2019/10/17

コインチェックの貸仮想通貨サービス

アセットアロケーションの一環で少しだけ仮想通貨を保有しています。(保有比率は諸説あるけど、個人的には現在コモディティと同じ扱いで全体の10%未満にしている)

僕の仮想通貨との出会いのきっかけは、実は、アセットアロケーションの師匠でもある内藤忍さんだったりする。

2014年に、内藤忍さん共催の仮想通貨(リップル)セミナーがありました。

有償のセミナーだったんだけど、払ったお金分リップルがもらえる(確か1,500円くらい)という特典付だった。

その時貰ったリップルは気にも留めていなかったのだが、当時のウォレットであった、リップルトレードが2016年に終了となり、リップルのサルベージを行ったところ、80,000円(約40倍)の価値になっていた。

リップルトレードからのサルベージに相当苦労したこともあり、リップルを見限って全額をビットコインに変えました。

2017年後半から空前の仮想通貨(現 暗号資産)ブームが始まり、保有するビットコインの半分をイーサリアムに変え、ICO(Initial Coin Offering:イニシャル・コイン・オファリング)投資にチャレンジしたが、一つとしてヒットすることなく、投下したイーサリアムはほぼ壊滅してしまった。。。

で、難を逃れた残り半分のビットコインは現在も継続保有している。

あまりリスキーな投資をするつもりはないのだが、暗号資産は金と同じで保有するだけでは資産が増えない。

そこで登場するのが貸仮想通貨(レンディング)サービスである。

貸仮想通貨は、要は預貯金と同じで、預けて満期になると金利がついて返ってくるというもの。

コインチェックが、結構前からこの貸仮想通貨のサービスを行っている。

ネム流出事件が起きてからは、会社存続の危機もあり、怖くて預ける気にもならなかったが、マネックスグループ傘下となったことから、安心感が増し、5月に申し込みを行った。

人気で殺到しているのか、運用難で受付できない状態なのか、5ヶ月たっても運用が開始されない。


コールドウォレットに入れたところで、資産は増えないので、気長に待ちます。。。

気長に待つけど、不正アクセスによる流出だけはまじ勘弁。

2019/10/15

COMODO社の情報流出事故

米国にCOMODOという会社がある。

TLSサーバー証明書を発行する認証局事業などを手掛けるセキュリティー企業です。

「コドモ」でも「ドコモ」でもなく、「コモド」です。

このセキュリティー企業が運営するフォーラム(掲示板サイト)が不正アクセスを受け、ユーザーの名前や電子メールアドレスなど、約24万5000人の個人情報が流出する事件が起きました。

【原因】
フォーラムで使用している掲示板構築ソフトvBulletinの脆弱性。

2019年9月23日に見つかった脆弱性で、ソフトベンダーから9月25日に修正プログラムが提供。

不正アクセスは9月29日に受けているので、修正プログラムの適用が遅れたために被害に遭った。

【想定被害額】
想定損害賠償額シミュレータの試算結果

・漏洩情報:約24万5000件

・漏洩情報:氏名、メールアドレス

・損害賠償額試算:2,940,000,000円(29億4,000万円)

【所感】

まともにシステム運用しているところであれば、通常検証環境に修正プログラムを適用し、テストを行って数日運用する。

んで、問題なければ本番環境に適用する流れになる。

そうしないと、システムそのものの安定運用が犠牲になってしまうリスクがある。

今回、修正プログラム公開から4日目で攻撃を受けているので、守る側としてはかなりキビシイ時間軸だと思った。

一般企業ならちょっと手に負えない気もする。

セキュリティ企業となると、それでも言い訳は厳しいのかもしれない。

以前マイクソ(マイクロソフトの略)のセキュリティパッチの不具合率を調べたことがあったのだが、セキュリティパッチの3割は不具合を抱えているという結果になった。

それを踏まえるとベンダーがリリースしたパッチを即座に適用するというのは安定稼働の観点からはリスクがある。

一方でパッチを早急に適用しないと、不具合を突いた攻撃を受けることになる。

あ、そこでWAF(Web Application Firewall)の登場となるわけか!

2019/10/13

「パープルリス」と「炭鉱のカナリア」


セキュリティのお勉強で久しぶりに英語の雑誌と格闘した。

よく動物を使った格言のようなものがあります。

ちなみに先週知ったのは、

「炭鉱のカナリア」

これは、何らかの危険が迫っていることを知らせてくれる前兆をいいます。

石炭エネルギーが主力だった時代、多くの炭鉱がありましたが、炭鉱では有毒ガスのリスクと闘いながら働くこととなります。

有毒ガスが発生した場合、人間よりも先にカナリアが察知して鳴き声(さえずり)が止むことから、その昔、炭鉱労働者がカナリアを籠にいれて坑道に入ったことに由来するものです。

で、この「炭鉱のカナリア」は投資の世界でも生きていて、株価の急落や景気変調のリスクを示すシグナルの意味で使われます。

ちなみに、先週TOCOM SQUAREのラジオ公開生放送に参加してきたのだが、「炭鉱のカナリア」のサインとして、ハイイールド債から資金が流出しているという話を聞いた。

世界景気の減速は近づいているのだろうか!?




かなり話がそれたので、「パープルリス」の話に戻る。

”Stop Looking for the Purple Squirrel・・・・”というタイトルの記事を見ていたのだが、google先生に翻訳してもらうと、「紫リスを探すのをやめる・・・・」となった。

「パープルリス」って何やねんと思っていたら、驚いたことにWikipedia先生に解説があった・・・。

【Wikipedia先生解説】
パープルリスは、採用担当者が雇用要件に完全に適合する、適切な教育、経験、資格の範囲を正確に備えた求職者を説明するために使用する用語です。含意は、要件の過剰な仕様が紫色のリスと同じくらい見つけにくい完璧な候補になることです。
----

日本もそうですが、米国もセキュリティ業界は人材難な様で、「パープルリス」を探すのではなく、雇用慣行の改善を図ろうという内容でした。

例えば、

・女性や有色人種の登用促進

 それぞれセキュリティ業界の10%程度しかいないらしい

・求人情報の表現見直し
 
 「野心的」、「支配的」、「自信がある」などの男性に関連する言葉が多いらしい

・教育の重視

 資格を持っている人を前提にするのではなく、採用後トレーニングする前提で考える

米国もオープンなようで、あまりオープンではないのですね・・・。

2019/10/09

スマホ証券「One Tap BUY」のメリットデメリット


One Tap BUYというスマホ証券がある。

個人的にはスマホでオンラインバンキングやオンラインショッピングというのが理解できない世代なのだが、今の若い人はスマホは使うけどパソコンは使わない人のほうが多いらしいので、そういうご時世ということで。

スマホ証券という時点で個人的には残念な感じしかないのだが、米国株投資に関しては、他の大手オンライン証券にはない独特な特徴がある様である。

メリットデメリット等をまとめてみたい。

【メリット】

■小額(千円)から取引出来る

米国株は日本株と違って1株から取引できるが、千円から取引できるというのは初心者に優しい気がする。

■積み立て購入が可能

これ、実はかなり大きいメリット。米国株を積み立て購入できるのはここだけなのではないだろうか。

ドルコスト平均法を活用してコツコツ購入していくことができる。



【デメリット】

■取り扱い銘柄が少ない

■手数料がちょっと高い(大手オンライン証券会社と比較して0.05%割高)

■指値注文とかができない

--

少額から米国株に投資できるのはとても魅力的。

親の管理が前提となるが、未成年でも口座が作れるため、子供の口座を作り、米国株をお年玉としてプレゼントすれば、投資教育にもなるかもしれない。

個人的には同じプレゼントでも、現金を消費するより、米国株でプレゼントしたほうが遥かに精神衛生上良い。

気になった点としては、少額で投資を始めるのはいいとして、出口戦略をどうするかかな。

投資にある程度慣れてスキルアップしてくると、少しでも良い条件で購入したくなってくる。

つまり、指値注文とかを駆使したくなってくるタイミングがいずれやってくることになるが、One Tap BUYは初心者向きゆえ、そのような高度な注文には対応していない。

そうなると、別の証券会社に移行することになるが、その場合の手数料とかってどうなんだろう?

2019/10/08

PaaSとIaaS


恥ずかしながら、PaaSとIaaSの違いを混同していたことが判明したため、再整理。


PaaSとは?

Platform as a Serviceの略。

アプリケーションソフトが稼働するためのデータベースやプログラム実行環境などが提供されるサービス。

プログラムだけを用意すればよいというメリットがある一方、データベースの設定やプログラムの実行環境に制限があるので、開発の自由度は下がる。

インフラから開発する手間を省きたいけれど、ある程度カスタマイズしたいというときに利用するのが良い。

例:Google Apps Engine、Microsoft Azure


IaaSとは?

Infrastructure as a Serviceの略。

情報システムの稼働に必要な仮想サーバやハードディスク、ファイアウォールなどのインフラを、インターネット上のサービスとして提供する形態。

SaaSやPaaSなどと違って自由度が高く、ハードウェアのスペックやOSを好きなように選べる。

その分、OSやハードウェア、ネットワークの知識が必要となり、セキュリティ対策も当然必要。

例:Google Compute Engine、Amazon Elastic Compute Cloud(AWS)

ドキュメントルートに受領ファイルを置かない


保険業界は重要インフラ分野の一つとなり、当然セキュリティ対策にしっかり投資を行っている。

一方で保険業界には大小様々な代理店が存在しており、保険証券を扱う代理店は「セキュリティってな~に~」みたいなところが多く、保険証券のデータの保存先がコンシューマー用のNASであったり、保険の相談申込ページ(Webサーバ)に保険証券をアップロードさせてWebサーバ上に保険証券を保存するというびっくり運用が存在する。

そもそもの話として、今回はWebサーバで実施しておく基本的なセキュリティ対策(apacheベース)を整理しておきたい。

まず、認識しておかないといけないのは、Webサーバをデフォルトの状態で運用することは、「危険」な状態であるということです。

ウェブサーバは通常、インターネット上に配置され不特定多数からのアクセスが発生するため、デフォルトの状態で運用するということは、外出時に自宅に鍵をかけないどころか、ドアを全開放して「外出中です」と張り紙を出して外出するようなものです。

1.ディレクトリ内容一覧表示の無効化

apacheには公開しているディレクトリ内容を一覧表示するディレクトリリスティング機能が実装されています。

本機能が有効になっているディレクトリを表示すると、以下のようなインデックス画面が表示されます。

デフォルトでは、ドキュメントルートでこの機能が有効になっています。

この場合、Webサーバの公開ディレクトリに直接アクセスを行うと、ディレクトリ内に存在するファイルの一覧が表示され、ディレクトリ内のファイルの一覧を取得することが可能です。

つまり、冒頭で話した様な、保険証券を問い合わせフォームに添付してアップロードさせるようなケースの場合、保険証券のデータをこのドキュメントルートに保存すると、保険証券のデータは漏洩します。

ディレクトリでファイルの一覧が表示されることにより、外部に流出する情報として、他に以下のような内容が考えられます。

【ファイル一覧機能により、外部に流出する可能性がある情報】

□公開を意図しないファイル

□バックアップファイル

□一時ファイル

□隠しファイル(ドットで始まるファイル名のファイル)

□ファイルの命名規則

□設定ファイルによるサーバ設定情報

□スクリプトファイルによるサーバ内部処理情報



2.HTTP TRACEメソッドの無効化

まず、そもそもTRACEメソッドとは?から。

HTTP 1.1(RFC2616)で定義されている、8種類のメソッドの一つ。

GET、POST、HEADなどはおなじみのものですが、それ以外にPUT、DELETE、OPTIONS、TRACE、CONNECTの5種があります。

このうち、TRACEメソッドは、HTTPリクエストを「オウム返しに」HTTPレスポンスとして返すもので、以下のようにGET等の代わりにTRACEとしてWebサーバーにリクエストします。
TRACE /auth/index.php HTTP/1.1
Host: example.jp
User-Agent: Mozilla/5.0 (Windows NT 6.0; rv:18.0) Gecko/20100101 Firefox/18.0
Cookie: PHPSESSID=4lel0hml53u2tbhcd9pmo7pkc4
Authorization: Basic eWFtYWRhOnBhc3N3b3Jk
Connection: keep-alive
レスポンスの例を以下に示します。
HTTP/1.1 200 OK
Date: Tue, 22 Jan 2013 13:51:09 GMT
Server: Apache/2.2.14 (Ubuntu)
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: message/http
Content-Length: 198

TRACE /auth/index.php HTTP/1.1
Host: example.jp
User-Agent: Mozilla/5.0 (Windows NT 6.0; rv:18.0) Gecko/20100101 Firefox/18.0
Cookie: PHPSESSID=4lel0hml53u2tbhcd9pmo7pkc4
Authorization: Basic eWFtYWRhOnBhc3N3b3Jk
Connection: keep-alive
で、このTRACEメソッドが有効になっていると、Cross-Site Tracing(XST)攻撃と呼ばれる、XSS(Cross-Site Scripting)とTRACEメソッドを組み合わせた攻撃のリスクが発生する。(詳細はコチラ

そのため、TRACEメソッドを無効にすることでセキュリティを確保します。



3.X-Frame-Optionsヘッダの設定

クリックジャッキング攻撃の対策となるX-Frame-Optionsヘッダを設定します。

クリックジャッキングとは、ユーザが意図しない操作(ボタンやリンクのクリック)を実行させられる攻撃です。
(クリックジャッキングの詳細はコチラ

情報の公開・非公開設定がユーザの意図に反して気づかないうちに変更された結果、情報漏えい事故につながる等の被害が想定されるため、X-Frame-Optionsヘッダを設定します。



4.apache バージョンの非表示化

apacheのバージョン情報を取得することができる設定がデフォルトでは有効になっています。

バージョン情報の表示は直接の脆弱性とは関係ありませんが、利用しているapacheに脆弱性が存在する場合に脆弱性を突いた攻撃等を実施する手がかりとして利用される恐れがあります。

サービスへのアクセス時に表示されるこれらの情報はバナー情報と呼ばれ、バナー情報の隠蔽は攻撃者に攻撃の手がかりを与えないために有用な対策となるため、バナー情報はできる限り非表示とすることでセキュリティを向上できます。



5.SSL/TLSにおける安全性の低い暗号スイートの無効化

サーバ側のSSL/TLS設定において安全性の低い暗号スイート(プロトコル・暗号アルゴリズム、鍵長、ハッシュ関数)をサポートしている場合、安全性の低い暗号スイートが利用されることで、通信内容の盗聴につながる可能性が高まります。

安全性の低いプロトコル・暗号化アルゴリズム、鍵長、ハッシュ関数を無効化し、安全性の高いプロトコル・暗号化アルゴリズム、鍵長、ハッシュ関数のみをサポートすることでセキュリティを確保できます。

一般的に安全性の低い暗号スイートと呼ばれるものは、下記があります。

・MD5

・RC4

・3DES

・SSLv2

・SSLv3



6.SSL/TLSプロトコルのデータ圧縮機能の無効化

SSL/TLSプロトコルのデータ暗号化時の圧縮機能が有効になっている場合、SSL/TLSによって暗号化された通信内容の一部が漏えいする可能性があります。

暗号化前のデータ長(サイズ)の情報からデータ内容の総当たりによる推測が行われた場合、Cookie等のHTTPヘッダの一部が取得される脆弱性が存在するため、SSL/TLSにおけるデータ圧縮処理(Compression)機能は無効化します。

出典:攻撃を受ける前に見直すApacheの基本的なセキュリティ10のポイント

2019/10/07

営業電話撃退法


最近どこかから個人情報が漏れたらしく、不動産営業の電話が会社にかかってくるようになった。

営業電話撃退法を調べていたらいろいろ勉強になったので、ちょっとメモ。

■一般的な営業電話撃退法

まず、「不在」とかでその場をやり過ごすのはNGらしい。

正しい撃退法法は、

1.定番ワード「恐れ入りますが、どのようなご用件でしょうか?」を言う。

営業電話なので、当然営業の話になる。

2.下記のいずれかを言う。

① 「申し訳ありませんが、一切お断りするようにと言われておりますので・・・」
② 「弊社は、新規のお取引を控えさせて頂いております。」
③ 「必要な場合はこちらからお電話しますので、今後のご連絡は不要です。」

終わり。

営業マンは「かしこまりました、失礼いたします。」で終わるらしい。

なるほど。

■不動産投資営業撃退法

不動産投資営業の場合、宅地建物取引業法が絡んでくる。この法律では、宅地建物取引業者(不動産業者)に対し、契約の締結の勧誘をするに際しての「電話による長時間の勧誘その他の私生活または業務の平穏を害するような方法によりその者を困惑させる」行為を禁止しています。

つまり、これをネタに逆に「電話してくるな」と営業にお灸をすえることができる。

ただ、いきなりお灸をすえるのはかわいそうなので、順を追って進めていくこととなる。

【STEP1.注意】

下記2点を伝えます。

1.全く興味がない

2.もう二度と勧誘電話を掛けてこないでほしい

【STEP2.警告】

下記3点を実施します。

3.会社名、代表者名、担当者名、会社の所在地、電話番号、勧誘があった日時をメモ、(勧誘)内容の確認。

 ※偽名名乗っている可能性もあるので、一度折り返しにしたほうが良いかも!

4.宅地建物取引業法違反に当たる勧誘行為であることを指摘する

5.自分に対する勧誘行為を止めないと監督官庁に相談する

【STEP3.タレコミ】

下記2点を実施します。

6.会社名、代表者名、担当者名、会社の所在地、電話番号、勧誘があった日時をメモ、(勧誘)内容の確認。

 ※偽名名乗っている可能性もあるので、一度折り返しにしたほうが良いかも!

7.宅地建物取引業者(不動産業者)が東京都知事免許業者であれば東京都(住宅政策本部)へ連絡。

知っている人だけが救われる日本の支援制度


日本にはお金をもらえる公的制度がいくつかあります。

ちなみにこれらは「困った人」を助ける制度ではありません。

「知っている人」を助ける制度です。

なので、知らなければいつまでたっても給付を受けることはできません。

制度を知っていて行動を起こすことができる人のみを助けてくれます。

行政のサービスは平等なようで平等ではないです。

というわけで、普段からお金がもらえる制度は理解したうえで、条件を満たした場合はキッチリ権利を行使しなければなりません。

最近とある方から紹介された、あやたかさんのサイトで、まとめられていたので、自分なりに整理していきたい。

■教育訓練給付金

 これ、制度と自身のタイミングが合わなかったと思うのだが、個人的に縁のない制度になってる・・・。

■傷病手当金

 一部でインフルエンザでも使えるようなこと言っていますが、半分正解で半分間違い。

 普通インフルエンザになると泣く泣く有給休暇使うと思うけど、有給休暇使うと傷病手当金は支給対象外になる。

 感覚的には有給使いきっちゃったけど医者から自宅療養を指示された人が使う制度かな。

■高額療養費制度
 
 医療費が月8万を超えた場合に検討。

 鋭い人なら分かるかもだけど、この制度を知っていれば、基本高額な医療保険はいらない。

■すまい給付金

 年収750万未満の人が家を買うときは確認してみたほうが良いかも。

 ただ、個人的に住宅ローンで家を買うのは反対。

 住宅ローンは投資ではなく、浪費です!

■出産手当金
 
 出産の〇〇日前~出産後〇〇日までに出産で会社を休んだ場合にもらえる。

 会社を休んだ日をいちいちカウントしなければならないのかな?

 ちょっと面倒な気がする。。。

■育児休業給付金

 男性も対象なので、イクメンはぜひ検討すべき!

■介護休業給付金

 これ、知らんかった・・・

 いつ自分も介護に巻き込まれるか分からないので、いざというときにちゃんと使えるようにせねば

■災害時の給付金

 被災者生活再建支援制度(10世帯以上の被害時)、災害障害見舞金(5世帯以上の被害時)、災害見舞金などがある。

2019/10/03

JALの赤ちゃん連れの座席が事前にわかるサービスが賛否両論!?


JALによく乗る人は、座席指定時に、変な顔が席を占領している状況に遭遇したことはないだろうか?

これ、「幼児マーク」という、赤ちゃん連れの座席が事前にわかるサービスらしい。



フライト中にイラつくケースとしてよくあるのが、フライト中ガキが泣き続けること。

「ガキ連れて飛行機乗るなよ」と心の中で思う一方、「そのガキを相手にしている親御さんは大変だな」と思いを改めて複雑な気持ちになり、なんとも気まずいフライトになる。

・・・どうも自分は子供が嫌いらしい。

そんなわけで個人的には搭乗予定にガキがいること、それがどこにいるのかを事前に知ることで、可能であれば極力ガキから離れ、それが出来なければ心の準備ができるということで、無条件に素晴らしいサービスだと思っていた。

ところが、どうも賛否両論になっているらしい。

ん、「否」の部分なんてあるのか?と思いながら、否定の意見に耳を傾けてみる。

どうやら、「そんなマークつけて避けるんじゃなくてみんな寛容になろうぜ」ってことらしい。

うーん。一理ある。

自分ももっと心の広い人間にならないとだめだな。

心を入れ替えよう。

2019/10/01

アカウントののっとりと身代金の要求をするスパムメール「あなたは大きな変態です」


数日前から、アカウントののっとりと身代金の要求をするスパムメール「あなたは大きな変態です」が拡散しているらしい。

詳細はこちらでまとめられているので、届いた方は無視してあげてください。

ちなみに自分にも届いていないかとメールボックスをチェックしてみたが、残念ながら届いていなかった。

しかし、Amazonを騙る偽メールを発見したので、ちょっと掘り下げてみたい。

こちらが偽メールのスクリーンショット。


まず、差出人。

Amazon <hrh@nect.com>

となっている。

まず、この時点で偽メール確定なんだな。

ちなみに、nect.comドメインをチェックしてみる

うーん。レジストラの情報くらいしか分からない。

ま、そもそも差出人自体が偽装されているかもしれないので、差出人情報自体はアテにできないです。

ちなみにメールヘッダを確認すると、送信元のIPは下記となっている。

128.14.232.159

IP上は香港となる。

つまり、このメールは香港のIPアドレスから送信されたということになる。

ちなみに、送信元IPが香港ということだけで、このIPが偽メールの本当の送信元なのか、乗っ取られてただの中継サーバになっているだけなのかは分からない。

次にメール本文。

ログインIP(164.09.36.162)の記載がある。

んで、このIPはスウェーデン。

送信元IPは香港で、メール本文記載の利用者のIPとしているものはスウェーデン。

せめて日本のIPにすればいいのに。。。

次。

「ログイン」と記載されている箇所はリンクになっている。

リンク先は下記の通り。

https[:]//account-update.amazon.co.jp.fszjxh[.]com/

amazonドメインと見せかけた、fszjxh[.]comというドメインである。

※誤接続防止用に[]を付加しています。

次にこのドメインをVirusTotalで調べてみる。


幾つかのセキュリティエンジンでフィッシングサイトやマルウェアサイトの認定を受けています。

本文を読み進めていくと、ご丁寧に電話番号まで記載されています。

「パスワードを変更した覚えがない場合は、至急(03)-5767-5252までお電話ください。」

さて、この、03-5767-5252って、一体どこなのだろう?

調べてみると詐欺集団の電話番号ということが分かります。

ちなみに、実際にアクセスしてみるとどんな画面が出てくるのだろう?

直接アクセスするのはちょっと怖いので、urqueryの様な代理アクセスのサービスを使ってアクセスしてみます。


ん、名前解決ができない・・・・。

というわけで、リンクをクリックしてもアクセスできないようです。

結局迷惑メールは送信元をつかむのが難しいので、無視が基本となります。