2019/10/17

コインチェックの貸仮想通貨サービス

アセットアロケーションの一環で少しだけ仮想通貨を保有しています。(保有比率は諸説あるけど、個人的には現在コモディティと同じ扱いで全体の10%未満にしている)

僕の仮想通貨との出会いのきっかけは、実は、アセットアロケーションの師匠でもある内藤忍さんだったりする。

2014年に、内藤忍さん共催の仮想通貨(リップル)セミナーがありました。

有償のセミナーだったんだけど、払ったお金分リップルがもらえる(確か1,500円くらい)という特典付だった。

その時貰ったリップルは気にも留めていなかったのだが、当時のウォレットであった、リップルトレードが2016年に終了となり、リップルのサルベージを行ったところ、80,000円(約40倍)の価値になっていた。

リップルトレードからのサルベージに相当苦労したこともあり、リップルを見限って全額をビットコインに変えました。

2017年後半から空前の仮想通貨(現 暗号資産)ブームが始まり、保有するビットコインの半分をイーサリアムに変え、ICO(Initial Coin Offering:イニシャル・コイン・オファリング)投資にチャレンジしたが、一つとしてヒットすることなく、投下したイーサリアムはほぼ壊滅してしまった。。。

で、難を逃れた残り半分のビットコインは現在も継続保有している。

あまりリスキーな投資をするつもりはないのだが、暗号資産は金と同じで保有するだけでは資産が増えない。

そこで登場するのが貸仮想通貨(レンディング)サービスである。

貸仮想通貨は、要は預貯金と同じで、預けて満期になると金利がついて返ってくるというもの。

コインチェックが、結構前からこの貸仮想通貨のサービスを行っている。

ネム流出事件が起きてからは、会社存続の危機もあり、怖くて預ける気にもならなかったが、マネックスグループ傘下となったことから、安心感が増し、5月に申し込みを行った。

人気で殺到しているのか、運用難で受付できない状態なのか、5ヶ月たっても運用が開始されない。


コールドウォレットに入れたところで、資産は増えないので、気長に待ちます。。。

気長に待つけど、不正アクセスによる流出だけはまじ勘弁。

2019/10/15

COMODO社の情報流出事故

米国にCOMODOという会社がある。

TLSサーバー証明書を発行する認証局事業などを手掛けるセキュリティー企業です。

「コドモ」でも「ドコモ」でもなく、「コモド」です。

このセキュリティー企業が運営するフォーラム(掲示板サイト)が不正アクセスを受け、ユーザーの名前や電子メールアドレスなど、約24万5000人の個人情報が流出する事件が起きました。

【原因】
フォーラムで使用している掲示板構築ソフトvBulletinの脆弱性。

2019年9月23日に見つかった脆弱性で、ソフトベンダーから9月25日に修正プログラムが提供。

不正アクセスは9月29日に受けているので、修正プログラムの適用が遅れたために被害に遭った。

【想定被害額】
想定損害賠償額シミュレータの試算結果

・漏洩情報:約24万5000件

・漏洩情報:氏名、メールアドレス

・損害賠償額試算:2,940,000,000円(29億4,000万円)

【所感】

まともにシステム運用しているところであれば、通常検証環境に修正プログラムを適用し、テストを行って数日運用する。

んで、問題なければ本番環境に適用する流れになる。

そうしないと、システムそのものの安定運用が犠牲になってしまうリスクがある。

今回、修正プログラム公開から4日目で攻撃を受けているので、守る側としてはかなりキビシイ時間軸だと思った。

一般企業ならちょっと手に負えない気もする。

セキュリティ企業となると、それでも言い訳は厳しいのかもしれない。

以前マイクソ(マイクロソフトの略)のセキュリティパッチの不具合率を調べたことがあったのだが、セキュリティパッチの3割は不具合を抱えているという結果になった。

それを踏まえるとベンダーがリリースしたパッチを即座に適用するというのは安定稼働の観点からはリスクがある。

一方でパッチを早急に適用しないと、不具合を突いた攻撃を受けることになる。

あ、そこでWAF(Web Application Firewall)の登場となるわけか!

2019/10/13

「パープルリス」と「炭鉱のカナリア」


セキュリティのお勉強で久しぶりに英語の雑誌と格闘した。

よく動物を使った格言のようなものがあります。

ちなみに先週知ったのは、

「炭鉱のカナリア」

これは、何らかの危険が迫っていることを知らせてくれる前兆をいいます。

石炭エネルギーが主力だった時代、多くの炭鉱がありましたが、炭鉱では有毒ガスのリスクと闘いながら働くこととなります。

有毒ガスが発生した場合、人間よりも先にカナリアが察知して鳴き声(さえずり)が止むことから、その昔、炭鉱労働者がカナリアを籠にいれて坑道に入ったことに由来するものです。

で、この「炭鉱のカナリア」は投資の世界でも生きていて、株価の急落や景気変調のリスクを示すシグナルの意味で使われます。

ちなみに、先週TOCOM SQUAREのラジオ公開生放送に参加してきたのだが、「炭鉱のカナリア」のサインとして、ハイイールド債から資金が流出しているという話を聞いた。

世界景気の減速は近づいているのだろうか!?




かなり話がそれたので、「パープルリス」の話に戻る。

”Stop Looking for the Purple Squirrel・・・・”というタイトルの記事を見ていたのだが、google先生に翻訳してもらうと、「紫リスを探すのをやめる・・・・」となった。

「パープルリス」って何やねんと思っていたら、驚いたことにWikipedia先生に解説があった・・・。

【Wikipedia先生解説】
パープルリスは、採用担当者が雇用要件に完全に適合する、適切な教育、経験、資格の範囲を正確に備えた求職者を説明するために使用する用語です。含意は、要件の過剰な仕様が紫色のリスと同じくらい見つけにくい完璧な候補になることです。
----

日本もそうですが、米国もセキュリティ業界は人材難な様で、「パープルリス」を探すのではなく、雇用慣行の改善を図ろうという内容でした。

例えば、

・女性や有色人種の登用促進

 それぞれセキュリティ業界の10%程度しかいないらしい

・求人情報の表現見直し
 
 「野心的」、「支配的」、「自信がある」などの男性に関連する言葉が多いらしい

・教育の重視

 資格を持っている人を前提にするのではなく、採用後トレーニングする前提で考える

米国もオープンなようで、あまりオープンではないのですね・・・。

2019/10/09

スマホ証券「One Tap BUY」のメリットデメリット


One Tap BUYというスマホ証券がある。

個人的にはスマホでオンラインバンキングやオンラインショッピングというのが理解できない世代なのだが、今の若い人はスマホは使うけどパソコンは使わない人のほうが多いらしいので、そういうご時世ということで。

スマホ証券という時点で個人的には残念な感じしかないのだが、米国株投資に関しては、他の大手オンライン証券にはない独特な特徴がある様である。

メリットデメリット等をまとめてみたい。

【メリット】

■小額(千円)から取引出来る

米国株は日本株と違って1株から取引できるが、千円から取引できるというのは初心者に優しい気がする。

■積み立て購入が可能

これ、実はかなり大きいメリット。米国株を積み立て購入できるのはここだけなのではないだろうか。

ドルコスト平均法を活用してコツコツ購入していくことができる。



【デメリット】

■取り扱い銘柄が少ない

■手数料がちょっと高い(大手オンライン証券会社と比較して0.05%割高)

■指値注文とかができない

--

少額から米国株に投資できるのはとても魅力的。

親の管理が前提となるが、未成年でも口座が作れるため、子供の口座を作り、米国株をお年玉としてプレゼントすれば、投資教育にもなるかもしれない。

個人的には同じプレゼントでも、現金を消費するより、米国株でプレゼントしたほうが遥かに精神衛生上良い。

気になった点としては、少額で投資を始めるのはいいとして、出口戦略をどうするかかな。

投資にある程度慣れてスキルアップしてくると、少しでも良い条件で購入したくなってくる。

つまり、指値注文とかを駆使したくなってくるタイミングがいずれやってくることになるが、One Tap BUYは初心者向きゆえ、そのような高度な注文には対応していない。

そうなると、別の証券会社に移行することになるが、その場合の手数料とかってどうなんだろう?

2019/10/08

PaaSとIaaS


恥ずかしながら、PaaSとIaaSの違いを混同していたことが判明したため、再整理。


PaaSとは?

Platform as a Serviceの略。

アプリケーションソフトが稼働するためのデータベースやプログラム実行環境などが提供されるサービス。

プログラムだけを用意すればよいというメリットがある一方、データベースの設定やプログラムの実行環境に制限があるので、開発の自由度は下がる。

インフラから開発する手間を省きたいけれど、ある程度カスタマイズしたいというときに利用するのが良い。

例:Google Apps Engine、Microsoft Azure


IaaSとは?

Infrastructure as a Serviceの略。

情報システムの稼働に必要な仮想サーバやハードディスク、ファイアウォールなどのインフラを、インターネット上のサービスとして提供する形態。

SaaSやPaaSなどと違って自由度が高く、ハードウェアのスペックやOSを好きなように選べる。

その分、OSやハードウェア、ネットワークの知識が必要となり、セキュリティ対策も当然必要。

例:Google Compute Engine、Amazon Elastic Compute Cloud(AWS)

ドキュメントルートに受領ファイルを置かない


保険業界は重要インフラ分野の一つとなり、当然セキュリティ対策にしっかり投資を行っている。

一方で保険業界には大小様々な代理店が存在しており、保険証券を扱う代理店は「セキュリティってな~に~」みたいなところが多く、保険証券のデータの保存先がコンシューマー用のNASであったり、保険の相談申込ページ(Webサーバ)に保険証券をアップロードさせてWebサーバ上に保険証券を保存するというびっくり運用が存在する。

そもそもの話として、今回はWebサーバで実施しておく基本的なセキュリティ対策(apacheベース)を整理しておきたい。

まず、認識しておかないといけないのは、Webサーバをデフォルトの状態で運用することは、「危険」な状態であるということです。

ウェブサーバは通常、インターネット上に配置され不特定多数からのアクセスが発生するため、デフォルトの状態で運用するということは、外出時に自宅に鍵をかけないどころか、ドアを全開放して「外出中です」と張り紙を出して外出するようなものです。

1.ディレクトリ内容一覧表示の無効化

apacheには公開しているディレクトリ内容を一覧表示するディレクトリリスティング機能が実装されています。

本機能が有効になっているディレクトリを表示すると、以下のようなインデックス画面が表示されます。

デフォルトでは、ドキュメントルートでこの機能が有効になっています。

この場合、Webサーバの公開ディレクトリに直接アクセスを行うと、ディレクトリ内に存在するファイルの一覧が表示され、ディレクトリ内のファイルの一覧を取得することが可能です。

つまり、冒頭で話した様な、保険証券を問い合わせフォームに添付してアップロードさせるようなケースの場合、保険証券のデータをこのドキュメントルートに保存すると、保険証券のデータは漏洩します。

ディレクトリでファイルの一覧が表示されることにより、外部に流出する情報として、他に以下のような内容が考えられます。

【ファイル一覧機能により、外部に流出する可能性がある情報】

□公開を意図しないファイル

□バックアップファイル

□一時ファイル

□隠しファイル(ドットで始まるファイル名のファイル)

□ファイルの命名規則

□設定ファイルによるサーバ設定情報

□スクリプトファイルによるサーバ内部処理情報



2.HTTP TRACEメソッドの無効化

まず、そもそもTRACEメソッドとは?から。

HTTP 1.1(RFC2616)で定義されている、8種類のメソッドの一つ。

GET、POST、HEADなどはおなじみのものですが、それ以外にPUT、DELETE、OPTIONS、TRACE、CONNECTの5種があります。

このうち、TRACEメソッドは、HTTPリクエストを「オウム返しに」HTTPレスポンスとして返すもので、以下のようにGET等の代わりにTRACEとしてWebサーバーにリクエストします。
TRACE /auth/index.php HTTP/1.1
Host: example.jp
User-Agent: Mozilla/5.0 (Windows NT 6.0; rv:18.0) Gecko/20100101 Firefox/18.0
Cookie: PHPSESSID=4lel0hml53u2tbhcd9pmo7pkc4
Authorization: Basic eWFtYWRhOnBhc3N3b3Jk
Connection: keep-alive
レスポンスの例を以下に示します。
HTTP/1.1 200 OK
Date: Tue, 22 Jan 2013 13:51:09 GMT
Server: Apache/2.2.14 (Ubuntu)
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: message/http
Content-Length: 198

TRACE /auth/index.php HTTP/1.1
Host: example.jp
User-Agent: Mozilla/5.0 (Windows NT 6.0; rv:18.0) Gecko/20100101 Firefox/18.0
Cookie: PHPSESSID=4lel0hml53u2tbhcd9pmo7pkc4
Authorization: Basic eWFtYWRhOnBhc3N3b3Jk
Connection: keep-alive
で、このTRACEメソッドが有効になっていると、Cross-Site Tracing(XST)攻撃と呼ばれる、XSS(Cross-Site Scripting)とTRACEメソッドを組み合わせた攻撃のリスクが発生する。(詳細はコチラ

そのため、TRACEメソッドを無効にすることでセキュリティを確保します。



3.X-Frame-Optionsヘッダの設定

クリックジャッキング攻撃の対策となるX-Frame-Optionsヘッダを設定します。

クリックジャッキングとは、ユーザが意図しない操作(ボタンやリンクのクリック)を実行させられる攻撃です。
(クリックジャッキングの詳細はコチラ

情報の公開・非公開設定がユーザの意図に反して気づかないうちに変更された結果、情報漏えい事故につながる等の被害が想定されるため、X-Frame-Optionsヘッダを設定します。



4.apache バージョンの非表示化

apacheのバージョン情報を取得することができる設定がデフォルトでは有効になっています。

バージョン情報の表示は直接の脆弱性とは関係ありませんが、利用しているapacheに脆弱性が存在する場合に脆弱性を突いた攻撃等を実施する手がかりとして利用される恐れがあります。

サービスへのアクセス時に表示されるこれらの情報はバナー情報と呼ばれ、バナー情報の隠蔽は攻撃者に攻撃の手がかりを与えないために有用な対策となるため、バナー情報はできる限り非表示とすることでセキュリティを向上できます。



5.SSL/TLSにおける安全性の低い暗号スイートの無効化

サーバ側のSSL/TLS設定において安全性の低い暗号スイート(プロトコル・暗号アルゴリズム、鍵長、ハッシュ関数)をサポートしている場合、安全性の低い暗号スイートが利用されることで、通信内容の盗聴につながる可能性が高まります。

安全性の低いプロトコル・暗号化アルゴリズム、鍵長、ハッシュ関数を無効化し、安全性の高いプロトコル・暗号化アルゴリズム、鍵長、ハッシュ関数のみをサポートすることでセキュリティを確保できます。

一般的に安全性の低い暗号スイートと呼ばれるものは、下記があります。

・MD5

・RC4

・3DES

・SSLv2

・SSLv3



6.SSL/TLSプロトコルのデータ圧縮機能の無効化

SSL/TLSプロトコルのデータ暗号化時の圧縮機能が有効になっている場合、SSL/TLSによって暗号化された通信内容の一部が漏えいする可能性があります。

暗号化前のデータ長(サイズ)の情報からデータ内容の総当たりによる推測が行われた場合、Cookie等のHTTPヘッダの一部が取得される脆弱性が存在するため、SSL/TLSにおけるデータ圧縮処理(Compression)機能は無効化します。

出典:攻撃を受ける前に見直すApacheの基本的なセキュリティ10のポイント

2019/10/07

営業電話撃退法


最近どこかから個人情報が漏れたらしく、不動産営業の電話が会社にかかってくるようになった。

営業電話撃退法を調べていたらいろいろ勉強になったので、ちょっとメモ。

■一般的な営業電話撃退法

まず、「不在」とかでその場をやり過ごすのはNGらしい。

正しい撃退法法は、

1.定番ワード「恐れ入りますが、どのようなご用件でしょうか?」を言う。

営業電話なので、当然営業の話になる。

2.下記のいずれかを言う。

① 「申し訳ありませんが、一切お断りするようにと言われておりますので・・・」
② 「弊社は、新規のお取引を控えさせて頂いております。」
③ 「必要な場合はこちらからお電話しますので、今後のご連絡は不要です。」

終わり。

営業マンは「かしこまりました、失礼いたします。」で終わるらしい。

なるほど。

■不動産投資営業撃退法

不動産投資営業の場合、宅地建物取引業法が絡んでくる。この法律では、宅地建物取引業者(不動産業者)に対し、契約の締結の勧誘をするに際しての「電話による長時間の勧誘その他の私生活または業務の平穏を害するような方法によりその者を困惑させる」行為を禁止しています。

つまり、これをネタに逆に「電話してくるな」と営業にお灸をすえることができる。

ただ、いきなりお灸をすえるのはかわいそうなので、順を追って進めていくこととなる。

【STEP1.注意】

下記2点を伝えます。

1.全く興味がない

2.もう二度と勧誘電話を掛けてこないでほしい

【STEP2.警告】

下記3点を実施します。

3.会社名、代表者名、担当者名、会社の所在地、電話番号、勧誘があった日時をメモ、(勧誘)内容の確認。

 ※偽名名乗っている可能性もあるので、一度折り返しにしたほうが良いかも!

4.宅地建物取引業法違反に当たる勧誘行為であることを指摘する

5.自分に対する勧誘行為を止めないと監督官庁に相談する

【STEP3.タレコミ】

下記2点を実施します。

6.会社名、代表者名、担当者名、会社の所在地、電話番号、勧誘があった日時をメモ、(勧誘)内容の確認。

 ※偽名名乗っている可能性もあるので、一度折り返しにしたほうが良いかも!

7.宅地建物取引業者(不動産業者)が東京都知事免許業者であれば東京都(住宅政策本部)へ連絡。

知っている人だけが救われる日本の支援制度


日本にはお金をもらえる公的制度がいくつかあります。

ちなみにこれらは「困った人」を助ける制度ではありません。

「知っている人」を助ける制度です。

なので、知らなければいつまでたっても給付を受けることはできません。

制度を知っていて行動を起こすことができる人のみを助けてくれます。

行政のサービスは平等なようで平等ではないです。

というわけで、普段からお金がもらえる制度は理解したうえで、条件を満たした場合はキッチリ権利を行使しなければなりません。

最近とある方から紹介された、あやたかさんのサイトで、まとめられていたので、自分なりに整理していきたい。

■教育訓練給付金

 これ、制度と自身のタイミングが合わなかったと思うのだが、個人的に縁のない制度になってる・・・。

■傷病手当金

 一部でインフルエンザでも使えるようなこと言っていますが、半分正解で半分間違い。

 普通インフルエンザになると泣く泣く有給休暇使うと思うけど、有給休暇使うと傷病手当金は支給対象外になる。

 感覚的には有給使いきっちゃったけど医者から自宅療養を指示された人が使う制度かな。

■高額療養費制度
 
 医療費が月8万を超えた場合に検討。

 鋭い人なら分かるかもだけど、この制度を知っていれば、基本高額な医療保険はいらない。

■すまい給付金

 年収750万未満の人が家を買うときは確認してみたほうが良いかも。

 ただ、個人的に住宅ローンで家を買うのは反対。

 住宅ローンは投資ではなく、浪費です!

■出産手当金
 
 出産の〇〇日前~出産後〇〇日までに出産で会社を休んだ場合にもらえる。

 会社を休んだ日をいちいちカウントしなければならないのかな?

 ちょっと面倒な気がする。。。

■育児休業給付金

 男性も対象なので、イクメンはぜひ検討すべき!

■介護休業給付金

 これ、知らんかった・・・

 いつ自分も介護に巻き込まれるか分からないので、いざというときにちゃんと使えるようにせねば

■災害時の給付金

 被災者生活再建支援制度(10世帯以上の被害時)、災害障害見舞金(5世帯以上の被害時)、災害見舞金などがある。

2019/10/03

JALの赤ちゃん連れの座席が事前にわかるサービスが賛否両論!?


JALによく乗る人は、座席指定時に、変な顔が席を占領している状況に遭遇したことはないだろうか?

これ、「幼児マーク」という、赤ちゃん連れの座席が事前にわかるサービスらしい。



フライト中にイラつくケースとしてよくあるのが、フライト中ガキが泣き続けること。

「ガキ連れて飛行機乗るなよ」と心の中で思う一方、「そのガキを相手にしている親御さんは大変だな」と思いを改めて複雑な気持ちになり、なんとも気まずいフライトになる。

・・・どうも自分は子供が嫌いらしい。

そんなわけで個人的には搭乗予定にガキがいること、それがどこにいるのかを事前に知ることで、可能であれば極力ガキから離れ、それが出来なければ心の準備ができるということで、無条件に素晴らしいサービスだと思っていた。

ところが、どうも賛否両論になっているらしい。

ん、「否」の部分なんてあるのか?と思いながら、否定の意見に耳を傾けてみる。

どうやら、「そんなマークつけて避けるんじゃなくてみんな寛容になろうぜ」ってことらしい。

うーん。一理ある。

自分ももっと心の広い人間にならないとだめだな。

心を入れ替えよう。

2019/10/01

アカウントののっとりと身代金の要求をするスパムメール「あなたは大きな変態です」


数日前から、アカウントののっとりと身代金の要求をするスパムメール「あなたは大きな変態です」が拡散しているらしい。

詳細はこちらでまとめられているので、届いた方は無視してあげてください。

ちなみに自分にも届いていないかとメールボックスをチェックしてみたが、残念ながら届いていなかった。

しかし、Amazonを騙る偽メールを発見したので、ちょっと掘り下げてみたい。

こちらが偽メールのスクリーンショット。


まず、差出人。

Amazon <hrh@nect.com>

となっている。

まず、この時点で偽メール確定なんだな。

ちなみに、nect.comドメインをチェックしてみる

うーん。レジストラの情報くらいしか分からない。

ま、そもそも差出人自体が偽装されているかもしれないので、差出人情報自体はアテにできないです。

ちなみにメールヘッダを確認すると、送信元のIPは下記となっている。

128.14.232.159

IP上は香港となる。

つまり、このメールは香港のIPアドレスから送信されたということになる。

ちなみに、送信元IPが香港ということだけで、このIPが偽メールの本当の送信元なのか、乗っ取られてただの中継サーバになっているだけなのかは分からない。

次にメール本文。

ログインIP(164.09.36.162)の記載がある。

んで、このIPはスウェーデン。

送信元IPは香港で、メール本文記載の利用者のIPとしているものはスウェーデン。

せめて日本のIPにすればいいのに。。。

次。

「ログイン」と記載されている箇所はリンクになっている。

リンク先は下記の通り。

https[:]//account-update.amazon.co.jp.fszjxh[.]com/

amazonドメインと見せかけた、fszjxh[.]comというドメインである。

※誤接続防止用に[]を付加しています。

次にこのドメインをVirusTotalで調べてみる。


幾つかのセキュリティエンジンでフィッシングサイトやマルウェアサイトの認定を受けています。

本文を読み進めていくと、ご丁寧に電話番号まで記載されています。

「パスワードを変更した覚えがない場合は、至急(03)-5767-5252までお電話ください。」

さて、この、03-5767-5252って、一体どこなのだろう?

調べてみると詐欺集団の電話番号ということが分かります。

ちなみに、実際にアクセスしてみるとどんな画面が出てくるのだろう?

直接アクセスするのはちょっと怖いので、urqueryの様な代理アクセスのサービスを使ってアクセスしてみます。


ん、名前解決ができない・・・・。

というわけで、リンクをクリックしてもアクセスできないようです。

結局迷惑メールは送信元をつかむのが難しいので、無視が基本となります。

2019/09/30

[悲報]LATAM航空ワンワールド脱退


チリのLATAM航空が、ワンワールドから近いうちに脱退することになったそうです。

ワンワールドは日本航空が加盟しているため、国内的にはメジャーだと思うが、3大アライアンスの中では一番貧弱(スターアライアンス28社、スカイチーム18社に対してワンワールド13社)

2017年にはエア・ベルリンが破綻して消えてしまい、キャセイパシフィック航空は中国国際航空と資本提携していて将来的には脱退の噂が流れていたり、カタール航空は一時期脱退をほのめかすなど、不安なニュースも多い。

一応2020年にロイヤル・エア・モロッコが加盟し、2018年にスカイチームを脱退した中国南方航空も将来的にワンワールドに加盟するということで、若干明るいニュースに包まれていたのだが、またしても暗い影が・・・・。

アライアンスの弱体化により影響が出てくるのが、JALのマイルで行くワンワールドアライアンス特典航空券のルートに制約が出てくる点。

同様に世界一周航空券で世界を旅する際に制約が出てくる点。

LATAM航空の脱退により、ワンワールドは南米の拠点を失ってしまったため、南米の旅はかなり制約を受けることになる(多分南米間の移動はワンワールドは使えない)

ちなみにLATAM航空の脱退理由は、アメリカン航空との共同事業をチリ政府に却下されたことが原因らしい。

よく航空会社が共同事業を行う際、「独占禁止法の適用除外(ATI)認可」って言葉を聞くが、これが下りなかったのかと思われる。

日本~北米間の場合、日本航空&アメリカン航空、全日空&ユナイテッド航空で共同事業を行っているが、共同事業を行っても独占にはならない旨を当局に届け出て承認をもらっていると思われる。

チリの場合、LATAM航空とアメリカン航空が一緒になると独占になると判断されたのでしょう。

一方でLATAM航空は提携先を求めているようで、当局にアメリカン航空を否定された結果、デルタ航空が出てきたみたいです。

これは、中国南方航空を取られた仕返しなのだろうか???

2019/09/26

トーマスクック破綻


2019年9月24日に英トーマス・クック破綻のニュースが流れた。

僕が「トーマス・クック」と聞いて連想したのは時刻表。

最初は老舗の時刻表メーカーが破綻したのだと思っていた。

ところが、トーマス・クックは世界最初の旅行代理店で、航空会社も持っている結構大きく、歴史ある企業だった。


トーマス・クック航空はこれまで機体を見たことはなく、今回の破綻のニュースで初めて名前を知った。

それもそのはずで、イギリスの航空会社だけど、ヒースロー空港には就航しておらず、日本はおろか極東・東南アジアにも就航していない。

こんな由緒ある旅行代理店を何故英国政府は見捨ててしまったのだろうか?

これには諸説流れているようだ。

EU強硬離脱の予行演習とか、

国が資金注入したところで数週間しか持たないと判断したからとか、

トーマスクックはイギリスの企業だけど、大株主は中国の投資会社だからだとか。

EU強硬離脱の予行演習説はちょっと意味不明。

救済は不能と判断したか、中国資本だから切り捨てる判断をしたというのが自然な気がする。

んで、何故破綻してしまったのかだが、個人的にはこのご時世、旅行代理店がもはや必要とされていないような気がしている。

個人的にはパッケージツアーで旅行に行くよりは、自分が好きな航空会社とホテルを選んで旅に行くほうが好きだし、満足度も違うと思う。

昔は旅行代理店で手配するのが一般的だったかもしれないけど、今は航空券の手配もホテルの手配も個人で簡単にできますしね。

ネットでは破綻の影響を受けた人の悲惨なエピソードがたくさん生まれています。

中でも心が痛かったのが、↓のエピソード

「最悪な気分です。幼い息子たちを海外での初めての休暇に連れて行くために、過去2年間、誕生日やクリスマスには毎回トーマス・クックのバウチャーをとっておいた。ディズニーに行く予定だったのに。800ポンド(約10万円)分が貯まったので、来夏に2人を初の海外旅行に連れて行くつもりだった。私は全額を失い、息子たちは旅行には行けなくなってしまった」

旅行代理店で旅行積立の契約とかを行っている方はお気を付けくださいませ。

2019/09/25

株主優待を活用したJALのバイマイル

JALのマイレージはバイマイル(マイル購入)が難しい。

(ANAのマイルはマイル・ブローカーから購入できる様だが・・・)

JALのバイマイルで唯一知っているのは方法はマリオットのポイントを購入してJALマイルに交換する方法。

そんな中、バイマイルよりは手間がかかるが間接的に入手する方法を考えた。

その方法とは、プレミアム優待倶楽部を使う方法。

プレミアム優待倶楽部は株主優待のアウトソーシング企業みたいな感じ。

契約企業は株主に株主優待ポイントを発行。

株主はこの株主優待ポイントをプレミアム優待倶楽部のWILLsCoinに交換。

でWILLsCoinを優待商品と交換する流れになる。


んで、その優待商品の中にJALのマイルもあるというわけ。


株主優待でリスクを押さえてマイルを獲得するには信用取引やつなぎ売りといった投資知識が必要。

つなぎ売りを活用することで株価変動のリスクを抑えることができ、株式売買手数料+貸株料程度の費用でマイルの取得ができる。

投資経験者で陸マイル活動家の方は試してみる価値があると思うけどな。

2019/09/19

マリオットのポイント購入30%割引セール(2019年9月14日~10月18日)


SPGスターポイント改め、マリオットのバイポイントキャンペーン。

30%オフのセールです。

定価(1,000ポイントにつき12.50米ドル)から30%割引で、1,000ポイントにつき8.75ドルとなる。

日本円でいうと、だいたい1ポイント=1円くらい。

ちなみに、個人的にはホテルマイルには興味ありません。

んじゃ、何故にマリオットのポイントセールを気にするのか。

実は数少ないJALマイルの購入手段でもあるからである。

基本はマリオット:JAL=3:1となる

駄菓子菓子(だがしかし!)

マリオット60,000ポイントを交換するとボーナスポイントが発生し、JAL25,000マイルに生まれ変わる。

一般的なバイマイルのレートとしてはあまりよくないのだが、JALマイル調達の観点で考えると数少ない購入の機会なのである。

いかんせんレートはやはり良くないので、サブ的な位置づけ(年間30,000ポイント程度の購入)で使っています。

こういう機会を活用していきながら、2.5年で120,000JALマイルを目指す旅を続けています。

2019/09/18

紛らわしいNISA制度


マネックス証券からロールオーバーの手続き書類が来た。

ということは、NISA利用から5年が経つのか。

何とも月日は早いものです。

ところで、「NISA」と「つみたてNISA」って2つのモノが併存していることを最近初めて知りました。

たしか当初あったのは「NISA」で、その後「つみたてNISA」の登場により、従来の「NISA」は終了したものと思っていた。

ところが、これらは並列で存在しているらしい。

ざっとした違いは下記の通り

【NISA】
運用期間:5年
年間上限:120万円
投資商品の幅:広い(投資信託のほか、国内ETF、米国ETFも可能)
その他:ロールオーバーと呼ばれる繰越が可能で、期間延長が可能

【つみたてNISA】
運用期間:20年
年間上限:40万円
投資商品の幅:狭い(特定の投資信託のみ)

【NISA・つみたてNISA共通のざっくりメリット】
・運用益や配当金に税金がかからない(利益が出たら超ハッピー)

【NISA・つみたてNISAのざっくりデメリット】
・損失が出ても確定申告で繰り越しできない(損失が出たらイタさ倍増)
・(ETF投資の場合)信用取引の証拠金に組み入れられない

個人的には上記のメリットとデメリットを踏まえると、そんなにお得な制度とは思っていない。

その上で強いておススメするなら「NISA」です。

個人的に国内の投資信託は信用していないことと、資産の半分を外貨(=USD)にすべきという、内藤忍先生の教えを踏まえると、長期保有戦略で米国ETFという結論になったからだ。

2019/09/17

パスワード管理ツール「LastPass」に最後に使ったパスワードが漏れるバグ


複数のIDやパスワードの管理を手助けしてくれるパスワード管理ツール「LastPass」のブラウザ拡張機能に、最後に利用したサイトの認証情報が漏れてしまうバグがあることが報告されました。

攻撃者がバグを悪用したクリックジャッキングを行うと、LastPassを用いて最後に入力したサイト認証情報が抜き取られる恐れがあるとのこと。

認証情報の管理って、ザルな人は同じパスワードを使いまわす一方、
真剣に考える人は恐らくパスワード管理ツールの利用にたどり着くのではなかろうか?

パスワード管理ツールを使うメリットは幾つかある。

まず、サイトごとにパスワードを変えられる点。

頭でパスワードを記憶するのは数パターンが限界。

そこで、パスワード管理ツールに記憶させる。

そうすると、自分で記憶する必要がなくなるので、各サイトごとにパスワード生成が可能となる。

そうすると、どこか1か所でパスワードがハッキングされると、他のサイトでも芋づる式に不正アクセス(パスワードリスト攻撃)を許してしまう事態を回避できる。

各サイトごとにパスワードを設定すると、意外なメリットが出てくる。

それは、万一パスワードが漏洩した際、どのサイトから漏れたのかが分かるようになる点。

以前パスワードが本文に記載された脅迫メールが送られてきたのだが、逆のその記載パスワードからどのサイトから漏れたのかを知ることができた。
(ただ、当然のごとく、漏洩元は漏洩を否定するのだが・・・・)

パスワード管理ツールのバグで情報が漏洩すると洒落にならないので、自分はセキュリティ企業であるトレンドマイクロ社の「パスワードマネージャー」を使用している。

※月額154円なので、何気に「LastPass」より安かったりする。。。

結構便利だが、若干クセのあるツールで、保存できない形態のパスワード(銀行系にある取引パスワードとか)もあるため、フリーソフトの「ID Manager」をサブで併用している。

2019/09/16

アナログは最大の防御!?


第4次安倍再改造内閣が発足した。

小泉進次郎氏が入閣したり、韓国に対して毅然とした対応を取った河野太郎氏が防衛大臣になったり、ポスト阿部やら対韓(断韓)やらで、マスコミは賑わっているようだ。

そういえば、ふと思ったのだが、新内閣のITやサイバーセキュリティ周りは一体どうなっているのだろうか?

日本は来年オリンピックを控えているにもかかわらず、IT関連大臣は失態続きなのである。

自分の知る限りでは、まずは丸川珠代氏。

当時政府のサイバーセキュリティ戦略本部で副本部長を務め、2020年東京五輪・パラリンピックのサイバーセキュリティー対策を担っていたが、2017年2月上旬に公式サイトがハッキングされ、サイト改竄されるという失態を犯した。

当時の記事はコチラ

次が、桜田義孝氏。

国会の答弁で信じられない位のIT無知っぷりを披露し、最後は失言で失脚。

国会でサイバーセキュリティを担当する大臣が「自分でパソコンを打つということはありません」という発言には結構度肝を抜かれた。世界中からもかなり馬鹿にされたと記憶している。

当時の国会答弁(抜粋)のメモはコチラ

んで、満を持して今回の内閣改造でIT担当大臣に就任したのが、竹本直一氏(78)。

どんな人かというと、「日本の印章制度・文化を守る議員連盟(通称:はんこ議連)」の会長さん。

ちなみに、台湾では38歳の天才プログラマーがIT担当大臣を務めているらしい。

CIOやCISO経験者ではなく、はんこ議連の会長さんに日本のITを担わせるのは、安倍首相の戦略なのだろうか?



2019/09/15

国内線搭乗後にやらなければいけない事(スカイペソ ニッポン500マイルキャンペーン)


大阪から東京に帰ってきました。

国内線の飛行機に乗ったら必ずやらないといけないことがあります。

それが、デルタ航空のニッポン500マイルキャンペーン。

デルタ航空はスカイチームというアライアンスに属しています。

ところが、日本にはこのアライアンスに属する航空会社が無く(JALはワンワールド、ANAはスターアライアンスに加盟)、日本国内では孤立無援のデルタ航空が独自で日本向けキャンペーンを展開しています。

ちなみに上限があり、一般会員は最大10フライト分(合計5,000マイル)まで、メダリオン会員は、最大40フライト分(合計20,000マイル)まで獲得可能。

ちなみに、デルタスカイマイルは、通称「スカイペソ」と揶揄されており、1マイル当たりの価値が非常に低いマイレージサービスとして知られています。

特典航空券の必要マイル数も残席に応じた変動制でレートが存在しないのですが、東南アジア圏のビジネスクラス航空券で片道約50,000マイルくらいな感じです。

※Aviosと比較すると10,000マイル以上高いです。
※A3のMiles+Bonusと比較すると20,000マイル以上高いです。
※アラスカ航空の裏ワザと比較すると30,000マイル以上高いです。

つまり、スカイペソの1マイルはそれだけ価値が低いのです。

しかし、タダでもらえるものはもらっておきましょう。

デルタ航空はマイルの有効期限が無いため、のんびり気長に貯められます。

10年続ければ、東南アジア圏のビジネスクラス片道航空券に化けます。

制度改悪が無ければの話ですが・・・・

ちなみに今年の正月に、GAのCGK-KIX間のビジネスクラス特典航空券の交換に成功しました。

スカイペソはマイルの価値は非常に低いのですが、スカイチームは日本に加盟航空会社が無いことから、比較的マイナーな位置づけとなり、特典航空券の獲得はJALやANAに比べて容易と思われます。

「大阪国際空港」改め、「関西国内空港」に!!


ポイ活が完了し、大阪から東京への帰路。

伊丹空港のJALサクララウンジでのんびりしています。

サクララウンジは今年改装が終わり、ラウンジから飛行機が眺められるようになりました。

B737単体でいるとそうでもないんだけど、B777と並ぶとB777の大きさと、B737の小ささがすごく良く分かる。

ところで、国内線の大阪の空の玄関口である伊丹空港だが、個人的に気に入らないことがある。

伊丹空港の正式名称は大阪国際空港(Osaka International Airport)である。

この名前を聞けば、当然国際線が就航していることをイメージするのだが、ご存知の通り、国際線は就航していない(大阪のG20でエアフォースワンが来たのは例外として)

国際線が就航していないのに国際空港を名乗るのは詐欺なのではなかろうか?

気に入らないついでにもう一言いうと、大阪国際空港と言いつつも、実際は大阪府豊中市、同池田市、兵庫県伊丹市にまたがる空港である。

略称の伊丹空港の「伊丹」は大阪ではなく、兵庫県なのである。

うーん。

昔の常磐線位ややこしいぞ。

※昔の常磐線は、各駅停車は千代田線との直通電車を指す全く別の線路を走る電車と、普通列車という茨城の奥地や福島まで行く長距離電車と、快速列車という普通列車と同じ駅に止まるくせに取手止まりの短距離電車があった。

話がそれてしまったが、大阪国際空港は名称が詐欺なので改めるべきである。

勝手ながら、新名称を考えてみた。

・伊丹空港(Itami Airport)
 
 まんまだけど、略称をそのまま正式名称にしてしまうのはありかと。嘘もないし。
 あと、空港コード(ITM)的にも違和感無い

・兵阪空港(Hyosaka Airport)

 立地上は兵庫と大阪にあるので、ちょっと洒落て「ひょーさかくうこう」ってどうだろう。音的にも悪くないし。

・関西国内空港(Kansai Domestic Airport)

 日本語的にはダサイけど、外国人的には分かりやすい。あと、関西国際空港が国際線メインに対して、国内線メインというのが分かりやすく、シンプルではあると思う。

関空も伊丹も運営会社が同じなので「関西国内空港」でいいんじゃね。



コストダウンのつなぎ売り


「つなぎ売り」と聞いて最初に思い浮かぶのは株主優待だ。

株主優待獲得のため現物株を調達するが、価格下落で株主優待以上に損失を出してしまっては意味がない。

そこで、株主優待用に現物株をロングで持つが、価格下落に備えて信用取引でショート(空売り)でも持つ。

そうすると、価格の上下に左右されず、諸々の手数料だけで株主優待の獲得が可能となる。

今日、保有銘柄のコストダウンの観点で行う「つなぎ売り」があることを知った。

これ、まず、株式の長期保有戦略であることが前提。

自分は長期保有戦略はかなり縁のある銘柄に対してしかせず、保有は1銘柄のみ。

理屈は至ってシンプルで、保有している現物株はそのままホールドしつつ、株価下落の局面で空売りを仕掛け、底値になったら手仕舞をする。

空売りの利益と現物株の調達価格を相殺することで、現物株の購入価格を下げるということである。

この先は心理的な話になる気がするが、もし、現物株の購入価格を0円とすることができれば(=購入した現物株が調達時よりかなり値を下げているということになるが・・・)、その先はいくら値が下がろうが、安心して保有できるのではないだろうか?

右肩上がりのアメリカ株ではできない、日本株ならではの手法だな。うん。

2019/09/14

2019年9月ポイ活の旅


今週末は3連休。

だからというわけではないのですが、ちょっと大阪に行ってきます。

目的は2つ。

小次郎講師の定例セミナーがあるのと、マイル活動。

今回のマイル活動はロケットマイルを使った、間接的なマイル購入です。

ロケットマイルはホテル予約サイトなのですが、上手く使うと1マイル単価2円程度で間接的にバイマイルできます。

ロケットマイルを使った活動は、Heathrow Rewards⇒A3マイル⇒TGビジネスクラス航空券とすることを目論んでいます。

※ロケットマイルから直接A3マイルも可能ですが、ちょっと狙いがあってHearthrow Rewardsを経由しています。

シンプルにバイマイルできれば話は早いのですが、ホテル予約サイトなので、ホテルに宿泊しなければなりません。

そこで、小次郎講師の定例セミナーと合わせて大阪旅行と相成りました。

それでは皆様、よい3連休を!

2019/09/13

アラスカ航空 バイマイルで最大50%ボーナスキャンペーン


アラスカ航空でバイマイルすると最大50%分のボーナスマイルがもらえるキャンペーンやっています。

アラスカ航空は日本には就航していませんが、JALと提携しているため、アラスカ航空のマイルでJALの特典航空券をゲットすることができます。

個人的なマイル戦略は下記の通り

・JALマイル:陸マイル活動+フライトマイルで貯めるのが基本。3年周期でワンワールドアライアンス特典航空券に交換して長距離ビジネスクラスを楽しむ。

・Avios:バイマイル中心。JAL国内線特典航空券に交換して、国内移動に活用。

・アラスカ航空マイレージプラン:バイマイル中心。JAL中距離国際線のエコノミークラス特典航空券に交換して東南アジア旅行に活用。

今回のキャンペーンは下記の通り。
40,000マイル以上買うと50%ボーナス(20,000マイル)がもらえる。

Buy 10,000 – 19,000 miles, get a 20% bonus
Buy 20,000 – 39,000 miles, get a 35% bonus
Buy 40,000 – 60,000 miles, get a 50% bonus

んで、40,000マイル(ボーナスマイル込みで60,000マイル)買うと幾らになるかというと、

本日のレート1USD=108JPYとして、

1,182.50USD=127,816JPY(@2.13)

うーん。仕掛けがでかすぎる。。。

裏技活用時に最低限必要となる15,000マイル(購入13,000マイル+ボーナス2,600マイル)買うと幾らになるかというと、

384.31USD=41,541JPY(@2.66)

単価は悪いけど、個人的にはここかなー。

うーん。悩む。。。

2019/09/12

ローカルプロキシツール Burp Suite

Google ChromeでF12キーを押すとデベロッパーツールが利用できる。

たいていのWebサイトであれば、ChromeのデベロッパーツールでリクエストヘッダやCookieの情報が見れるのだが、今日はちと困ったことが起きた。

とあるサイトのログイン後のリクエストヘッダを見たかったのだが、そのサイトはログインすると新規ウィンドウが立ち上がってしまう。

Chromeデベロッパーツールは「今」開いているウィンドウ(タブ)に対しての情報を表示してくれるのだが、新規ウィンドウで開かれてしまうと情報が見られない。

当然新規ウィンドウに対してF12キーを押せば、その画面のデベロッパーツールが出てくるのだが、肝心な情報は既に流れてしまって見れない。

そこで登場するのがプロキシツールとなる。

プロキシツールはWebサーバとブラウザ間の通信内容を確認するのに使うが、このようなツールを使えば、「新規ウィンドウが開いて・・・」みたいなことは無く、すべての通信を漏れなく傍受することができる。

入手先はコチラ

2019/09/11

頑張れ!楽天モバイル


YouTubeのテレ東NEWSで楽天モバイルの記者会見やってた。

テレ東NEWSは記者会見とか全編残してくれるので、大変助かる。

10月1日からパイロットサービスっぽいことを始めるらしい。

しかも2020年3月末まで無料らしい。

端末ラインナップを見ると、僕が大好きなXPERIAもある。


しかも、楽天モバイルの端末は「落書き」が無い。

上の写真を拡大してみてほしいのだが、例えば、左側の端末には、

「docomo」という落書きが本体に刻み込まれている。

僕は現在MVNOを使っており、XPERIAを使っているのだが、

端末本体に

docomo

という落書きが刻み込まれており、非常に嫌なのだ。

一時期海外モデルに切り替えることも考えたのだが、自身の生活がおサイフケータイ機能に大きく依存してしまっているため、Felica搭載は必須なのだ。

しかし、おサイフケータイは日本独自のガラパゴス機能のため、海外モデルにFelicaは搭載されていないのである。

そんなわけで仕方なく落書きが刻み込まれたXPERIAを利用していたのだが、落書きのない「キレイ」なXPERIAが使えるだけでも楽天モバイルを使う価値があるような気がしてきた。

10月からのパイロットサービスに応募してみようかな。

頑張れ!楽天モバイル

2019/09/10

Aviosを使ったJAL国内線の予約が330日前から可能になった件


本日2019年9月10日より、JAL国内線が330日前から予約可能になりました。

この影響(!?)を受け、Aviosを使ったJAL国内線の予約も330日前から可能になっているようです。

その前まではと言うと、60日前からの予約が可能となっていました。

実際に試してみると、約70日後である2019年12月21日の羽田~伊丹間が予約可能になっていました。

残念ながら自分が乗りたい時間の便が無いため、この日は有償航空券になりそう(´;ω;`)ウゥゥ

自分は結構前もって計画立てる派なので、330日前から予約が可能になっている点は助かる。

とはいえ、Aviosを使ったJAL国内線の予約は高頻度でルールが変わるので、柔軟さが必要です。

2019/09/09

脱社畜に向けた発想転換


台風15号が通過した翌日、交通機関は大混乱となった。

特に千葉県は影響が大きかったらしい。

JRの駅では入場規制がかかり、東京ディズニーランド顔負けの大行列になっていたようである。

2kmの行列はディズニーランドでも見れないのではなかろうか。

JRも航空会社の上級会員みたいなの作って、上級会員は優先的に駅と列車に乗れるとかしたら面白いのに。

ちょっと脱線したが、この光景を見て、依然として会社に出社するワークスタイルが圧倒的多数なんだと感じた。

IT技術が進化して、技術的には在宅ワークは可能なのだが、人事制度が追い付いていないのだろうか。

昨日参加したマネフェスで、藤巻健史さんが、日本はGDPが長年横ばいになっていると話していたが、こういうのがその典型なのだろうか。

こういう自分も今日は無難に出社してしまったが、駅で2キロの行列を見かけたら「今日は出社せず、在宅ワーク」とか、「今日は休み」とかいう決断を下せる男になりたい!




2019/09/07

マネフェス2019(第10回 世界の資産運用フェア)


勝手に自分が師匠としている内藤忍さん主催(!?)のセミナーである、マネフェス2019(第10回 世界の資産運用フェア)に参加してきた。

全てのセッションに内藤忍さんがモデレーターとして登壇し、いろいろな投資商品のメリットデメリットをオープンにしてくれるので、投資フェアの中ではかなり好きな部類に入っています。

写真は藤巻健史さんとの対談(それにしても、藤巻さん活舌悪かった・・・・)

不動産投資が多く、仕掛ける金額がそれなりにでかいので、このセミナーを通じてさっそく投資というのはなかなかできないのだが(注:ビビっているわけではなく、既に与信枠をフルに使いきって投資活動しているので、投資余力がないのです・・・)、リスク資産に対する考え方を復習するには非常に良い機会なので、ほぼ毎回参加している。

内藤忍さんは10年前に知り、当時からアセットアロケーションを意識した投資を推奨していた。

今回、参加者特典として「お金の増やし方ロードマップ」なる冊子を頂いた。

不動産投資が中心となる本セミナーにおいても、アセットアロケーションを意識した分散投資がベースになっていることを確認でき、何となく安心した。

投資の初心者はまず投資信託の積み立てから始まり、次のステップとして不動産投資にチャレンジ(「お金を借りる力」を活用するのがポイント)とのこと。

ちなみに、「お金を借りる力」は主に会社員が使うことができ、サラリーマンの数少ないメリットの一つです(ただし年収500万円以上無いと「お金を借りる力」は発揮できません・・・・)

圧倒的大多数の人はこの借りる力を、住宅ローンという債務の取得に充てているのですが・・・・。

ちなみに、投資信託~不動産投資のステップアップの流れ、あまり意識していなかったのですが、自分も同じ道を歩んでいました。

2007年頃から投資信託の積み立て開始。

2013年から不動産投資にチャレンジ。(最初の購入物件が新築だったのが汚点ですが・・・)

内藤忍さん、ワイン投資とか現代アート投資とか、たまにぶっ飛んだ方向に行ってしまいますが、個人的には師事するに資する方と思っています。

次回は2020年2月開催。

とりあえず次回も参加する予定。



2019/08/31

クラウドサービスのリスク


2019年8月23日にAmazon Web Services(AWS)で大規模障害が発生しました。

個人的には「ついにやっちまったか」という感じ。

クラウドサービスのメリットは、ITシステムを自社で運用する必要がなくなるのがメリット。

一方でリスクとしては下記がある。

1.預けたデータが第三者に漏洩しないか

2.障害発生時は、自力での障害復旧ができない(神に祈るしかない)

1.はスノーデン氏の功績により、少なくとも当局には漏洩することが判明している。

よって、当局に漏れるだけであれば構わないと腹をくくれるのであれば、問題ない。

逆にそれを受け入れられないのであれば、ITシステムはオンプレミスにして自社運用をしていく必要がある。

2.は正直クラウドサービスが今後普及していけるかのカギになると思っていた。

今回のAWSの障害で見事に実証されたが、クラウドサービスで障害が発生してしまうと、管理者は何もできず、ただ指をくわえて復旧を待つだけとなる。

上司から状況報告や復旧目途を求められても「わかりません」という、マヌケな回答しかできなくなってしまうのである。

個人的には、クラウドサービスが高い可用性を維持し続ける限り、クラウド移行は進むと考えていた。

しかし、今回の様に、クラウドサービス側で派手に障害を起こされてしまうと、利用者側はその前提でITシステムの運用を考え直さなければならない。

クラウドサービスもたまに派手な障害が起きることを踏まえた、選択肢は下記と考える。

選択1.クラウドサービスでもたまに障害が起きるものとして受け入れる。

選択2.障害発生時に状況把握ができない点や、自力による復旧活動ができない点をリスクとしてとらえ、オンプレミスの運用に戻す

選択3.障害発生時のデメリットはあるものの、クラウドサービスならではのメリットもある。デメリットを削減しつつメリットを享受するため、ハイブリッドクラウド(半分クラウド、半分オンプレミス)構成にする。

どれを選択するかは、業種業態やシステムに求める可用性によって異なると思う。

重要インフラ事業領域(「情報通信」、「金融」、「航空」、「空港」、「鉄道」、「電力」、「ガス」、「政府・行政サービス(地方公共団体を含む)」、「医療」、「水道」、「物流」、「化学」、「クレジット」及び「石油」の14分野)については、選択肢2か、選択肢3を選ぶべきだと思う。

ちなみに、選択肢4として、別々のクラウドサービスを併用するハイブリッドクラウド(例えば、AWSとAzureにそれぞれ構築して冗長化する)も考えてみたが、IaaSってそれなりに管理が複雑であり、IaaSそのものは利用を1つに絞って使うべきというのが僕の意見。

ちなみにクラウド活用が進んでいる米国では、IaaSの管理設定の不備による情報漏洩が相次いでいる。

事件1.Verizon加入者1400万人の個人情報、業務委託先が「無防備状態」でクラウドに保存

事件2.ダウジョーンズ、400万人の個人情報がアクセス可能な状態で公開

事件3.WWE、300万件の個人情報がアクセス可能な状態で公開

事件4.米陸軍の極秘情報がAWSで公開状態だったことが発覚

2019/08/30

WAFがあればパッチ適用はいらない!?


WAF(Web Application Firewall)の導入を検討する際、WAFの必要性を説いていく過程で、いくつかの壁に当たる。

その前にWAFとはという話から。

WAFとは、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティ対策の一つ。

WAFを導入するウェブサイト運営者は、検出パターンを設定することで、ウェブサイトとウェブサイト利用者との間の通信の内容を機械的に検査する。

WAFを使用することで、以下の効果が期待できる。

1.脆弱性を悪用した攻撃からウェブアプリケーションを防御する。

2.脆弱性を悪用した攻撃を検出する。

3.複数のウェブアプリケーションへの攻撃をまとめて防御する。

 ※出典:ウィキペディア

んで、WAFの必要性を説いていく中で、特に経営層レベルから疑問を投げかけられるのが下記のようなケース

■ケース1.「F/Wを入れているのになぜWAFが必要なのだ?」

FireWallに加えて、Web Application Firewallを入れる場合、(というかほとんどがそのケースだと思う)この説明を(お母さんでも理解できるように)分かりやすく説明しなければならない。

これは、車の検問で例えるのであれば、下記のような違いになると思うのだが、いかがだろう?

F/W:車のナンバープレートや運転手の顔、車の形状、行き先で良し悪しを判断

WAF:外見だけではなく、中身(乗員/乗客、荷物とか)も見て判断

■ケース2.「WAFを入れればパッチ適用は不要になるのではないのか?」

これ、自分の中で最近まで困っていたケース。

当然べき論としてはWAFは暫定対応であり、システムの脆弱性なのだから、恒久対策としてはシステム側で対応(=パッチ適用)をするのが基本である。

しかし、「WAFで止まっているんだからいーじゃん」と言われると、正直反論が難しい。実際に実務的にはWAFでの対策が事実上の恒久対応になっているところもあるようだ。

そんな中で反論できるネタを用意してみた。

[反論]WAFの設定ミスで攻撃を許容してしまうリスク

脆弱性が出た当初は意識してWAFで止められていたとしても、何かのタイミングでWAFの防御設定が外れ、攻撃を受けて、情報漏洩してしまったケースが存在する

詳細はこちら

WAFも所詮は人が運用するものなので、当然オペミスのリスクが出てくる。

なので、脆弱性が出た当初はWAFで暫定的にしのぐものの、恒久的にはシステムにパッチ適用を行い、根本解決を行わなければならないのだ。

WAFそのものが設定ミスや、何かの拍子で防御設定が外れ、結果的にWAFをスルーする(攻撃を受けてしまう)ケースは、想像できなかった。

発想力が豊かな人間になりたい今日この頃。

2019/08/29

スマート家電は買わない


今日はINTERNET Watchの記事から。

ネットにつなげて利用するスマート家電は、パソコンやスマホ同様にサイバー攻撃に注意が必要。

例えば、スマートスピーカーの場合、攻撃を受けた結果、再生履歴、利用しているストリーミングサービス、そのサービスに登録しているメールアドレスなどを、インターネットを通して盗み取られてしまう可能性があります。

デバイスがネットワークに繋がることにより、リモートで操作が出来たり、インターネットのサービスを使えるようになるので、とても便利です。

一方で、デバイスがネットワークに繋がるということは、悪意の第三者とも繋がることになるというデメリットも認識しなければならない。

この認識を持つと、

「家電をスマホで遠隔操作できます」

とかのうたい文句を聞いても、

な~んにも響かない。嬉しくない。むしろイラつく。

だって、

「家電を(自分の)スマホで遠隔操作できる」

ってことは、

「家電を(悪い人から)インターネット(経由)で遠隔操作される」

というのと同義ですからね。

ちなみに、コーヒーメーカーが不正アクセスを受ける事例が既にあったりします。

自分はスマート家電は買わないです。

シンプル イズ ベスト

ということで。

2019/08/28

お金持ちの発想


自分は2007年より投資の世界に足を踏み入れました。

きっかけは「年金制度は信用できないから」と、「貯金だけではどう考えても老後破綻するから」

リスクを取ってでも資産運用しないと未来は無く、まさに、「戦わざるも亡国、戦うも亡国」的な感じ・・・。

当時は仕事の関係でソニーと縁があり、そのソニーと縁があったマネックス証券に口座を開き、そのマネックス証券のセミナー(ワンコインセミナー)の縁で内藤忍さんに出会い、投資デビューを飾りました。

このセミナー、ワンコイン言っているだけあって、有料で500円取られたのですが、今までの人生の中で最も価値のある500円だったと思ってる。

本当に価値のあるセミナーはやはり有料でやるべきだな、うん。

マネックス証券と内藤忍さんには今でも感謝しており、内藤忍さんについては勝手に投資の師匠として崇拝しています。

ちなみに現在は小次郎講師のもとに弟子入りして、資産家を目指して勉強中です。

デビュー当初は投資信託がメインでしたが、アセットアロケーションを意識しつつ、外国債券、外国株、仮想通貨、不動産投資FX(自動売買)、株(信用取引)等、様々なものに挑戦し、投資手法と資産の拡大に邁進しています。

現在はまだ「マス層」ですが、再来年くらいには「アッパーマス層」に昇格できそうな感じ(負債も含めた総資産でカウントすると「準富裕層」まで行けるんだけどな)

そんな、勝手に投資の師匠として崇拝している内藤忍さんのブログに下記のような記事があった。

--
ある程度以上の資産や収入を得るようになると、追加で得られるお金にはあまり価値が無くなってきます。年収1億円の人にとっては、年収が倍になっても、2倍豊かになったとは感じません。そのレベルになると、お金よりも大切なものができるようになるのです。
--

そういえば、2018年に参加したお金のEXPOでも、bank光本さんが講演でお金をばらまいてみたいみたいな話があって、「金持ちの発想は違うなー」って思ったけど、ちょっとそれに近いものを感じた。

年収1億円は無理だけど、不労所得で月収40万円はガチで狙いたい。

働かなくても食べていけるようになり、労働とお金の関係が切り離されると、自分もお金よりも大切なものができるようになるのだろうか・・・。

答えは、「富裕層」にたどり着いたときに待っている!!

2019/08/27

情報セキュリティ白書2019


IPAから情報セキュリティ白書がリリースされていたので、読んでみた。

ボリュームが多いので、とりあえず今回はDDoS周りを・・・。

来年は2020年東京オリンピック/パラリンピックの年だ。

オリンピック開催国には漏れなくDDoS攻撃がセットでついてくるので、ちょっと情報のキャッチアップを・・・・。

■2018年度のDDoS事例

DDoS攻撃ってオリンピックが特に多くなるイメージだけど、実際には毎年どこかの企業が攻撃に晒されている。

2016年には日産自動車がかなり大きい規模のDDoS攻撃を受けていた。

2018年度の被害事例は大きく2つ

株式会社スクウェア・エニックスが運営するオンラインゲーム「FINAL FANTASY XIV」

合同会社 DMM.com が運営するゲーム「艦隊これくしょん」

■攻撃手口

DDoS攻撃は、主にボットネット、IoT ボットを用いる手口や、リフレクター攻撃と呼ばれるサーバの設定不備を悪用して、攻撃通信を増幅させる手口等が挙げられる。

また、上記の攻撃手法を併用されることも多い。

更に、攻撃効果や状況に応じて、有効な手口に絞った攻撃に切り替える手法もあり、これはマルチベクトル型攻撃と言われ、現在の主流となっている。

マルチベクトル型攻撃のイメージ(白書より拝借)

■対策

白書に記載の対策は下記の通りだが、正直決定打になるようなものは見当たらない感じ。

・アクセスログや通信ログ等を確認し、攻撃が特定のIPアドレスから行われていると判断できる場合は、当該 IPアドレスからのアクセスを遮断する。
 ⇒DDoS攻撃なので、特定のIPアドレスから行われているケースは少ない(DDoSだけに、200IP位から分散攻撃されます)

・国内からのアクセスを主に想定しているサイトでは、海外の IPアドレスからのアクセスを一時的に遮断することも検討する。
 ⇒国内のIPアドレス(乗っ取りとか偽装とか)からDDoS攻撃されるとあまり意味がない。

・攻撃者が攻撃元の IP アドレスや攻撃方法を定期的に変更してくる場合があるため、継続して監視を行い、攻撃方法に合わせた対策を実施する。
 ⇒ただの精神論だよ。。。

・組織内で対処できない程大規模な攻撃や執拗な攻撃を受けている場合は、ISPとの連携や警察等への通報を実施する。
 ⇒ISPとの連携はアリ。
  警察への連携は正直不要。いろいろ聞かれるけど、助けてくれない。

・攻撃の頻度や、攻撃対象サイトの重要性によっては、DDoS 対策製品や ISP 事業者が提供するDDoS対策サービスの利用を検討する。
 ⇒結局この辺の検討が一番妥当な気がする。
  金がかかるけど、モノを購入するのではなく、サービスを利用する形態であれば、導入や廃止は比較的簡単なので、オリンピック期間中だけ利用とか、来年度だけ利用とかの検討ができると思う。

【管理人参照用】
情報セキュリティ白書2019


2019/08/26

IPO抽選で本当に公平な証券会社は?


数年前からIPO投資にチャレンジしています。

IPOとは、「Initial(最初の)Public(公開の)Offering(売り物)」の略で、未上場企業が、新規に株式を証券取引所に上場し、投資家に株式を取得させることを言います。

株式上場に際し、通常は新たに株式が公募されたり、上場前に株主が保有している株式が売り出されます。

これら株式を証券会社を通じて投資家へ配分することをIPOといいます。

つまり、値上がりを期待できる株式を証券会社から配分されれば、利益を得られるチャンスということに。

IPOは各ネット証券で取り扱っていますが、制度は各社異なっています。

私が主に使っているのは下記2社。

■マネックス証券:完全抽選方式

■SBI証券:資金比例抽選&チャレンジポイント制度

私はもともとマネックス証券のユーザーだったので、IPOも最初はマネックス証券をメインにしていました。

しかし、やれどもやれども当選しない・・・・・。

一方のSBI証券はポイント制度が存在しており、抽選して外れても1ポイントがもらえ、次回抽選時にそのポイントを使うと当選確率が上がるという仕組みになっていました。

(ちなみに、当選するには300ポイント位必要らしい)

ここでふとした疑問が。

一体どっちの制度のほうが公平なんだろう?

IPOの経験がない人が聞くとマネックス証券のほうが公平の様に聞こえますが、IPO応募を経験すると、SBI証券のほうが平等な感じがしてきます。

理由は、マネックスの完全抽選方式は毎回ゼロリセットなので、外れ続けると心が折れます。

SBI証券は外れても、もらえるポイントが「いつかは当選する」というモチベーションに繋がります。

そんなわけで、IPOはSBI証券がおススメです。


2019/08/25

不正プログラム(不審ファイル)の調査で使えるツール(Autoruns)


昔、インシデント調査で有用なツールを教えてもらったことがあるので、時間を見つけて残していきたい。

まず最初はAutoruns

■特徴

・Windowsの起動時に自動的に実行するプログラムの一覧を表示可能

・Sysinternal Toolsに同梱

・autoruns.exe と autorunsc.exeの2つのファイルが存在し、

 autoruns.exeはGUIのツール、

 autorunsc.exeはコマンドラインツール

■主な利用方法

「マルウェアは自動起動設定をどこかに設定しているはず」という仮説をもとに、マルウェアファイルを探索する場合に活用

■画面レイアウト

■簡単なポイント

・ピンク色に色付けられたところをまずはチェックしていく感じ

・Publisherが空欄のファイルは怪しい率アップ

・フィルタ設定(Optionsメニューから設定)が可能

 ⇒Hide Microsoft Entries のチェックを外すことで、発行者が「Microsoft Corporation」になっているエントリも表示可能

・気になるレコードで右クリックし、[Jump to Image]をクリックすると、該当ファイルのパスに移動できます。

・tempフォルダ等一時保管用のフォルダにある実行ファイルは怪しい率アップ

■注意点

・Publisherの情報は編集可能であるため、偽造されている可能性も考慮に入れて使う必要がある

■入手

本記事投稿時点での最新版はここからも入手できます。

バックアップはこちら

2019/08/23

セキュリティをしっかりやっている企業の見分け方


以前の記事で、売上高に占めるIT投資の比率が1%を切っている企業は、IT投資を怠っており、IT的にはヤバイ旨の記事を書いた。

売上高に占めるIT投資の比率については、IR情報等からある程度調べることができる。

では、セキュリティをしっかりやっている企業はどうやって見分ければよいか。

今日ふと思った方法の一つがNCA(日本シーサート協議会)加盟有無。

名ばかり会員の可能性も無いことは無いが、加盟しているということは、企業内にインシデントレスポンスを対応する人がいるということになるはずで、一つの判断基準になるのではなかろうか。

試しに仮想通貨交換業者の加盟状況をチェックしてみた。

DMMビットコイン:たぶん加盟(DMM.CSIRT)

GMOコイン:たぶん加盟(GMO 3S)

ビットフライヤー未加盟

コインチェック:加盟(CC-CSIRT)

ビットバンク:加盟(bitbank-sirt)

フォビ仮想通貨取引所未加盟

Zaif未加盟

Liquid未加盟

フィスコ仮想通貨取引所未加盟

VCTRADE未加盟

BITPoint未加盟

こういう視点で取引先を選ぶのも良いかもって思った。

2019/08/22

新生銀行撤退を考える


10年くらい前から、メインバンクとして新生銀行を使っています。

当時は下記のようなメリットがあって、なかなか使い勝手の良い銀行でした。

メリット1:コンビニATMや都市銀行での出金手数料無料

メリット2:振込手数料優遇(新生ゴールドの場合、5回まで無料)

メリット3:キャッシュカードで海外ATMでも引き出し可能

メリット4:コールセンターが24時間営業

メリット5:インターネットバンキングの同一画面でキャッシング可能

新生ゴールドになると、振込手数料の優遇や定期預金の金利優遇などが受けられるので、新生ゴールドになって長いこと使っていました。

しかし、改悪の波が押し寄せます。

まず、

[改悪1.インターネットバンキングの同一画面でキャッシング不可]

システム改修に伴い、インターフェースが分かれて(別システムになって)しまいました。

別のシステムになってしまったら、別のほかのキャッシングサービスでもよいわけで、新生銀行でキャッシングする必要は無くなり、めでたく解約となりました。

次が、

[改悪2.コールセンター24時間営業終了]

新生銀行は、定期預金の途中解約等は電話で行う必要があります。

しかし、当時の新生銀行コールセンターは24時間営業だったので、この不便さはほぼ感じることはありませんでした。しかし、いつの間にか営業時間が短縮され、電話連絡が超絶な苦痛行為に変わりました。

その次が、

[改悪3.海外ATM出金サービス終了]

新生銀行のキャッシュカードで海外ATMで現地通貨が出金できるというのは非常に魅力的でした。

(その後、クレジットカードの海外キャッシングのほうがレートが良いことが分かり、使わなくなったのですが・・・)

改悪続きで申し訳なく思ったのか、サービス強化として打ち出したものの個人的にはガッカリ度の向上に繋がったものが次、

[改悪4.Tポイントとの連携]

自分、マイレージはJAL派のため、JALに移行可能なポイントしか貯めていないのです。

で、TポイントはJALマイレージに移行することができないため、個人的には全く価値がありません。

ポイントサービスって顧客の囲い込みに利用するものですが、私に関しては全くの逆効果で、むしろ新生銀行を使うモチベーションが下がりました。

それでも新生ゴールド会員なので、振込手数料優遇と、ATM出金手数料無料は残っており、今日まで頑張って使い続けてまいりました。

しかーし。

先日ふとしたことで、ふつーに日々使うだけでポイントがたまり、そのポイントがJALのマイレージに移行できるスバラシイ銀行が見つかりました。

給与振込先の変更とか、申請ゴールド維持のために預けている外貨定期預金の解約とか(円高なので多分損失発生ですわ(TωT))、メインバンクの移行は結構面倒くさいのだけれども、これ以上無駄なポイントをプレゼントする銀行を使っていても仕方ないかと。

ありがとう新生銀行。
さようなら新生銀行。