業員は役員本人だと思い込んでしまったとしている。

抽出した情報はファイルにまとめ、偽役員が指定した社外のメールアドレスに送信。

同じような連絡が複数回あった。

応対した従業員が別部門に相談したことで、虚偽の指示と判明したという。
-経緯ここまで-

再発防止策としては、英語だからと言ってひるまずに、

1.関係者を名乗る人物から連絡が来たら一旦電話を切って折り返す。

2.社外のメールアドレスには従業員情報を送信しない

を徹底するしかないと思う。

とはいえ、役員対応は誤ると後で面倒なことになるので、杓子定規な対応をするわけにもいかないんだよな。

2.は事前に三木谷さんあたりから役員に周知徹底してもらうくらいしかないんじゃないかな。この辺はオーナー企業であればすんなりできるかも。

むしろ集団指導体制と言うか、ガバナンスがイマイチの企業だと大変かもしれない。

【関連記事】
楽天、英語電話にダマされ偽役員にデータ漏えい「公用語なのに」
楽天、偽役員にデータ漏えい 従業員の氏名や役職…英語電話にだまされ

2019/12/01

お金のEXPO2019



マネーフォワードが主催するお金のEXPOに参加してきた。

このイベント、何気に毎年参加しています。

会費安いし、昼食(軽食)付だし、結構気づきが得られる。

今年の内容をサラッと振り返りたいと思う


まずは、走る哲学者の為末 大氏と、ボストンコンサルティンググループの御立氏との基調講演。

モチベーションもお金も使い切るのではなく、循環させて増やしていくことが大切という話でした。

どちらかというと、モチベーションの部分が個人的には参考になったかな。

仕事でいうと、インプットとアウトプットのバランスとかにも絡んでくるかも。

あと、収入と幸せの関係は世帯年収800万を超えると比例関係が無くなるらしく、幸せの定義を別途決めていったほうがいいらしい。

あと人口爆発に関連して、GDPが3000ドル未満は赤ちゃんの死亡率が高くて人口がなかなか増えないが、超えると公衆衛生が充実して赤ちゃんが死ななくなり、人口が増えていくらしい。

一方、GDPが7000ドルを超えるとカップルが生む赤ちゃんの数は1人以下になるらしい。
(なぜかは忘れてしまった。)


次が「ドラゴン桜」編集者の佐渡島氏と北野唯我氏とのスペシャルコンテンツ『人生100年時代の生き方、働き方』

ポイントは下記の2つだった。

■3つ何か熱中できるものがあると人生はポジティブになる

■資本主義のラットレースからの脱却方法
 ・投資家の階級になる(小次郎講師が提唱している方法)
 ・生産する娯楽になる(例:ホリエモン

次が、株式会社CAMPFIRE 代表取締役CEOの【家入 一真氏】、BASE株式会社 代表取締役CEOの【鶴岡 裕太氏】、日経ビジネス 副編集長の【原 隆氏】による、プレミアム会員限定コンテンツ『キャッシュレスが切り開くお金の未来』


当初はLINE PayのCOOとYahooのCOOが登場する予定だったのだが、前日にLINEとYahooの統合ニュースが流れて、急遽登壇不能に・・・

ポイントは下記

■現物は高級嗜好品化する
 -デジタルブックは100円だが、紙の本は300円とか。

■現金は無くならない
 -匿名性の観点で価値がある
  (ここにいたことを記録に残したくない場合には現金で支払うとか)

■キャッシュレスが進むと、お金はコミュニケーションツールになる
 (ポルカとかが近いかもしれない)

最後に小泉進次郎氏が登壇し『日本らしい日本』というテーマで基調講演があった。


環境大臣になってからいいところが無いイメージであるが、話を聞いていると面白かった。

やはり、マスコミは面白おかしく書き立てて結果的に情報操作されている感がぬぐえず、マスコミは信用できないと思った。

金も人もいない環境省で、無駄な〇〇月間モノの廃止への取り組みとか、なかなか普段は見聞きすることのできない話を聞くことができて面白かった。

あとは、個別セミナーで元SKE48の矢方 美紀さんが自身の闘病経験を語りつつ、がん保険の通院保障の重要性を語ってくれて、自分のがん保険の見直しを検討し始めたり、

試供品で配られたベースブレッドに感動して会員登録してしまったり、

幾つか気づきと出会いがあった。

あと、くじ運のない自分が抽選会で当選したのもうれしかった。

ベネズエラのハイパーインフレと分散投資の重要性


世界で最も貧弱な通貨であるベネズエラボリバルが最安値更新中。

ハイパーインフレがやばいらしい。

インフレ率2,680,000%とのこと。

う~ん。桁が多すぎてわからん。

端的に言うと、昨年まで100円で買えたものが今年は268万円になったということである。

逆の見方をすれば268万円のカネが1ヶ月で100円の価値しかなくなったということである。

ベネズエラボリバルの価値を調べたら大変なことになっていた。

右側の直近1年のグラフに注目。

1年前は1ボリバル0.75円くらいあったのに、今は1ボリバル0.0031円しかない。

実にこの1年で価値が200分の1になってしまったのである。

ベネズエラは原油埋蔵量が世界一の国であるが、逆に言うと石油産業しかない。

これまでは欧米資本が入って石油を掘っていたが、ベネズエラは大のアメリカ嫌いということもあり、欧米を利権から排除し、石油施設を国有化してしまった。

しばらくは自国で石油精製ができたのだが、精製施設のメンテナンスをほとんどしなかったため、現在は自力で石油の生産や販売ができなくなったらしい。

そんなわけで、石油は世界一あるのに、それを掘り出す技術が無いという、なんとも情けないことになっている。

悪い話は続くもので、ベネズエラは社会主義政策をとり、国内の富裕層から富を巻き上げ、海外から安い食料を輸入し、貧しい人に配布した。

これだけ聞くといい話の様に聞こえるが、海外から安い食料を輸入して配布したため、ベネズエラの農業が破綻してしまった。

とどめは輸入食糧高騰&石油価格下落。

国民は貧困を極め、物を得るには略奪しか手段がなくなった。

結果、ベネズエラの殺人発生件数は10万人あたり81.4件で、日本の300倍の数になっている。

いろいろな意味で終わってる・・・。

ハイパーインフレは昔ドイツで起きたことを学校で学んだ。

トランクいっぱいにマルク札をいれてもパン1つしか買えないとか、歴史の世界の話だと思っていたが、現実に起きている。

これを踏まえて自分ができることは何か。

資産の通貨分散である。

資産形成を日本円だけで構成するのは危険であることを改めて認識した。




2019/11/27

【悲報】エーゲ航空 特典航空券改悪


本日、エーゲ航空の特典航空券必要マイル数改悪のニュースが舞い込んできた。

従来は21,000マイルで日本~東南アジア間の片道のビジネスクラス航空券が発券できた。

今回予告なしの改悪となり、必要マイル数が21,000マイル⇒32,500マイルにアップした。

エーゲ航空は昨年あたりからバイマイルを進めており、来年あたりから使う方のサイクルも始める予定だっただけに、非常に残念である。

昨年のこの時期に50%オフのバイマイルキャンペーンをやっており、今年も開催されたら全力買いを敢行するところであった。
不幸中の幸いは、全力買いの前に改悪の事実をキャッチアップできたことだろうか。

ちょっとマイル戦略の見直しをしなければならないな。

ワンワールド系であればJGCでサファイアの資格を持っているため、ラウンジと優先搭乗の恩恵は受けることができる。

そのため、短~中距離であれば、ビジネスにこだわる必要はないかもしれない。

そうなると、今後はAA、AS、BAあたりをバランスよく使っていくことになると考えている。

マイルは債券ですからね。

貯めるのもスキルがいりますが、使う事(債権回収)もスキルがいります。

2019/11/26

衝撃的なラストフライト LY1747


Flightradar24(フライトレーダー24)という、飛行中の民間航空機の現在位置をリアルタイム表示するウェブサイトがある。

飛行機好きであれば知っているサービスであると思う。

その知っている人がこの絵を見ると、尋常ではないことが分かると思う。

これは、イスラエルの航空会社エル・アル航空のボーイング747-400型機のラストフライト(2019年11月3日)で、飛行ルートを使ったパフォーマンスだったらしい。

ちなみに便名はLY1747。

便名まで747にこだわっている・・・。

B747の特徴である4発機の姿がみごとに映し出されています。

こんなラストフライトもあるのですね。

ちなみに動画もあります。

Epic! Drawing a 747 on LAST EL AL 747 Flight

結構過密なエリアでお絵かきしていますが、飛行高度をずらしたため、他の航空機に影響を与えなかったようです。



【関連記事】
衝撃のラストフライト!幸せすぎるB747の退役飛行が感動!

2019/11/20

SBI証券撤退(残念なポイントプログラム)


私の資産運用はマネックス証券に始まり、10年近くマネックス証券を使っていた。

遅ればせながら昨年から株式投資を始め、マネックス証券のトレードステーションをつかっていたが、トレードステーションの障害が多すぎる(1ヶ月~四半期ごとに障害が起きる感じ)ため、SBI証券を使っていた。

SBI証券はIPOポイントがあり、いずれIPOに当選することを夢見つつ、JALマイルにも移行可能なポイントプログラムもあることから、気に入っていた。

駄菓子菓子!

何とも残念なことにSBI証券のポイントプログラムがTポイントに集約されてしまった。

Tポイントは自分にとって何の価値もないポイントプログラムである。

こんな無駄なポイントばらまくくらいであれば、手数料を下げてもらいたい!

というわけで、SBI証券を撤退することにした。

移行先は手数料が安いGMOクリック証券。

無駄なポイントばらまく証券会社使うくらいであれば、手数料が安い証券会社を使うべきである。



ポイントプログラムは顧客囲い込みを行う一方、ポイントが要望にマッチしないと顧客流出を招く。

2019/11/19

マリオットのポイント購入30%割引セール(2019年11月15日~12月22日)


SPGスターポイント改め、マリオットのバイポイントキャンペーン。

30%オフのセールです。

ちなみに、個人的にはホテルマイルには興味ありません。

んじゃ、何故にマリオットのポイントセールを気にするのか。

実は数少ないJALマイルの購入手段でもあるからである。

基本はマリオット:JAL=3:1となる

駄菓子菓子(だがしかし!)

マリオット60,000ポイントを交換するとボーナスポイントが発生し、JAL25,000マイルに生まれ変わる。

一般的なバイマイルのレートとしてはあまりよくないのだが、JALマイル調達の観点で考えると数少ない購入の機会なのである。

いかんせんレートはやはり良くないので、サブ的な位置づけ(年間30,000ポイント程度の購入)で使っています。

今回も1万ポイント購入かな。

topcashback経由だとキャッシュバックが受けられるらしいので、後で試してみよう。

偽装ZIPファイル


JALが「ZIPAIR」なる中距離LCCの準備を進めている。



「ZIP」と聞くと、IT業界人的にはローコストキャリアらしく、詰め込めるだけ詰め込むイメージしか湧いてこない。

個人的には卍のロゴでNINJA AIRとか作ったら面白いと思うんだけどな。

CAさんもくノ一の格好にさせて。

世界中の話題をさらえると思うんだけどな。

話がそれたが、今日はエアラインネタではなくてセキュリティの話。

ファイル圧縮する際に様々な圧縮ツールが出回っているが、圧縮ツールによって、JPG(おとり)が解凍されたり、実行ファイル(マルウェア)が解凍されるという奇妙な記事を見つけた。

んで、なぜこんなことが起きるのかというと、ZIPファイルの仕様エラー(!?)を狙ったものと思われる。

通常ZIPファイルの終わりには、アーカイブの終了を示すEOCD(End Of Center Code)が1つある。

記事で紹介されているファイルにはこのEOCDが2つあり、本来1つしかないものが2つあるZIPファイルに対して、圧縮ツールがそれぞれ異なる挙動を起こすようなのである。

標的型攻撃の観点からいくと、そもそも実行ファイルが解凍されたところで、それを実行しないと感染しないので、あまり効率が高くなるわけではない。

一方でインシデント対応を行う立場からすると、不審ファイルの分析を行う際、ユーザー側での解凍結果と、調査担当者側での解凍結果が異なり、誤った判断を起こしかねない。

何とも困った話である。

ホワイトハッカー集団!?「Open Bug Bounty」

今日、とあるシステム担当から不正アクセスっぽいのが来たので確認してほしいと依頼を受けた。

ログを確認したところ、「OPENBUGBOUNTY」のキーワードがあり、調べてみたらキーワードに一致する団体が見つかった。

最終的にこの団体からのアクセスか否かは判断できなかったのだが、今日はこれをネタにしたいと思う。

国内ではマイナーな存在なのか、ネット記事も少なく、wikipedia先生に聞いても日本語版は無かった。

Open Bug Bountyは、非営利のBug Bountyプラットフォームとのこと。

ホワイトハッカーは、このプラットフォーム上で、自分が発見したクロスサイトスクリプティングやその他の脆弱性を報告することができる。

報告されたサイトは、「Open Bug Bounty」のサイトに「On Hold(保留中)」として掲載される。

この保留には90日間の猶予期間があり、それ以上長く放置をしておくと、バグの詳細が公開されることになる。

その前に、脆弱性を見つけたホワイトハッカーに連絡をとれば、個人的にバグの詳細を教えてもらえるという。

脆弱性を晒されるのは辛いな。

ホワイトハッカーは善意の人の前提で考えると、

ホワイトハッカーは脆弱性を見つけるとまずサイト運営者に連絡をするはずである。

サイト運営者がホワイトハッカーを怪しんで無視するようなことをすると、「Open Bug Bounty」はサイト運営者を怠慢と認定し、バグの詳細を晒すという感じなのだろう。

特に大企業はホワイトハッカーをないがしろにするような感じがあるので、気を付けたい。

2019/11/18

セゾンプラチナ・アメリカン・エキスプレス・カード


ダイナース撤退に伴い、いくつかカードを検討してみたのだが、このカードに入会することにした。

ちなみに検討したカードは下記2カード

■スターウッド プリファード ゲスト アメリカン・エキスプレス・カード

マイラー界隈では超有名なカード。

マイル還元率は最大1.25%

完全に価値観の問題になるのだが、個人的には継続ボーナスのホテル無料宿泊特典には興味が無い。

というか、継続ボーナスを得るために選択肢が狭められる感じがイヤ。

そのため、どうしても3万円超の年会費が高額に感じる。

あと空港ラウンジが使えない点もマイナス。

残念ながら価値<価格のカードという判定に。。。

■JAL JCBプラチナカード

マイル還元率は1%

プライオリティパスが付帯するのだが、こちらはSPGアメックスカード並みに年会費が高額。

ゴールドカード以上のメリット(マイルの有効期限が伸びたり、マイル還元率が上がったり・・・)があれば考えるのだが、最後の一押しが無い。

こちらも残念ながら価値<価格のカードという判定に。。。

双方の欠点を補う感じなのが「セゾンプラチナ・アメリカン・エキスプレス・カード」だった。

年会費は2万円(年間決済額が200万を超えると半額)

マイル還元率は最大1.125%で、SPGアメックスには負けるが、JALカードよりもいい。

プライオリティパス付帯。

個人的には価値と価格が一致したカードだと思った。

そういえば、最近セゾンカードでカードで株式の積み立てができるようになったらしい。

2019/11/15

サイトのバージョンチェックが行えるChrome拡張機能「Wappalyzer」


セキュリティ関連の仕事をしていると、たまにとあるWebサイトのバージョン情報が知りたくなる時が出てくる。

基本はChromeを使っているので、デベロッパーツールで調べてもよいのだが、簡単に確認できるChrome拡張機能を見つけた。

その名も、

Wappalyzer

Wappalyzerは、Webサイトで使用されている技術を明らかにするブラウザ拡張機能です。

コンテンツ管理システム、eコマースプラットフォーム、Webサーバー、JavaScriptフレームワーク、分析ツールなどを検出します。

検出するアプリケーションの一覧は以下のページを参照。

https://www.wappalyzer.com/applications

デフォルトでは、研究目的で匿名データが収集されることに注意。

設定でオプトアウトすることが可能。

詳しくは以下のプライバシーポリシーページを参照。

https://www.wappalyzer.com/privacy

Chromeウェブストアからダウンロードして使用すると↓の感じで確認できる。


2019/11/10

セゾンカード 永久不滅ポイント⇒JALマイル レートアップキャンペーン(2019/11/1~2019/12/31)


セゾンカードで永久不滅ポイント⇒JALマイルへの移行で、レートアップキャンペーン実施中です。

永久不滅ポイント200ポイントを1口に、通常は500マイルのところ、もれなく1口ごとにボーナスマイル100マイルをプレゼント。

キャンペーンエントリーが必要です。

ボーナスマイルは、2020年3月下旬頃の積算を予定する。

ダイナースカード撤退に伴うカード見直しで、セゾンカード( セゾンプラチナ・ビジネス・アメリカン・エキスプレス・カード)を検討中。

基本1.25%でマイルが獲得できるが、今回みたいなレートアップキャンペーンがあるとJALカードよりお得なのではと感じ始めている。

唯一のネックはカチッとはまるキャンペーンが行われていない事。

背中を押すキャンペーン希望中!!

ループイフダンに6つの新通貨ペア追加


FX投資のメインで使用しているループイフダンで新通貨ペアが追加されることとなった。

リリースは2019年11月11日(月)から。

■■ロングポジションでスワップ金利がもらえる新通貨ペア(2019/11/11時点)■■

・米ドル/カナダドル(USD/CAD) ※値幅20・40・80・100

・豪ドル/スイスフラン(AUD/CHF) ※値幅20・40・80・100

・米ドル/スイスフラン(USD/CHF) ※値幅10・15・25・50・100

■■ショートポジションでスワップ金利がもらえる新通貨ペア(2019/11/11時点)■■

・ユーロ/英ポンド(EUR/GBP) ※値幅20・40・80・100

・ユーロ/豪ドル(EUR/AUD)  ※値幅20・40・80・100

・英ポンド/米ドル(GBP/USD) ※値幅20・50・100・150

USD/CHF、AUD/CHF、EUR/AUD、EUR/GBP辺りをまずは始動させてみるか・・・。

イベリア航空 Avios 50%増量キャンペーン(11/5~11/17)


イベリア航空の公式サイトで50%増量セールが始まりました。

以前はスペイン版グルーポンで購入していたのですが、制度改悪があったりして、個人的にはイベリア航空の公式サイトでの50%増量セールがAvios購入に関しては最も有力なのではと思っている。

JAL国内線(650マイル以内)の特典航空券発券に必要なAviosは片道4500Aviosから6000Aviosに改悪されたため、お得度はかなり減ったものの、キャンセル手数料がかからなかったり、お得になるケースが多少残っている

とはいえ、Avios一択ということは無くなり、個人的には、例えば羽田~伊丹間のJALの特便割引が13,000円以上の場合はAviosを検討するとか、そんな使い方。

プライスリストは下記の通り(コチラより拝借)


ちなみに、イベリア航空で購入したAviosを使うには、ブリティッシュエアウェイズの口座に移す必要がありますが、これはイベリア航空の口座を作って3か月が経過していないとできないため、ご注意ください。

2019/10/31

【ダイナース撤退】「ダイナースグローバルマイレージ」サービス改定のご案内

本日、残念なお知らせを発見してしまった。

「ダイナースグローバルマイレージ」のマイル移行レートおよび年間移行マイル数の上限が2020年2月1日から変わるらしい。

その詳細は下図参照


年間移行上限はいいとして、移行レートが1:1から2:1に改悪されている・・・。

さすがにANAは大量の解約発生を恐れて対象外にしているようだ。

駄菓子菓子

自分はダイナースのポイントはデルタスカイペソに移行するつもりでいたので、被害甚大である。

少数派だと思うが、自分はANAのマイルは貯めていないのである。

JAL修行で解脱してJGC会員になってからは、ANAとは袂を分かちあったのである。

んじゃ、何故デルタスカイペソなのかだが、、、

昔々、持っているだけでデルタのゴールドメダリオンになれる魔法のクレジットカードがあり、その延長線上でスカイペソがあるから貯めているだけの話である。

次に何故に高額な年会費のかかるダイナースを持っているのかということなのだが、、、

これも昔々、まだシティバンクが日本にあった時代、年間30万円決済すると年会費が無料になるクレジットカードがあり、この特典に魅力を感じて持ち続けているだけの話である。

マイルはJALがメインであることと、ダイナースのポイントは無期限なので、いずれJALマイルに移行できる日が来ることを夢見ていたのだが、残念な結果になってしまった。

サービス改定を踏まえてとる行動は一つ。

ダイナースカード撤退(解約)

である。

撤退までのステップ

1.ダイナースカードで決済している定額払い物のカード情報の変更

2.ダイナースポイントのデルタスカイペソへの移行

3.カード解約

期限は2020年1月末まで。

早速ステップ1を進めよう。。。



2019/10/30

閉山中の富士山でニコ生配信中に滑落死


富士山でニコ生配信中に滑落して死亡したというニュースを見た。

そういえば以前中国で、ユーチューバーで生計を立てる人が、視聴率を稼ぐべく危険な動画撮影にチャレンジして命を落とす事件があった。

まさか日本でもそんなことをする奴がいたのかと思ったのだが、、、、

どうも、ニュース記事を読むと、富士登山にしては軽装であったらしい。

動画を見てみたが、特に軽装で富士山に登頂する類のものではなく、閉山中の富士山に登るところを生配信する企画だったようである。

前出の中国人は生計を得るために命を懸けた結果、命を失ってしまったが、
今回の件は別に命を懸けているわけではなく、ただ単に閉山中の富士山になめてかかって命を落とした単なる阿呆のような気がしている。

とはいえ、「人の振り見て我が振り直せ」である。

自分も無意識のうちに阿呆なことをしていないか定期的にチェックせねばならない。

2019/10/25

悪いIPを晒上げるサイト「AbuseIPDB」

東京オリンピック・パラリンピック開催まで1年を切りました。

世界的なイベントがあると世界中から日本に観光客が押し寄せますが、サイバー攻撃も一緒に押し寄せてきます。

特にオリンピックではDDoS攻撃が想定され、オリンピックの回を重ねるごとに攻撃も激しさを増してきます。

最近はボットを使った業務効率化(RPA)の導入が盛んですが、サイバー攻撃を仕掛ける側も同様にRPAを活用した効率的且つ効果的な攻撃手法を編み出しています。

世の中にはたくさんのIoT機器があり、それらはセキュリティ的に脆弱と言われている。

そんなIoT機器が乗っ取られて、1台1台がRPAで制御されて、特定の攻撃対象に向けて一斉DoS攻撃を仕掛けたら、、、、と思うと少しぞっとする。

ところで、システム管理者の方は、不審なIPから大量のアクセスが来た際、どのように対処するだろうか?

「このIPブロックしたいけど、サービスに影響しないだろうか?顧客からクレームを受けることにならないだろうか?」

こんな悩みからIP遮断に踏み込めないケースは無いだろうか?

そんなときの一助になりそうなのが、

AbuseIPDB

世界中のいろいろな人が悪いIPをこちらに晒上げており、不審なIPが確認できているのであれば、こちらで検索することをオススメする。

リストがあれば躊躇することなくIPブロックをしてしまえばよい。

IPブロックで物足りなければ、自分から不審IPを晒上げることもできる。

セキュリティは国や地域を超えたグローバルコミュニティで成り立っているんだなーと感じる今日この頃。

2019/10/23

米国電力業界のセキュリティ基準


先日、IPAより、米国の電力業界で活用されている、セキュリティマネジメント成熟度の評価モデル「ES-C2M2」の解説書およびチェックシートが公開された。

米国の電力業界はコンプライアンスとセキュリティガイドラインの2層で成り立っているようである

【コンプライアンス】

NERC CIP Standard

 North American Electric Reliability Council Cyber-security Critical Infrastructure Protection Standard

 北米電力信頼度協議会が策定した重要インフラ防護基準

 かつ

 アメリカ合衆国連邦エネルギー規制委員会が承認した米国電力業界向け規制標準

 ※2003年の大停電を踏まえて、電力の安定供給を念頭において作成された主に大規模発電施設及び送電施設を対象としたサイバーセキュリティに関する標準

 ※基準且つ規制になっているところがポイント

 ※規制なので、準じないと罰則もある(1,000USD~1,000,000USD)

【セキュリティガイドライン】

ES-C2M2
 
 Electricity Subsector - Cybersecurity Capability Maturity Model Program

 サイバーセキュリティ対策を改善するためのマネジメント手法を記載したガイドライン

NIST IR 7628

 NIST IR 7628 Guidelines for Smart Grid Cybersecurity

 NIST(アメリカ国立標準技術研究所)によって発行されたスマートグリッドを対象にしたセキュリティガイドライン

NIST Framework

 米大統領令によりNISTで策定されたCyberSecurity Framework

日本では罰則付きの規制は金融業界にしかなく、その他の重要インフラ業界は所謂ベストエフォートの対応になっている。

セキュリティはコストとみなす経営者が多く、罰則付きの規制になるともう少しセキュリティ投資が進むのではないかと思った今日この頃。

2019/10/21

18億円投じたのに、誰にも利用されず廃止になったセキュリティ対策


ITシステムを作るときに一番苦労するのは利便性とセキュリティのバランスです。

利便性を追求し過ぎ(=セキュリティを無視)して失敗した事例が7pay

で、その逆の事例が今日のネタである、政府共通プラットフォームのセキュアゾーン

日本年金機構の不正アクセス事案を受けて2017年に構築したのだが、セキュリティをガチガチに固めすぎた(=利便性を無視した)結果、どこの省庁も使ってくれず、2019年に廃止決定。

まさに日経コンピュータの「動かないコンピュータ」の格好のネタになりそうな・・・。

ちなみにこのセキュアゾーン、どんな特徴かというと、

1.専用回線から閲覧のみ可能。ダウンロードは出来ず、格納されたデータの取り出しや訂正には職員が直接設置場所へ出向く必要がある。

2.省庁内の別の情報システムとの連携が出来ない。

うーん。この二つの特徴を備えられると、

はっきり言って、用途が無い

ちなみに総務省がシステムの開発・運用を行っていたが、その総務省は最初からセキュアゾーンを使うつもりはなかったらしい。

自分が使うつもりのないモノ作るなよー

このセキュアゾーンの構築に18億円というのも驚きだが、ランニング費用は3.6億/年かかるらしい。

んで、誰も使わないけど年間3.6億円浪費するこのスバラシイ仕組みに会計監査院の調査が入ってめでたく廃止となったらしい。

セキュリティは重要だけど、利便性とのバランスがすごく重要であることを改めて実感した。

2019/10/19

パスワードを使い回ししないメリット


JPCERTコーディネーションセンター(JPCERT/CC)が、ウェブサービスで使用するパスワードを使い回すことの危険性を啓発するキャンペーン「STOP! パスワード使い回し! キャンペーン 2019」やっています。

単一のIDとパスワードの組み合わせを複数のサイトで使いまわしている場合、管理がザルなサイトからうっかり情報をお漏らしされると、パスワードリスト攻撃により、根こそぎ被害を受けるリスクがあります。

パスワードリスト攻撃とは、ID・パスワードの組み合わせのリストを、管理がザルなサイトから攻撃者が入手し、その組み合わせでログインできるかどうか複数のサイトで試みる手口。

このパスワードリスト攻撃による被害事例は、ユニクロ(19年4月)クロネコヤマト(19年7月)などがある。

念のため申し上げておくと、ユニクロやクロネコヤマトはパスワードリスト攻撃による「被害者」です。

諸悪の根源は、ID・パスワード情報をお漏らししたサイトで、どこのどいつだという話なのだが、管理がザルなだけにパスワードの保護もしていなければ、不正アクセスにも気付けないダメな企業なので追いようがない。

唯一追跡する方法としては、自身が利用するサイトごとに異なるパスワードを設定することである。

自分は利用するサイトごとに異なるパスワードを設定している。

ある日、「あなたのアカウントをハックした」旨の脅迫メールが届いた。文中にはその証拠としてパスワードが記載されていたのだが、この情報のおかげで、お漏らししたサイトを特定することができた。(当事者はお漏らしの事実を受け入れないのだが・・・・)

こんなメリットもあるので、パスワードの使いまわしはやめましょう。

JPCERT/CCでは「安全なパスワードの条件」として、以下の設定方法を推奨している。

■パスワードの文字列は、長めにする(12文字以上を推奨)

■インターネットサービスで利用できるさまざまな文字種(大小英字、数字、記号)を組み合わせると、より強固になる

■推測されやすい単語、生年月日、数字、キーボードの配列順などの単純な文字の並びやログインIDは避ける

■他のサービスで使用しているパスワードは使用しない

2019/10/18

ロボットホテルの末路


ロボットが接客するホテルチェーン「変なホテル」を運営するH.I.S.ホテルホールディングス(HD)は10月17日、「変なホテル舞浜 東京ベイ」(千葉県浦安市)の全100室に設置していた卵型コミュニケーションロボット「Tapia」に脆弱(ぜいじゃく)性が見つかったと発表した。



「変なホテル」は生産性の向上(人件費の削減)を目的に、フロント業務や荷物運びなど、これまで人が担っていた業務のほとんどをロボットに任せていることが最大の特徴。

生産性の向上でロボットを使っている以上、当然ロボットは通信機能を備えている。

通信機能を備えているということは、外部から入り込む余地を与えるということに他ならない。

今回の脆弱性は、「Tapiaのプログラムを書き換えると、他の客の映像や音声を取得し、遠隔地から任意のタイミングで視聴できる」というもので、twitterからの投稿が発端の様だ。

しかし、せっかく脆弱性の指摘をしてくれたのに、対応を放置したH.I.S.ホテルホールディングスとメーカーのMJIの対応はいかがなものかと思う。

個人的には通信機能を備えたロボットを使う以上、常に不正アクセスとの戦いになることは覚悟しなければならないと思う。

生産性の向上は期待できるかもしれないが、人件費削減の代わりに恒常的なセキュリティ投資が求められるため、トータルで見た場合コストパフォーマンスは悪いのではないのだろうか。

2019/10/17

コインチェックの貸仮想通貨サービス

アセットアロケーションの一環で少しだけ仮想通貨を保有しています。(保有比率は諸説あるけど、個人的には現在コモディティと同じ扱いで全体の10%未満にしている)

僕の仮想通貨との出会いのきっかけは、実は、アセットアロケーションの師匠でもある内藤忍さんだったりする。

2014年に、内藤忍さん共催の仮想通貨(リップル)セミナーがありました。

有償のセミナーだったんだけど、払ったお金分リップルがもらえる(確か1,500円くらい)という特典付だった。

その時貰ったリップルは気にも留めていなかったのだが、当時のウォレットであった、リップルトレードが2016年に終了となり、リップルのサルベージを行ったところ、80,000円(約40倍)の価値になっていた。

リップルトレードからのサルベージに相当苦労したこともあり、リップルを見限って全額をビットコインに変えました。

2017年後半から空前の仮想通貨(現 暗号資産)ブームが始まり、保有するビットコインの半分をイーサリアムに変え、ICO(Initial Coin Offering:イニシャル・コイン・オファリング)投資にチャレンジしたが、一つとしてヒットすることなく、投下したイーサリアムはほぼ壊滅してしまった。。。

で、難を逃れた残り半分のビットコインは現在も継続保有している。

あまりリスキーな投資をするつもりはないのだが、暗号資産は金と同じで保有するだけでは資産が増えない。

そこで登場するのが貸仮想通貨(レンディング)サービスである。

貸仮想通貨は、要は預貯金と同じで、預けて満期になると金利がついて返ってくるというもの。

コインチェックが、結構前からこの貸仮想通貨のサービスを行っている。

ネム流出事件が起きてからは、会社存続の危機もあり、怖くて預ける気にもならなかったが、マネックスグループ傘下となったことから、安心感が増し、5月に申し込みを行った。

人気で殺到しているのか、運用難で受付できない状態なのか、5ヶ月たっても運用が開始されない。


コールドウォレットに入れたところで、資産は増えないので、気長に待ちます。。。

気長に待つけど、不正アクセスによる流出だけはまじ勘弁。

2019/10/15

COMODO社の情報流出事故

米国にCOMODOという会社がある。

TLSサーバー証明書を発行する認証局事業などを手掛けるセキュリティー企業です。

「コドモ」でも「ドコモ」でもなく、「コモド」です。

このセキュリティー企業が運営するフォーラム(掲示板サイト)が不正アクセスを受け、ユーザーの名前や電子メールアドレスなど、約24万5000人の個人情報が流出する事件が起きました。

【原因】
フォーラムで使用している掲示板構築ソフトvBulletinの脆弱性。

2019年9月23日に見つかった脆弱性で、ソフトベンダーから9月25日に修正プログラムが提供。

不正アクセスは9月29日に受けているので、修正プログラムの適用が遅れたために被害に遭った。

【想定被害額】
想定損害賠償額シミュレータの試算結果

・漏洩情報:約24万5000件

・漏洩情報:氏名、メールアドレス

・損害賠償額試算:2,940,000,000円(29億4,000万円)

【所感】

まともにシステム運用しているところであれば、通常検証環境に修正プログラムを適用し、テストを行って数日運用する。

んで、問題なければ本番環境に適用する流れになる。

そうしないと、システムそのものの安定運用が犠牲になってしまうリスクがある。

今回、修正プログラム公開から4日目で攻撃を受けているので、守る側としてはかなりキビシイ時間軸だと思った。

一般企業ならちょっと手に負えない気もする。

セキュリティ企業となると、それでも言い訳は厳しいのかもしれない。

以前マイクソ(マイクロソフトの略)のセキュリティパッチの不具合率を調べたことがあったのだが、セキュリティパッチの3割は不具合を抱えているという結果になった。

それを踏まえるとベンダーがリリースしたパッチを即座に適用するというのは安定稼働の観点からはリスクがある。

一方でパッチを早急に適用しないと、不具合を突いた攻撃を受けることになる。

あ、そこでWAF(Web Application Firewall)の登場となるわけか!

2019/10/13

「パープルリス」と「炭鉱のカナリア」


セキュリティのお勉強で久しぶりに英語の雑誌と格闘した。

よく動物を使った格言のようなものがあります。

ちなみに先週知ったのは、

「炭鉱のカナリア」

これは、何らかの危険が迫っていることを知らせてくれる前兆をいいます。

石炭エネルギーが主力だった時代、多くの炭鉱がありましたが、炭鉱では有毒ガスのリスクと闘いながら働くこととなります。

有毒ガスが発生した場合、人間よりも先にカナリアが察知して鳴き声(さえずり)が止むことから、その昔、炭鉱労働者がカナリアを籠にいれて坑道に入ったことに由来するものです。

で、この「炭鉱のカナリア」は投資の世界でも生きていて、株価の急落や景気変調のリスクを示すシグナルの意味で使われます。

ちなみに、先週TOCOM SQUAREのラジオ公開生放送に参加してきたのだが、「炭鉱のカナリア」のサインとして、ハイイールド債から資金が流出しているという話を聞いた。

世界景気の減速は近づいているのだろうか!?




かなり話がそれたので、「パープルリス」の話に戻る。

”Stop Looking for the Purple Squirrel・・・・”というタイトルの記事を見ていたのだが、google先生に翻訳してもらうと、「紫リスを探すのをやめる・・・・」となった。

「パープルリス」って何やねんと思っていたら、驚いたことにWikipedia先生に解説があった・・・。

【Wikipedia先生解説】
パープルリスは、採用担当者が雇用要件に完全に適合する、適切な教育、経験、資格の範囲を正確に備えた求職者を説明するために使用する用語です。含意は、要件の過剰な仕様が紫色のリスと同じくらい見つけにくい完璧な候補になることです。
----

日本もそうですが、米国もセキュリティ業界は人材難な様で、「パープルリス」を探すのではなく、雇用慣行の改善を図ろうという内容でした。

例えば、

・女性や有色人種の登用促進

 それぞれセキュリティ業界の10%程度しかいないらしい

・求人情報の表現見直し
 
 「野心的」、「支配的」、「自信がある」などの男性に関連する言葉が多いらしい

・教育の重視

 資格を持っている人を前提にするのではなく、採用後トレーニングする前提で考える

米国もオープンなようで、あまりオープンではないのですね・・・。

2019/10/09

スマホ証券「One Tap BUY」のメリットデメリット


One Tap BUYというスマホ証券がある。

個人的にはスマホでオンラインバンキングやオンラインショッピングというのが理解できない世代なのだが、今の若い人はスマホは使うけどパソコンは使わない人のほうが多いらしいので、そういうご時世ということで。

スマホ証券という時点で個人的には残念な感じしかないのだが、米国株投資に関しては、他の大手オンライン証券にはない独特な特徴がある様である。

メリットデメリット等をまとめてみたい。

【メリット】

■小額(千円)から取引出来る

米国株は日本株と違って1株から取引できるが、千円から取引できるというのは初心者に優しい気がする。

■積み立て購入が可能

これ、実はかなり大きいメリット。米国株を積み立て購入できるのはここだけなのではないだろうか。

ドルコスト平均法を活用してコツコツ購入していくことができる。



【デメリット】

■取り扱い銘柄が少ない

■手数料がちょっと高い(大手オンライン証券会社と比較して0.05%割高)

■指値注文とかができない

--

少額から米国株に投資できるのはとても魅力的。

親の管理が前提となるが、未成年でも口座が作れるため、子供の口座を作り、米国株をお年玉としてプレゼントすれば、投資教育にもなるかもしれない。

個人的には同じプレゼントでも、現金を消費するより、米国株でプレゼントしたほうが遥かに精神衛生上良い。

気になった点としては、少額で投資を始めるのはいいとして、出口戦略をどうするかかな。

投資にある程度慣れてスキルアップしてくると、少しでも良い条件で購入したくなってくる。

つまり、指値注文とかを駆使したくなってくるタイミングがいずれやってくることになるが、One Tap BUYは初心者向きゆえ、そのような高度な注文には対応していない。

そうなると、別の証券会社に移行することになるが、その場合の手数料とかってどうなんだろう?

2019/10/08

PaaSとIaaS


恥ずかしながら、PaaSとIaaSの違いを混同していたことが判明したため、再整理。


PaaSとは?

Platform as a Serviceの略。

アプリケーションソフトが稼働するためのデータベースやプログラム実行環境などが提供されるサービス。

プログラムだけを用意すればよいというメリットがある一方、データベースの設定やプログラムの実行環境に制限があるので、開発の自由度は下がる。

インフラから開発する手間を省きたいけれど、ある程度カスタマイズしたいというときに利用するのが良い。

例:Google Apps Engine、Microsoft Azure


IaaSとは?

Infrastructure as a Serviceの略。

情報システムの稼働に必要な仮想サーバやハードディスク、ファイアウォールなどのインフラを、インターネット上のサービスとして提供する形態。

SaaSやPaaSなどと違って自由度が高く、ハードウェアのスペックやOSを好きなように選べる。

その分、OSやハードウェア、ネットワークの知識が必要となり、セキュリティ対策も当然必要。

例:Google Compute Engine、Amazon Elastic Compute Cloud(AWS)

ドキュメントルートに受領ファイルを置かない


保険業界は重要インフラ分野の一つとなり、当然セキュリティ対策にしっかり投資を行っている。

一方で保険業界には大小様々な代理店が存在しており、保険証券を扱う代理店は「セキュリティってな~に~」みたいなところが多く、保険証券のデータの保存先がコンシューマー用のNASであったり、保険の相談申込ページ(Webサーバ)に保険証券をアップロードさせてWebサーバ上に保険証券を保存するというびっくり運用が存在する。

そもそもの話として、今回はWebサーバで実施しておく基本的なセキュリティ対策(apacheベース)を整理しておきたい。

まず、認識しておかないといけないのは、Webサーバをデフォルトの状態で運用することは、「危険」な状態であるということです。

ウェブサーバは通常、インターネット上に配置され不特定多数からのアクセスが発生するため、デフォルトの状態で運用するということは、外出時に自宅に鍵をかけないどころか、ドアを全開放して「外出中です」と張り紙を出して外出するようなものです。

1.ディレクトリ内容一覧表示の無効化

apacheには公開しているディレクトリ内容を一覧表示するディレクトリリスティング機能が実装されています。

本機能が有効になっているディレクトリを表示すると、以下のようなインデックス画面が表示されます。

デフォルトでは、ドキュメントルートでこの機能が有効になっています。

この場合、Webサーバの公開ディレクトリに直接アクセスを行うと、ディレクトリ内に存在するファイルの一覧が表示され、ディレクトリ内のファイルの一覧を取得することが可能です。

つまり、冒頭で話した様な、保険証券を問い合わせフォームに添付してアップロードさせるようなケースの場合、保険証券のデータをこのドキュメントルートに保存すると、保険証券のデータは漏洩します。

ディレクトリでファイルの一覧が表示されることにより、外部に流出する情報として、他に以下のような内容が考えられます。

【ファイル一覧機能により、外部に流出する可能性がある情報】

□公開を意図しないファイル

□バックアップファイル

□一時ファイル

□隠しファイル(ドットで始まるファイル名のファイル)

□ファイルの命名規則

□設定ファイルによるサーバ設定情報

□スクリプトファイルによるサーバ内部処理情報



2.HTTP TRACEメソッドの無効化

まず、そもそもTRACEメソッドとは?から。

HTTP 1.1(RFC2616)で定義されている、8種類のメソッドの一つ。

GET、POST、HEADなどはおなじみのものですが、それ以外にPUT、DELETE、OPTIONS、TRACE、CONNECTの5種があります。

このうち、TRACEメソッドは、HTTPリクエストを「オウム返しに」HTTPレスポンスとして返すもので、以下のようにGET等の代わりにTRACEとしてWebサーバーにリクエストします。
TRACE /auth/index.php HTTP/1.1
Host: example.jp
User-Agent: Mozilla/5.0 (Windows NT 6.0; rv:18.0) Gecko/20100101 Firefox/18.0
Cookie: PHPSESSID=4lel0hml53u2tbhcd9pmo7pkc4
Authorization: Basic eWFtYWRhOnBhc3N3b3Jk
Connection: keep-alive
レスポンスの例を以下に示します。
HTTP/1.1 200 OK
Date: Tue, 22 Jan 2013 13:51:09 GMT
Server: Apache/2.2.14 (Ubuntu)
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: message/http
Content-Length: 198

TRACE /auth/index.php HTTP/1.1
Host: example.jp
User-Agent: Mozilla/5.0 (Windows NT 6.0; rv:18.0) Gecko/20100101 Firefox/18.0
Cookie: PHPSESSID=4lel0hml53u2tbhcd9pmo7pkc4
Authorization: Basic eWFtYWRhOnBhc3N3b3Jk
Connection: keep-alive
で、このTRACEメソッドが有効になっていると、Cross-Site Tracing(XST)攻撃と呼ばれる、XSS(Cross-Site Scripting)とTRACEメソッドを組み合わせた攻撃のリスクが発生する。(詳細はコチラ

そのため、TRACEメソッドを無効にすることでセキュリティを確保します。



3.X-Frame-Optionsヘッダの設定

クリックジャッキング攻撃の対策となるX-Frame-Optionsヘッダを設定します。

クリックジャッキングとは、ユーザが意図しない操作(ボタンやリンクのクリック)を実行させられる攻撃です。
(クリックジャッキングの詳細はコチラ

情報の公開・非公開設定がユーザの意図に反して気づかないうちに変更された結果、情報漏えい事故につながる等の被害が想定されるため、X-Frame-Optionsヘッダを設定します。



4.apache バージョンの非表示化

apacheのバージョン情報を取得することができる設定がデフォルトでは有効になっています。

バージョン情報の表示は直接の脆弱性とは関係ありませんが、利用しているapacheに脆弱性が存在する場合に脆弱性を突いた攻撃等を実施する手がかりとして利用される恐れがあります。

サービスへのアクセス時に表示されるこれらの情報はバナー情報と呼ばれ、バナー情報の隠蔽は攻撃者に攻撃の手がかりを与えないために有用な対策となるため、バナー情報はできる限り非表示とすることでセキュリティを向上できます。



5.SSL/TLSにおける安全性の低い暗号スイートの無効化

サーバ側のSSL/TLS設定において安全性の低い暗号スイート(プロトコル・暗号アルゴリズム、鍵長、ハッシュ関数)をサポートしている場合、安全性の低い暗号スイートが利用されることで、通信内容の盗聴につながる可能性が高まります。

安全性の低いプロトコル・暗号化アルゴリズム、鍵長、ハッシュ関数を無効化し、安全性の高いプロトコル・暗号化アルゴリズム、鍵長、ハッシュ関数のみをサポートすることでセキュリティを確保できます。

一般的に安全性の低い暗号スイートと呼ばれるものは、下記があります。

・MD5

・RC4

・3DES

・SSLv2

・SSLv3



6.SSL/TLSプロトコルのデータ圧縮機能の無効化

SSL/TLSプロトコルのデータ暗号化時の圧縮機能が有効になっている場合、SSL/TLSによって暗号化された通信内容の一部が漏えいする可能性があります。

暗号化前のデータ長(サイズ)の情報からデータ内容の総当たりによる推測が行われた場合、Cookie等のHTTPヘッダの一部が取得される脆弱性が存在するため、SSL/TLSにおけるデータ圧縮処理(Compression)機能は無効化します。

出典:攻撃を受ける前に見直すApacheの基本的なセキュリティ10のポイント