2020/04/09

前橋市教育委員会への不正アクセスに関する損害賠償金額


2018年4月4日、前橋市教育委員会は前橋市教育情報ネットワーク(MENET)が不正アクセスを受け、校務用サーバーから児童生徒の個人情報等が漏えいした可能性があると発表しました。

このインシデントでは、保護者ら約48,000人の個人情報が流出した可能性が高いとされています。

2年の歳月を経て、前橋市がシステムを委託したNTT東日本を相手取り、約1億8000万円の損害賠償を求め前橋地裁に提訴したというニュースが流れた。

今回はこの1.8億円の損害賠償額について考察したい。

情報漏洩事件が起きた時の損害賠償額をざっくり知るには、JNSA(日本ネットワークセキュリティ協会)が出している損害賠償額算出式を使うのが良い。

この式に当てはめるとざっくり損害賠償額が出てくるが、計算が面倒くさければ、下記のサイトがあるのでそちらを活用してもよい。

https://www.pahoo.org/e-soul/privacy/atwork/atwork-019-01.shtm#simulator

手元で試算した結果、4.8万人の個人情報流出の場合の損害賠償額は、

約2.9億~5.8億

と言うことになった。

ちと安い気がするが、内訳は調査費用や復旧費用となっている。
営利企業ではないため、一人500円のお詫び費用みたいなものは発生しなかったのだろう。

仮に一人500円のお詫び金が発生したら、計2400万。

やはりちと安い気がする。

ベネッセの集団訴訟では当初の請求金額55,000円でスタートし、先日のベネッセ逆転敗訴により3,300円で決着した。

若干強引かもしれないが、損害賠償でとれるのが目標金額の1/10とすると、今回前橋市が勝訴したとしても取れる金額は1,800万程度だろうか。

日本の裁判は割に合わないわーと思う、今日この頃

【参考】
https://piyolog.hatenadiary.jp/entry/20180404/1522863234
https://www.tokyo-np.co.jp/article/gunma/list/202003/CK2020032802000170.html
http://www.benesse-saiban.com/pc/index.html

2020/04/08

zoomの脆弱性ときな臭い噂


武漢ウイルス(通称コロ助)の蔓延により、セミナーが軒並み中止や延期になっている。

その一方で、代替手段としてzoomの名前をよく聞くようになった。

自分は2018年に仮想通貨関連のオンラインセミナーで初めて使った。

基本的にはskypeのようなものと思っていただければよいが、セミナーに参加するだけのようなケースであれば、zoomはインストールだけでも大丈夫である。

また、1対多が可能で、多が数百人クラスになっても耐えられるプラットフォームであり、品質は安定しつつ、トラフィックはskypeほど食わないとも言われている

ちなみに自分の会社でも検討されたようだが、価格が高すぎて見送りになったらしい。

プライベートではと言うと、中止になったセミナーがzoom上で開催されるというケースが増えている。

セミナー参加者の立場で使ってみたが、設定は楽だし、画質も音声も結構安定していた。

イギリスでは閣僚のビデオ会議としても使用されているらしい。

ミーティングID付きのスクリーンショットをうっかり公開してしまい、アクセスが殺到したそうな。

これは素晴らしいツールだと思っていたのだが、だいたい利用者が増えてくる=攻撃者の標的になる=脆弱性が見つかるという構図となり、zoomも例にもれず脆弱性が見つかった。

しかも脆弱性以外でも厄介な問題が持ち上がっている。

まずはベタなクライアントの脆弱性。
ま、こちらはパッチを当てれば済むという問題である。

https://www.ipa.go.jp/security/ciadr/vul/alert20200403.html

んで、頭の痛いのがこっち。

どうもZoomの録画が、AWS S3バケットに暗号化されずに乗っていて、特定の命名規則で公開されてるらしい。

https://www.washingtonpost.com/technology/2020/04/03/thousands-zoom-video-calls-left-exposed-open-web/

IaaS使うのはいいけど、設定誤ってデータが露出してましたーって、2月もあったな。。。

https://blog.b-son.net/2019/08/blog-post_31.html

また、zoom社は本部はアメリカにある米国企業ですが、2015年から米国SECが求める情報公開をしていないとか、Zoomの拠点は北京と認識されている等、米中貿易摩擦の観点か、安全保障の観点かちょっとわかりませんが、きな臭い雰囲気も漂っています。

2020/04/07

マリオット再び情報漏洩(500万件超)


マイルネタでマリオットと言えば、ポイントを多彩な航空会社のマイレージに交換できる、陸マイラーの間では知る人ぞ知る有名ホテルグループである。

一方、セキュリティでマリオットと言えば、2018年に3億8,300万件の個人情報流出をしでかしたホテルグループでもある。

ちなみに前回は若干記憶があいまいな部分ではあるが、確かマリオット本体ではなく、当時SPGとの合併の話もあり、SPG側のホテルグループのどこかが標的型攻撃を受けて既に潜入されて情報が詐取されており、合併後に漏洩の事実が明るみになったのでマリオットの情報漏洩みたいな体になっていた記憶である。

んで、原因は不明だが、おそらく標的型攻撃を受けて、4年前に既に侵入されていたということだった。

そんなマリオットで今度は500万件の情報流出事件が明るみになった。

前回は外部による標的型攻撃だったが、今回は内部犯行のようである。

どうもフランチャイズ企業の従業員がアカウントを不正利用して500万人分の情報を盗み取ったらしい。

なんかベネッセ事件を思い起こさせるな。

【参考】
https://wired.jp/2018/12/01/marriott-hack-protect-yourself/
https://viewfromthewing.com/marriott-data-breached-again-personal-information-from-over-5-million-more-accounts-compromised/

2020/04/06

航空会社のマイルとクレジットカードに関する調査結果



2020年3月13日~16日に航空会社のマイルとクレジットカードに関する調査が行われ、その結果が公開されている。

日本国内での調査となるので、当然ながら、9割はJALかANAになるという結果は想像に難くない。ちょっと意外だったのはANAが全体の半数以上を占めており、この辺はマイルのため安さがそのまま調査結果に表れているのだろうと思った。

自分はJALのステータス保持者(且つ、ANAは平会員)のため、JALマイルしか貯めていないが、陸マイルで貯めるのであれば、ANAの方がやりやすいと感じている。

更に言うと、バイマイルのJALよりはANAの方が手段が多かったりする。

あと、調査結果で気になったのは、特典航空券に交換したことがない人が45.0%もいるということ。

特典航空券は貯めるのに知恵と時間が必要だが、使うのにも知恵がいる。

特に会社員の場合、休みが取れるのは正月かゴールデンウィークか夏休みとなり、必然的にハイシーズンとなる。

ハイシーズンと言うことは、当然ながらその時期の特典航空券の取得は至難の業と言うことになる。

どうしてもANAやJALの特典航空券をハイシーズンに抑えたければ365日前からの争奪戦に参加しなければならない。

これはかなり難易度が高いので、代替策をとることになる。

ハイシーズンを避けるとか。

提携会社やアライアンスの特典航空券にするとか。

直行便ではなく、経由便にするとか。

最後に気になったネタは、最もよく使うクレジットカード。

大多数の人がJALカードもしくはANAカードがメインになっていた。

JALマイルなりANAマイルなりを貯めるのであれば、当然JALやANAが発行するクレカが最もよく貯まる”はず”という気持ちは良く分かる。

だが、現実は異なるのである。

自分の場合、ステータス維持のために当然JALカードは持っているが、メインではない。

現在のメインはセゾンプラチナ・ビジネス・アメリカン・エキスプレスカードとなっている。
セゾンクラッセの攻略を組み合わせることで、還元率は最高1.125%となる。

また、マイラー界隈ではSPGアメックスカードが有名だと思う。
(個人的にはホテルマイルには興味が無いため、入っていない)

こちらはポイント還元率自体は1%だが、ポイントをマイルに変換する際、通常3万ポイントで1万マイルになるのだが、6万ポイントをまとめて変換すると5000マイルのボーナスが付く(マイル移行ボーナス)。

このマイル移行ボーナスを活用することで還元率は最高1.25%となる。

投資の世界にも言えることだが、たかが1%、されど1%である。

こういうところへのこだわりが、数年後の特典航空券のチケットがエコノミーになるのか、ビジネスになるのかの明暗を分けるといっても過言ではないだろう。

総括すると、特典航空券への交換率の低さや、メインカードの選択状況から、この調査の母数はマイルの素人なんだと思った。

【参考】

2020/04/05

リモートワーク(在宅ワーク)に関するセキュリティ情報まとめ



武漢ウイルス(通称:コロ助)の世界的な蔓延で、リモートワーク(在宅ワーク)が増えている。

※「テレワーク」と言う言葉はダサくて嫌いなので、リモートワーク(在宅ワーク)という表現にしています。

在宅ワークの急な広がりで、集合住宅の光回線が飽和状態になってスピードが出なくなったり、配偶者がいる家庭ではDVが増加したり(暴力をふるう側は男だったり女だったり・・・)、自分自身の時間が増えて自身と向き合った結果退職する人が増えたり、食事作るのが面倒くさくなってウーバーイーツが好調とか、いろいろ面白い変化が出ている。

また、自宅で仕事をしていると、プライベートとの境目が曖昧になってくるため、仕事中は会社行く時と同様スーツを着るとか、プライベートとビジネスを区切る工夫が必要になっているようだ。

自分はと言うと、プライベートとビジネスの線引きが下手くそな人種なので、仕事は会社で行い、家では仕事をしないポリシーを継続している。(家には仕事をするための机も椅子もちゃんと整備していないという、ちょっと残念な事実もある)

セキュリティに関連する話だと、おそらく付焼刃的にリモートワークを始めた会社がそうなのだと思うが、SHODAN等では、リモートデスクトップにに必要な3389番ポートがインターネット向けに開放されている端末が増えているらしい。

そんなこともあり、関係各所からリモートワーク関連のセキュリティガイドが出ているので、まとめておく。

総務省から出ているセキュリティガイドライン第4版(PDF)

警視庁から出ている注意喚起

NISC(内閣サイバーセキュリティセンター)から出ている注意喚起

LAC社から出ている注意喚起

JNSA(日本ネットワークセキュリティ協会)から出ているガイド

IPA(独立行政法人 情報処理推進機構)から出ている注意喚起

マカフィー社から出ている注意喚起

カスペルスキー社から出ている注意喚起

cybereason社から出ている注意喚起

その他の記事等


2020/04/04

【訃報】志村けんさん武漢ウイルスで死去



武漢ウイルスの毒牙にかかり、2020年3月29日に志村けんさん(70)が亡くなった。

いかりや長介さんが亡くなって、ドリフはもう一生見ることができなくなったと残念な気持ちになっていたが、今度はバカ殿も見れなくなってしまった。

志村けんさんと言えば、いろいろあるが、個人的にはバカ殿が一番思い出深い。

今更ながら最近知ったのだが、バカ殿の根源はドリフ大爆笑より前の、1977年の『8時だョ!全員集合』に遡るらしい。

しかも初代の家老がいかりや長介と言うから、ここ数日はYouTubeで関連動画をずいぶん楽しませてもらった。

Wikiペディアによると、”ザ・ドリフターズのリーダーで絶対的な権力を持っているいかりや長介と、最年少でいかりやに普段いいように使われている志村けんの立場を逆転させ、志村演じる自由奔放なバカ殿が家老のいかりやをここぞとばかりに翻弄するという下剋上コントだった。”というが、最近のバカ殿の原型が節々にちりばめられていてとても楽しかった。気になる方は是非YouTubeで検索してみてほしい。

それにしても、志村けんさんの死亡の原因となった武漢ウイルスについて、WHOの無能っぷりに怒りを感じている人は、事務局長の解任署名キャンペーンを行っているので、志村さんの弔い合戦がてら参加してみてほしい。


【参考】



2020/04/03

【未来戦略】海外移住権を考える


人生のリスクヘッジの一つとして、日本以外に住める国(=永住権を取得する)を1つ持っておくことが良いとされている。

これは定年後の海外移住と言う話ではなく、日本で何かあった際に、脱出して住むということである。

想定シーンとしては首都直下地震が起きて東京が壊滅してしまったケースとか、北朝鮮のミサイルが東京に落ちてきたシーンとかだろう。

永住権は結構不動産投資と密接に関わり合いがあって、東南アジアで多いイメージだった。

少し前までの有名どころだと、マレーシアやフィリピンがある。

また、永住権ではないが、タイでは300万円くらい払うと、20年間のビザを買える

https://thailandelite.jp/

先日、Youtubeでイケハヤ氏の動画を見ていたら、ジョージアが出てきた。

ジョージアとは中欧の国で、昔はグルジアと呼ばれていた。

確か大相撲の琴欧州がジョージア出身ではなかっただろうか。

そんなジョージアは治安もよく、親日家の国とされている。

この国でも不動産投資を行うことで、永住権の獲得を行うことができる。

ルールは下記の通り。

1.価格が30万米ドルを超えるジョージアの不動産(土地、アパート、商業物件など、農地は不可とされる)を購入し資産価値を証明する報告書を作成することで5年間の投資滞在許可証が発行される。

2.この不動産を売却することなく5年間持ち続けることで永住許可が下りる。

ま、5年かかるため、やはり計画的な行動が必要。

あと、海外不動産の場合、「どの物件を買うか」よりも「誰から買うか」が重要となる。

【参考】
https://www.youtube.com/watch?v=qdljMEHPIzo
https://avageorgia.jp/permanent/

2020/04/02

武漢ウイルス(コロナ)ショックで失業した際のセーフティーネット


竹内力主演の難波金融伝 ミナミの帝王が好きで一時期夢中になって見ていた。

そのミナミの帝王の中で記憶に残っているフレーズが、

「国は困っている人を助けてくれるんやない、知っている人を助けるんや」

って感じのフレーズ。

武漢ウイルスが世界中に蔓延して人の往来が止まり、経済も止まっている。

この後に起きるのは大リストラとなるが、国や地方自治体はそれに備えてセーフティーネットを整備している。

で、ミナミの帝王のセリフに戻るが、これらの制度は困っている人を助ける制度ではないです。

「制度を知っている人を助ける」制度です。

これを知らないと、生活苦になってサラ金に駆け込んで、闇金に手を出して人生終了となる。

イケハヤ氏も紹介する5つをこちらでも紹介しておきたい

1.失業保険

ブラックの会社だと入っていない可能性あり。給与明細で雇用保険の負担があれば大丈夫

自己都合だと受給まで3か月くらいかかる。会社都合だと即支給


2.緊急小口資金貸付

失業だけでなく、休業で困った場合も貸付対象になる


3.職業訓練給付金

失業保険入っている人だけと思っていたのだが、そうでない人ももらえる可能性あり


4.ギグワーク(日払い単発バイト)

「タイミー」

「UberEats(ウーバーイーツ)」

「キッズライン」(ベビーシッター)

※ギグワークを使うのサブ的な位置づけでのみ。(休業に伴う一時的に食いつなぎとか、失業保険や職業訓練給付金+αとか。ギグワークをメインで生計立てるくらいなら生活保護推奨)


5.生活保護

これは最後の手段。受けるための手続きが複雑なようなので、個人でやるのではなく、NPOとかの支援を受けてやったほうがよさそう。


【参考】
https://www.youtube.com/watch?v=sxOG0hOf6jQ
https://news.yahoo.co.jp/byline/fujitatakanori/20200325-00169705/

2020/04/01

香川県の公式サイトにDDoS攻撃 -ゲーム依存防止条例との関連は?-


3月12日、17日、18日と、香川県の公式サイトに対してDDoS攻撃が発生したようで、
サイトが一時閲覧できない状態が発生した。

3月18日の攻撃が最も大きかったようで、夕方まで復旧にかかった模様。

香川県といえばうどん県のイメージだが、時を同じくして、ゲーム依存防止条例なるものの制定を行っていた模様。

ゲーム好きなハッカーによる嫌がらせだろうか?

ちょっと調べてみたのだが、香川県はグローバルIPアドレスが割り当てられており、ちょっとうらやましいと思う反面、枯渇しているグローバルIPを地方自治体で保有するなよって思った。

【参考】
http://www.security-next.com/113320

https://catgatomao.com/2020/03/12/the-kagawa-prefectural-ordinance-to-prevent-game-dependency/

2020/03/31

ベネッセ顧客情報流出、逆転賠償命令(1人当たり3,300円)


2014年にベネッセ(厳密にはベネッセの情シス子会社)の業務委託先の従業員が約3,500万件の顧客情報を持ち出し、名簿業者に売却したという、情報漏洩事件が起きた。

これ、なかなか難しい問題で、ベネッセはベネッセで機密情報の持ち出し防止の観点から某社の資産管理ツールを導入し、USBメモリ等への持ち出し防止を禁じていたのだが、資産管理ツールのザンネンな仕様でUSBメモリへの書き込みはNGだが、スマホのストレージ領域には書き込み可能であったことが背景の一つにある。

他の観点でいうと、企業の屋台骨を支えるITのマネジメントを業務委託してよいのかと言う話もある。何も考えずに言えば業務委託などせずにすべての業務を社員がやればいいと思うのだが、これはこれでいろいろ難しいのだろう。

結局情報を売り飛ばした犯人は懲役2年6カ月、罰金300万円の刑になった。
(2016年に判決出ているから、もう釈放されているな。)

んで、ベネッセの情シス子会社は、確かJSOC(Japan Security Operation Center)擁するセキュリティ専業大手のLACと合弁化したと記憶している。

んでそれから数年が経ち、タイトルのニュースが出てきた。

情報漏洩の被害者は当時ベネッセから金券500円が支給された。

ちなみにこの500円はその後の情報漏洩事案におけるお詫び金額のデファクトスタンダードとなった。

今回のニュースは500円じゃ許さんと言う人たちが集団訴訟したニュースの続報と言うことになる。

しかし、6年間もずっと裁判しているとは、なんとも執念深い。。。

6年間の成果として、お詫び金額は6倍超になったものの、それでも3,300円。

よく聞くが、日本の裁判は割に合わない、と言うことをつくづく感じた。

【参考】
https://www.huffingtonpost.jp/entry/benesse_jp_5e7aff36c5b620022ab36256

2020/03/30

【悲報でもない!?】デルタ ニッポン500マイルキャンペーンの変更


毎年何事もなく継続されていた、デルタ航空のニッポン500マイルキャンペーンについにメスが入った。

デルタ航空のニッポン500マイルキャンペーンというのは、日本国内線のどの航空会社でも手続きを行うことで片道500マイルがもらえるというものだ。

ちなみにデルタ航空のマイルは1マイルの価値がとても低いことから、通称”スカイペソ”とも揶揄されており、本稿でも以降スカイペソと表現する。

これまで平会員は上限5,000スカイペソ(10往復)まで貯められていたのが不可となり、
メダリオン会員は上限20,000スカイペソ(40往復)が上限10,000スカイペソ(20往復)に変更となる。

平会員は不可となるものの、提携クレジットカードを持っている場合、メダリオン会員同様、上限10,000スカイペソ(20往復)まで貯めることができるらしい。

これは個人的には朗報である。

以前は、カードを持っているだけでゴールドメダリオンを維持できるアメックスのゴールドカードを持っていたが、改悪に伴い速攻で解約して現在平会員となっている。

東南アジア圏のビジネスクラス特典航空券を狙うと、だいたい片道45000スカイペソ必要となる。

そうなると平会員の力では9年の歳月が必要となる。

これが年10,000スカイペソ貯めることができれば、4~5年に短縮できる。

提携カードの保持で4~5年に1回東南アジアの片道ビジネスクラス航空券に変えられるのであれば、悪い話ではないと思う。

で、どの提携カードにするか。

選んだのは、提携カードの中で最も年会費の安い、

デルタスカイマイルJCB テイクオフカード

年会費がかかるが、毎年10,000スカイペソを実質無償で入手できるのであれば、悪くない話だと思う。

というわけで現在発行手続き中。

当然のことだが、クレカを発行する際は必ずポイントサイト経由にしてポイントもゲットすること。

自分はメインがJALマイルとなるため、モッピーを活用中。

こういう日々の積み重ねが数年後のビジネスクラス航空券に化けるのである。

【参考】
デルタ航空「ニッポン500マイル・キャンペーン」が2020年も継続
⇒フォームへの記入をPC上で完結させる方法が紹介されています。

ついに改悪!2020年度デルタ航空ニッポン500マイルキャンペーンは一般会員対象外。残された道は?


2020/03/29

Windows10のコマンドプロンプトでLinuxコマンドを使う


WindowsのコマンドプロンプトでLinuxのコマンドを実行したくなることは無いだろうか?

先日、Windows上でdigコマンドを使いたくなり、方法が無いものか調べてみたら、あった。

その方法は、WSL(Windows Subsystem for Linux)との組み合わせ技である。

事前にWindows10にWSLやLinuxディストリビューションのインストールが必要になる。

詳しい方法は下記を参照いただきたい。

https://www.atmarkit.co.jp/ait/articles/1608/08/news039.html

設定が終わると、コマンドプロンプト上からLinuxコマンドの実行が可能となる。

頭に wsl を付けるのが若干手間だが、ちょこっとLinuxコマンドを実行したいときは重宝できるかも。

【参考】
Windows 10のコマンドプロンプトからWSL上のLinuxコマンドを呼び出す(バージョン1803対応版)
https://www.atmarkit.co.jp/ait/articles/1805/24/news022.html

2020/03/28

無能なWHOの事務局長解任活動に参加してみる


武漢ウイルス(通称「コロ助」)流行の責任の一端は、間違いなくWHOにあるだろう。

中国の対応を称賛して緊急事態宣言を怠った結果、世界中への蔓延を許してしまった。

その後の対応も受動的で、日々WHOの無能っぷりを世界に垂れ流している。

個人的にはパンデミックが宣言されたのだから、オリンピックの延期も勧告すべきだと思っている。

結局そこまでは踏み込めず、我らが安倍首相が動いてオリンピック延期に向けて動き出すこととなった。

(ちなみにIOCも物事が決められない情けない組織だということが今回露呈したと思う)

世界では、そんな無能なWHOを率いる無能な事務局長の辞任を求める署名活動が行われている。

詳細は下記参照。

今回のWHOの無能っぷりに怒りを感じている人は、是非署名してみてはどうだろう。

https://www.change.org/p/united-nations-call-for-the-resignation-of-tedros-adhanom-ghebreyesus-who-director-general


2020/03/27

ファンボロー国際航空ショーは中止を決断。オリンピックは決断を下せるのか!?


7月20日から24日まで、イギリス・ロンドン郊外で開催予定だった、「ファンボロー国際航空ショー(Farnborough International Airshow)」の中止が決定された。

主催者は声明で、「非常に慎重に検討した結果、世界的なコロナウイルスの大流行の前例のない影響により、出展者、訪問者、請負業者、スタッフの健康と安全のためにこの決定が余儀なくされた」と明らかにし、複数の要因を考慮して、7月に開催するのは困難であると結論づけた。

うん。非常に妥当で、評価されるべき選択だと思う。

一方、時期を同じくして開催されるオリンピックはとても体たらくな印象を受ける。

国際オリンピック連盟(IOC)は「今は大きな決断をする時ではない」とか言って決断の先送りをしています。

個人的にはWHOからパンデミックが宣言されてしまい、世界各国で毎日感染者が増え続ける状況を踏まえると、早めに中止なり延期なりを決断したほうが良いと考えます。

結局決断できないから、アテネまで聖火取りに行ってしまったり、聖火リレーが日本で始まったりしています。

延期したら聖火リレーどうするんだろう?

決断先送りの分だけ、○○どうするんだろう?の○○が増えていきます。

ちなみに日本政府は延期は決断できないです。

延期の決断はIOCにさせる必要があります。

決定権はIOCが持っているため、責任もIOCに持ってもらわなければならないのです。

日本政府が先走って言及してしまうと、日本政府が叩かれますので。

2020/03/26

週明けの株価予想のための材料【Weekend Wall Street】


日曜日の夜、「週明けの日本市場はどうなるんだろう?」と思うことは無いだろうか。

週末に何もニュースが無ければ、金曜のNY市場の影響を受ける。

それ以外に知るすべがないだろうか?

実はあった。

実は、NYダウや独30指数、英FTSE、香港株が土日にもかかわらず動いている。

サンデーダウとか、ウィークエンドダウとか呼ばれるもので、IG証券のサイトで確認することができる。

https://www.ig.com/uk/weekend-trading

信憑性はどうなのだろう?

市場参加者は少ないので、あくまで参考程度で利用するのが良いと思う。

±100ドル以上動いた時は開始時も窓を開けてスタート、±数十ドル程度の場合はほぼ変わらずでスタートすることも多い模様。

週明けの相場は金曜日のNY市場の結果、週末のニュース、ウィークエンドダウ等を参考にして予測を立てるのがよい。

ちなみに予測は大事だが、予想はNGである。

よそうはよそう。

2020/03/25

陳腐化しつつあるパスワードのルール


以前パスワードの定期更新に関する議論が沸き起こり、パスワードの定期更新は”不要”と言うのが現代の新常識となっている。

ただ、これには前提条件があり、十分な長さと複雑性を兼ね備えたパスワードである必要がある。

更に具体的に言うと、英大文字小文字+数字+記号 26 種= 88 種類の文字を使い、10 桁のパスワードを作ったとすると、その組み合わせは約 2785 京個(京は兆の上の単位)、1 秒 5 回の制限で「総当たり攻撃」をした場合、全部を試すまでに約 1760 億年かかる。

これならば、100 年以内に探り当てられる確率は非常に小さく、事実上不可能といえるので、パスワードの定期更新は不要という理屈になっている。

上記はNISC(内閣サイバーセキュリティセンター)が提供しているガイドブックの53ページ~56ページあたり参照するのが良いと思う。

https://www.nisc.go.jp/security-site/files/handbook-all.pdf

上記に関連して時代遅れになりつつあるルールがある

■時代遅れルール:パスワードを書き留めるべからず

当然これも前提がある。

誰でも見ることができるPCの近くにパスワードを書いたメモを置いておくことが最悪な行為であることは変わりない。

しかし、現在は様々なオンラインサービスがあり、それらすべてのサービスで共通のパスワードを使うことは、最悪の行為である。

一方で利用するサービスの数だけパスワードを生成して覚えるというのも無理な話である。

そこで推奨されるのは、「パスワードブック」を1冊購入してパスワードを記録し、自宅で鍵をかけて保管しておくのがいい(らしい)

そこで、私がパスワードの新ルールを提案したい

■新パスワードルール1:パスワードは英大文字小文字+数字+記号で10桁以上にする。

■新パスワードルール2:パスワードは使いまわさない(サービス毎に異なるものにする)

新パスワードルール2を徹底すると、情報漏洩が起きた時、どのサイトの情報が漏洩したのか、知ることができるケースもあります。

【参考】
https://japan.cnet.com/article/35150759/

2020/03/24

クラウドストレージの誤設定による情報漏洩事案(2020年2月)


日本でもクラウド化が進んでいるが、日本よりもクラウドが進んだ欧米ではクラウドからの情報流出事案が後を絶たない。

※ここでいうクラウドとはIaaSを指します。

予め言っておくが、クラウド自体は問題ではない。

正しく設定して運用管理を行えば、クラウドは安全である。

しかし、設定を誤ると、情報は安易に漏れる。

これがクラウドのリスクである。

企業が自社でイントラネットを構築し、その中でサーバの運用を行っている状態であれば、仮にサーバの設定がザルだったとしても、ネットワークレイヤのセグメント分離により助かるケースはあり得る。

しかし、クラウドの場合、すぐ隣はインターネットの世界となり、サーバの運用管理がザルだと致命傷に直結する。

自分はクラウドについては肯定的だが、インフラについてはクラウド化してもオンプレ同様の人的リソースが必要と考えている。

それを怠った結末を2つ紹介したい。

■受刑者情報3万6千件が露出(アメリカ)
AWSのストレージサービスAmazon S3の「バケット(Bucket)」が、セキュリティ保護および暗号化されていなかったために、米国の刑務所に収容されている受刑者についての記録36,077件が露出

https://www.vpnmentor.com/blog/report-jailcore-leak/

■電車通勤者の情報1万人分が漏えい(イギリス)
AWSクラウドストレージ上のデータベースがパスワード保護されていなかったため、英国の「Network Rail」社が管理する駅で無料Wi-Fiサービスを利用する乗客についての情報が漏えい

https://securitydiscovery.com/c3uk/


数年後には日本からも同様のインシデント発生が予測されるので、自社のIaaS導入は心してかかりたい。


【参考】
クラウドストレージの誤設定による情報漏えいが続発
https://blog.trendmicro.co.jp/archives/24234

2020/03/23

パソコンに「マスク」してますか?【自診くん】


新型コロナウイルス(通称武漢ウイルス、以降コロ助)の猛攻を受けて、皮肉にもリモートワーク環境の整備が急ピッチで進んでいるらしい。

※「テレワーク」という言葉はダサいので、ここではリモートワークと表現

海外では非常事態宣言が発動して外出禁止令が出ている国があるので、取り急ぎ各社リモートワークに必要なツールの整備を進めていると思うが、リモートワークはセキュリティ的にも考慮しなければならない点がいくつかある。

それらをJSOC(Japan Security Operation Center)を擁するセキュリティ企業のLAC様がまとめてくれたので、気になる方は是非参照いただきたい。

https://www.lac.co.jp/lacwatch/service/20200318_002153.html

その中で今日紹介しようと思ったのが、無料の診断サービス

自診くん

https://jisin.lac.co.jp/

これを使うと、インターネットに開放されている危険なポートを簡単に確認できる。

ただ、これはあくまでも必要最低限の確認となり、これをクリアしているからと言って安全である保証とはならない点に注意する必要がある。

そういう意味では、外出時に予防対策でマスクをするのと似ているかもしれない。

マスクをしたからと言って、感染予防を保証してくれるわけではないのと同じ理屈である。

2020/03/22

宿泊予約の売買サービス【Cansell】


ウェスティン、シェラトン、インターコンチネンタルホテル、ホテルニューオータニなど様々なハイランクホテルに、キャンセル不可プランで予約したものの、泊まれなくなったケースは無いだろうか?

個人的にはそんなケースは無いのだが、万一そうなってしまった場合に役に立つかもしれないのが、

Cansell(キャンセル)

https://jp.cansell.com/

 ※注:スペルは間違いではなく、こういうスペルのサービス名です。

Cansellはホテル予約をキャンセルしたい方とホテルを予約したい方を繋げるプラットフォームとして2016年リリースしたサービス。

予約権を買う側は70〜80%オフで宿泊できるらしい。

ハイランクホテルに70〜80%オフで宿泊できるなら泊まってみたい。

海外旅行でホテルを押さえる際は、こういったサービスで掘り出し物が無いか、事前にチェックする癖をつけておきたい。

2020/03/21

Coincheckの貸仮想通貨サービス


先日、Coincheckから貸仮想通貨サービスの案内メールが届いた。

coincheckの貸仮想通貨サービスと言えば、いつまでたっても貸し出しが始まらないので、苦情めいた記事を書いたこともあった。

https://blog.b-son.net/2020/01/coincheck.html

今回改めて貸仮想通貨のステータスを見たところ、無事貸し出しが開始されていた。


貸し出し開始時にメール通知でもしてくれればいいのに・・・。

仮想通貨はしばらく塩漬けにする予定なので、coincheckでじっくり増殖してもらいたい。

2020/03/19

新型コロナウイルス感染者数を可視化できるデジタルマップ


新型コロナウイルス(通称武漢ウイルス、以降コロ助)が世界中に広がっている。

リアルタイムで何人感染しているかを知ることができるサイトが2つほどあるので紹介したい。

1つは、アメリカのジョンズ・ホプキンズ大学が運営している新型コロナウイルス感染者数を可視化できるデジタルマップ

https://gisanddata.maps.arcgis.com/apps/opsdashboard/index.html#/bda7594740fd40299423467b48e9ecf6

もう一つは日経新聞が集計しているマップ

https://vdata.nikkei.com/newsgraphics/coronavirus-world-map/

日経新聞のマップは遡ることができるので、時系列で感染拡大を追っていくことができる。

コロ助はWHOからパンデミック宣言されてしまい、いよいよ東京オリンピックの雲行きが怪しくなってきた。

当然東京オリンピックを予定通り行うには5月末までにパンデミックの終息宣言が出ないと駄目だろう。

そうすると東京オリンピックを予定通り開催するのは正直難しいと感じている。

無観客試合で強硬開催か?延期か?中止か?

まず無観客試合は無いかな。見込んでいた観光収入がほぼ消滅するので、東京都や日本政府は受け入れられないのでは。

んじゃ延期か。個人的にはこれが最も濃厚と考えている。

んじゃいつに延期か。

まず年内は無いと考えるべき。

延期する以上、次は確実に開催可能な日程にすべきである。

コロ助の終息宣言がいつ出るか不明確な状況で年内開催は絶望的と考えるべきである。

次の案が1年延期。これはトランプ大統領も口走っていた。ま無難かなと。

その次の案が2年延期して、夏季、冬季同時開催とするもの。これも悪くないかと。

恐らく3年延期するとオリンピックの翌年にオリンピックになるのでこれは無い。

そうなるとその次の案は、4年延期して、パリオリンピックも4年ずらすというもの。ここまでくると、現実的なのかさっぱり予想がつかない。

最後に中止だけど、これは無いと考える。次のオリンピック開催は東京なのだから、とりあえず次回のオリンピックは東京でやってほしい(完全に個人的な希望的観測になっているが・・・。)

とりあえずコロ助の目途が立たない事には何も進まないので、コロ助退治の目途が立つことを祈る。

2020/03/18

ポルトガル航空(TAP)がステータスマッチ実施中(2020/1/1~2020/3/31)


スターアライアンスメンバーのポルトガル航空(TAP)が75周年記念でステータスマッチを行っている。

ステータスマッチなので、当然ながらスターアライアンス以外のステータスを持った人じゃないと応募できない。

つまり、対象はワンワールドの上級会員(=JAL)とか、スカイチームの上級会員とかになる。

一応エミレーツ航空の上級会員とGOL航空の上級会員もステータスマッチの対象となるらしい。

ただ、細かい制約条件がいろいろある模様・・・。

条件1.最低70ユーロのバイマイルが必要。

条件2.ステータスマッチによるステータスの提供は2020/9/30まで

    ※25000ステータスマイル分搭乗するとステータス継続

ま、ざっくりいうと、自分みたいなワンワールドの上級会員だけど、スターアライアンスは平会員の人が対象で、9月末までのスターアライアンスゴールドの会員権が70ユーロで買えると思ったほうが分かりやすいかも。

9月末までにスターアライアンスのエコノミーで旅行する予定があれば検討の余地あり。

うーん。9月までは予定ないなー。

12月にエーゲ航空の特典航空券発券したけど、ビジネスだし。

とりあえず自分は見送りということで。

【参考リンク】
https://kinako-yuta.hatenablog.jp/entry/TAP
https://voyageavance.global/tp-status-match
https://loyaltylobby.com/2020/03/02/tap-milesgo-status-match-challenge/?omhide=true
https://onemileatatime.com/tap-air-portugal-status-match/

2020/03/17

インターネットに晒されている機器を調べるサイト【SHODAN】


SHODANという検索エンジンがある。

一時期はIoT検索エンジンとか言われていたが、ネット上に晒されている機器を検索することができるサービスである。

https://www.shodan.io/

アクセスすると、検索ウィンドウがあると思うので、IPアドレスやポート番号等のキーワードを入れて検索する。

※注:罠の可能性もあるので、脆弱っぽい機器を見つけたとしても安易にアクセスしないでください。

【インターネット直結のプリンタでパスワード設定が無い機器を調べるときの例】
printer password is not set

【日本国内でtelnetがオープンになっているインターネット機器を調べるときの例】
country:"JP" port:23

【日本国内のAnonymous FTPを調べるときの例】
country:"JP" Anonymous FTP

【日本国内でインターネットにポート445がオープンになっているWindows PC(Windowsサーバは除外)を調べるときの例】
port:445 country:"JP" OS:"Windows" country:"JP" !OS:"Server"

【参考】
日本国内で接続されている IoT 機器数(IPA)
https://www.ipa.go.jp/security/iot/20170417.html

増加するインターネット接続機器の不適切な情報公開とその対策(IPA)
https://www.ipa.go.jp/files/000052712.pdf

2020/03/16

グローバルIPアドレスを直接割り当てられたPCのセキュリティ対策

2017年にJC3からグローバルIPアドレスを直接割り当てられたPCのセキュリティ対策についての注意喚起が出ている。

https://www.jc3.or.jp/topics/gip_sec.html

その時の記事で、インターネットから直接アクセス可能なWindowsコンピュータが約97,000台確認とあった。

それから約3年経ち、現在どうなっているのかとSHODANで検索してみた。

結果が上の絵で、約30,000台に減少していた。

それよりも驚いたのが、Windows7の数。

既にサポート切れているのに、約8,000台のWindows7 PCがグローバルIPでインターネットに直結されている。

悪いことは言わない。イタイ目を見る前にPCのリプレースを提案する。


2020/03/15

Marriott BonvoyポイントからJALのマイル交換で10%ボーナスキャンペーン(2020/3/2~2020/5/10)


マリオットポイントからJALマイルへの移行でマイル増量キャンペーンをやっている。

期間は2020/3/2~2020/5/10まで。

個人的には基本ホテルポイントには関心が無いのだが、例外的にマリオットポイントだけは貯めている。

理由はただ一つで、間接的にJALマイルのバイマイルができるからである。

レートはあまりよくないのだが、ANAと違い、JALはこれが唯一のバイマイルなので、重宝せざるを得ない。

マリオットポイントからJALマイルへの移行は通常、

マリオットポイント:JALマイル=3:1

となる。

ただし、マリオットポイント6万ポイントをまとめてJALマイルに移行させると、ボーナスポイント5000マイルがついて、JALマイル25000マイルとなる。

通常はこれを狙ってマリオットポイント6万ポイントをまずは目指す。

マリオットポイント6万ポイントが既にある人はまさに渡りに船的なキャンペーンではなかろうか。

ちなみにマリオットのこのようなキャンペーンは初めての認識である。

今後はこのようなキャンペーンの発生を踏まえて、マリオットポイントからJALマイルへの移行は、ギリギリまで待つべきだなと思った。

2020/03/14

2020年副業10選


Youtubeを見ていたら、副業コンテンツを見つけた。

https://www.youtube.com/watch?v=_yBXqaBIWxA

ランキングに知らないものもあったので、ちょっと整理してみたい。

1.プログラミング
 レッドオーシャンのイメージ。個人的にやる気ないし、勧めない

2.動画編集
 レッドオーシャン化必須。これも個人的にやる気ないし、勧めない

3.ブログ
 収益化に時間がかかるのが最大のメリット。

 副業としては勧めない。趣味だね。

4.デザイン
 才能が必要かと。自分には無理。

5.せどり
 在庫管理との戦い。転売ヤーに成り下がったら、もはや副業と言うよりは社会のクズ

 正直勧めない。

6.オンライン秘書
 これ、知らなかった。「即レス可」「秘密を守れる」「ITに強い」が求められる。

 個人的に興味あり。
 
7.SNS運用代行
 これ出来るなら、ブロガーとして立派に収益出せていると思う・・・ 

8.広告運用代行
 これ出来るなら、ブロガーとして立派に収益出せていると思う・・・

9.海外不動産投資
 国内不動産と違ってフルローン組めないし、出口戦略が難しい。

 副業と言うにはハードル高すぎ。当然勧めない

 ちなみに海外不動産で最も重要なのは「どの物件を買うか」ではなく、「どのパートナーと組むか」が重要になる。

 日本で不動産を購入するのとは異なり、基本は現地にいるエージェントを通じて管理するため、「誰と組むか」が最も重要なのである。

10.コンテンツ販売
 個人的には売るネタが無い・・・。

というわけで、オンライン秘書が個人的にちょっと面白いかと思った。

副業と言えば、よく街中でUber Eastの配達やっている人を見かけるけど、収入以外の明確な目標設定(暇つぶし、運動、etc)が無い限り、手を出したらいけない気がする。

Uber Eastで稼ぐ行為自体が典型的な搾取構造の底辺となっていることに気付くべきである。

本気の収入源としてUber Eastやるくらいであれば、プログラミングや動画編集やったほうがいい気がする(技術の進化で淘汰されるだろうけど、Uber Eastよりは残るものがあると思う)

あと、副業ではないが、投資をしっかり勉強するのも重要だと思う。

勉強と合わせて早いうちにリカバリできる範囲で失敗の経験を積んでおくというのがポイントかもしれないが。。。。


悲報!nanacoがセブンカード以外でのチャージ不能に!


nanacoが何を血迷ったのか、クレジットカードチャージに使用できるカードの絞り込みをかけてきた。

https://www.nanaco-net.jp/information/creditcharge2003.html

今クレジットカードチャージを使っている人は継続してそのままいけるとして、
今後はセブンカードしか使えなくなるらしい。

個人的にnanacoの用途はただ一つ。

税金関係の支払いである。

・クレジットカードでnanacoにチャージできる。
・nanacoで税金の支払いができる。

とくれば、ピンとくる方も多いのではなかろうか。

そう、間接的に税金の支払いをクレジットカード払いにできるのである。

月のクレジットチャージ金額に上限をかけたり、クレカチャージのカードを絞り込んだり、こころなしかnanacoの改悪が相次いでいる気がする。

nanaco大丈夫かな?


2020/03/13

キャセイパシフィック航空(CX)の航空券予約変更無料キャンペーン(2020/4/20予約分まで)


全世界でコロナウイルス(別名武漢ウイルス、以降コロ助)が猛威を振るっている。

このコロ助のおかげで航空業界は大ダメージを受けており、イギリスではLCCが倒産している。

https://www.bbc.com/japanese/51768834

航空業界は既にかなりの減便を行っており、コロ助の猛威が長期化すると航空各社の財務に大きなダメージがのしかかってくる。

そんな対策の一環なのか、キャセイパシフィック航空が2020年4月20日までに予約した航空券に対して、変更手数料無料のキャンペーンを打ち出した。

CX公式サイトからでも、旅行代理店のサイトからでも、どちらでもOK。
 
どんなに安いエコノミークラスの航空券でも、対象。
 
ただし、特典航空券は対象外。

あと、2021/2/28出発までの予約であることが条件かな。

こういうキャンペーンは是非うまく活用していきたい。

しかし、予定が立たない・・・・

今年は仕事柄オリンピックが終わるまでは海外に行きにくい。

そうなるとゴールデンウィークもお盆も今年は海外渡航計画は無し。

年末は既に特典航空券を押さえてしまっている。

うーん。

今年のシルバーウィークでも検討してみるか。。。


2020/03/08

Chrome(Chrome 80)でうざいポップアップや迷惑広告をブロックする設定


Chromeを使っていて、通知の表示の許可を求められることは無いだろうか?

これ、うっかり許可すると勝手にポップアップが出てきてうざいことこの上ない。

先日、ネットでコレの対策方法を見つけた。

元ネタ:Chrome 80の隠し機能で迷惑広告をブロックする設定方法

アドレスバーに[chrome://flags]と入力すると、実験機能の管理画面を開くことができる。

その後の手順は下記の通り

・STEP1:開いたページで[Quieter notification permission prompts]という項目を検索。

・STEP2:項目を見つけたら有効化

・STEP3:Chromeの再起動

・STEP4:[設定]>[プライバシーとセキュリティ]>[サイトの設定]>[通知]を開き、[静かな方法で通知する(割り込み通知を行わない)]をオンにする。

記事にはこの実験機能の中の、迷惑広告のブロック機能の有効化を推奨している。

これは、ロセッサーやメモリを食いつぶす迷惑なウェブ広告を自動的にブロックしてくれるらしい。

やり方は下記の通り。

・STEP1:アドレスバーに[chrome://flags]と入力し、[Heavy Ad Intervention]という項目を検索

・STEP2:項目を見つけたら有効化

・STEP3:Chromeの再起動

これやると、Chrome軽くなるのかな?

2020/02/29

PontaポイントからJALのマイル交換レート20%アップキャンペーン(2020/3/1~2020/3/31)


ついにキター。

Pontaポイント⇒JALマイル20%レートアップキャンペーン

JALマイルへの移管目的でPontaポイントを貯めている人にとっては、まさに唯一無二な交換タイミングである。

去年、一昨年とこのキャンペーンがあったのかは知らず、個人的には3年待ったキャンペーンである。

通常PontaポイントとJALマイルは1:0.5

10,000ポイントを交換すると5,000マイルとなる。

これがキャンペーン期間中だと、
10,000ポイント⇒6,000マイル(通常5,000マイル)
20,000ポイント⇒12,000マイル(通常10,000マイル)
40,000ポイント⇒24,000マイル(通常20,000マイル)

比率が0.5→0.6って聞くと大したことないように聞こえるが、
移行ポイントが大きくなると無視できない大きさになる。

ちなみに3年かけて貯め続けた自分の現在のポイントは約49,000ポイント


来年このキャンペーンがある保証はないので、全ポイントを交換しよう!

ちなみにJALマイルの最も効果的な活用方法はワンワールドアライアンス特典航空券への交換だと思っている。

12万マイル貯めるとギリギリでビジネスクラスで世界一周ができるので、今度トライしてみたい。

2020/02/26

ポイント寄付で社会貢献


SBI証券のポイント制度がTポイントに一本化されてしまったので、SBI証券から撤退したのだが、消化しきれなかったSBIポイントが余った。

死蔵させるのももったいないので、寄付をして社会に貢献することにした。

投資の師匠である小次郎講師は「品格のある投資家」を目指すようにおっしゃっているが、投資で得た利益やポイントを寄付して社会に貢献することも「品格のある投資家」の一部だと思っている。

ま、額は少ないけどね。

2020/02/21

マリオットのポイント購入50%増量セール(2020年2月18日~3月25日)


2020年初のマリオットのバイポイントキャンペーン。

今回は、購入ポイントの50%がボーナスになるという、新手のもの。

ちなみに、個人的にはホテルマイルには興味ありません。

んじゃ、何故にマリオットのポイントセールを気にするのか。

実は数少ないJALマイルの購入手段でもあるからである。

基本はマリオット:JAL=3:1となる

駄菓子菓子(だがしかし!)

マリオット60,000ポイントを交換するとボーナスポイントが発生し、JAL25,000マイルに生まれ変わる。

一般的なバイマイルのレートとしてはあまりよくないのだが、JALマイル調達の観点で考えると数少ない購入の機会なのである。

いかんせんレートはやはり良くないので、サブ的な位置づけ(年間30,000ポイント程度の購入)で使っています。

今回も1万ポイント購入かな。

2020/02/20

予算の何割を資産運用に回すべきか(50:30:20の法則)


昨日に続いて法則ネタ。

50:30:20の法則というのは、予算の決め方の法則。

お金の使い方を「必要なもの」「欲しいもの、あると良いもの」「貯蓄」の3つに分けます。

そしてそれぞれを50%、30%、20%の割合で分けて使います。

というもの。

個人的には「貯蓄」よりも「資産運用」のほうが妥当かな。

で、手取りの20%を資産運用に振り向けているのかと振り返ってみたところ、何と20%に達していないことが判明した。

これは由々しき事態だ。反省せねば。。。

2020/02/19

投資の将来予測(72の法則)

72の法則ってご存知だろうか。

2年位前に内藤忍師匠とマネックス松本大社長との対談の際に初めて聞いた言葉なのだが、ふと思い出したので書き綴っておきたい。

※アーカイブは見つけられず・・・、概要はコチラ

72の法則とは投資が倍になる期間を計算できる魔法の数字である。

使い方は簡単で、72を金利で割ると、投資額が倍になる年数が出せるというもので、複利運用の前提となる。

例えば、100万円を年利10%の複利運用を行った場合、72÷10=7.2年で倍の200万円になるということである。

ちなみに現在の銀行の1年物の定期預金の金利0.01%で運用した場合、資産を倍にするためには7,200年かかる。

7,200年って、寿命100年で計算しても72回人生やり直さないと倍にならんぞ。

改めて銀行ってオワコンだと思うわ。

ということを踏まえると、現代人はリスクを取って資産運用をしなければならない。

人生は72回もやり直しできないし、そもそも輪廻転生して次も人間になる保証もないはずである。

人生は一度きり。その人生を満足度の高いものにするためにも、お金の問題は解決しておきたい。

ちなみに、年金2000万問題とか言っているが、個人的には定年まで資産を蓄えて、定年後は蓄えた資産を取り崩して生活するというのは反対。

内藤忍師匠提唱のチャリンチャリン投資で、毎年安定したキャッシュフローを確保した上で定年を迎えたいものです。

最近の自分の戦略案は半分をワンルームマンション投資の家賃で収益を得て、半分をFXのループイフダンで収益を出すこと。

ループイフダンは15%/年の安定運用益を目指せると考えており、仮に投資資金400万円からスタートしたとすると・・・

目標:月15万円の利益(年180万の利益)
年利15%で月15万円生み出すための種銭(ゴール):1200万円(つまり目標3倍)

400万円が1200万円になるまでの道のり(年利15%で運用)
①400万円→800万円:72÷15=4.8年
②800万円→1600万円:72÷15=4.8年

つまり、15%で毎年運用し続けられれば、約7年目~8年目で資金が1200万円を超え、月15万円の不労所得が得られるようになる(はず)。

目標達成後は毎月得られるであろう15万円をお小遣いにしてしまってもよいし、再投資すれば更に72の法則で資産が膨らんでいくこととなる。

うん。資産運用ガンバロウ!

2020/02/18

イベリア航空 Avios 50%増量キャンペーン(2020/2/17~2020/2/28)


イベリア航空の公式サイトで50%増量セールが始まりました。

以前はスペイン版グルーポンで購入していたのですが、制度改悪があったりして、個人的にはイベリア航空の公式サイトでの50%増量セールがAvios購入に関しては最も有力なのではと思っている。

JAL国内線(650マイル以内)の特典航空券発券に必要なAviosは片道4500Aviosから6000Aviosに改悪されたため、お得度はかなり減ったものの、キャンセル手数料がかからなかったり、お得になるケースが多少残っている

とはいえ、Avios一択ということは無くなり、個人的には、例えば羽田~伊丹間のJALの特便割引が13,000円以上の場合はAviosを検討するとか、そんな使い方。

プライスリストは下記の通り(コチラより拝借)



ちなみに、イベリア航空で購入したAviosを使うには、ブリティッシュエアウェイズの口座に移す必要がありますが、これはイベリア航空の口座を作って3か月が経過していないとできないため、ご注意ください。

諸事情でメアド変更を行ったのだが、イベリアのサイト上で変更ができないため、新たにアカウントを作成。3か月過ぎたので、購入したAviosのBA移行検証もかねて、2000Aviosだけ買ってみる予定。

2020/02/17

Chrome拡張機能を悪用した情報漏洩リスク


昔のイメージだが、Windowsって毎月パッチ出すし、インシデント起きるときはWindows OSだったので、貧弱なイメージだった。

最近のイメージは、Windowsが貧弱なのではなく、メジャーなプロダクトが狙われやすいというイメージ。

Google Chromeといえば、いま世界でシェアNo1のブラウザである。

そんなGoogle Chromeの拡張機能を悪用した個人情報盗取が記事になっていた。

https://gigazine.net/news/20200217-chrome-extension-malware-malvertising/

従来のWindowsベースのアプリケーションの場合、資産管理ツールを使うことでインストールアプリの制御が行えていたり、アンチウィルスソフトでマルウェアの駆除ができていた。

しかし、Chrome拡張機能の場合、資産管理ツールによる制御がきかない。

これ、実は今後の大きな脅威の可能性として、われらがセキュリティ業界のトップガンである名和先生も警笛を鳴らしていた。

そのうちChrome拡張機能をコントロールするようなソリューションも出てくるのだろうけど、それまでに重大なインシデントが起きないことを祈る🙏

2020/02/15

未来食堂:社会貢献も兼ねた食堂!?


未来食堂に行ってきました。

だいーぶ前から気にはなっていたのですが、タイミングが合わなかったり、いざ行ったものの閉店時間過ぎていたり、定休日だったり・・・

で、今回ついに入店することができました。

ここは”ただめし”制度があって、個人的には社会のセーフティネット的な機能も備えた食堂のイメージを持っており、応援したい気持ちから行ってきました。

【ただめし】
入り口右の壁に、ただめし券が貼ってあり、困ったときはこれで食事ができる(誰でも使用可)

#50分のお手伝いで一食もらえる”まかない”制度があり、
#ただめし券は、”まかない”をした誰かが、自分が食べる代わりに置いていった一食(一枚)

ちなみにここ、おひつでごはんが出てきて、おかわり自由です。
おひつで出てくるご飯は何で美味いんだろう?
3杯もお替りしてしまった・・・

定期的に通いたいですね。

気に入りました。

最近のサイバーセキュリティの状況と、おオススメPC


名和さんの講演を聞く機会があった。

名和さんはサイバーセキュリティにおける日本のトップガン的な存在だが、twitterでロシア大使館に名指しされるほどの存在になっていることを今更ながら知った。

マルウェアの感染経路は、古典的なものだと道端に落ちているUSBメモリから、現在も主流のメール、Webがあるが、最近と言うか、今後の主流はアップデートサーバ経由になっていく模様。



模様と言うか、実際に三菱電機で発生した不正アクセスがまさにこの経路だったんだがね。

でも、アップデートサーバとなると、ユーザー企業側で出来る手段は限られるので、サービス提供事業者に高いレベルが求められることになると思う。

三菱電機の場合はト〇ン〇マ〇ク〇の脆弱性を突かれてやられたからな。

セキュリティ製品の脆弱性を突かれてインシデントとか、結構シャレにならない気がする。。。

あとは標的型攻撃で、標的の端末にマルウェア感染させた後、遠隔操作するために、マルウェアとC2サーバが通信を行うが、この通信経路が複雑化しているとのこと。

昔は特定のURLやIPで通信していたため、それらをF/Wとかで止めることで防げていた。

最近はマルウェア内にC2サーバへの直接の通信先は記載されておらず、某サイトにC2サーバへの接続先が記載され、マルウェアはそれを読み取ってC2サーバに接続しに行くらしい。

さらに驚いたことに、C2サーバは数十分程度しか稼働しない。

数十分でC2サーバが閉鎖してしまうとなると、脅威情報は事実上役に立たなくなる。

あとは、製品アップデートで、アップデートプログラムにバックドアを仕掛けられるケースが多くなっている点も注意点かかな。

数年前にレ〇ボのPCで似たような騒ぎがあったと思う。

外国製品に気をつければよいかと言うとそう簡単な話ではない。

日本企業でもN〇Cはレ〇ボと提携しているので、単純に日本企業だからOKと言うわけでもない。

個人的には安曇野FinishのVAIOをおススメしたい。

2020/02/14

【朗報】アラスカ航空がワンワールド加盟へ


僕も応援している航空連合のワンワールドにアラスカ航空が加わることになった。

今年ロイヤル・エア・モロッコが加盟して、次は中国南方航空かなと思っていたが、なんとも嬉しい誤算

ただ、アラスカ航空のマイレージは知る人ぞ知るスイートスポットだったので、この辺は今後埋めていくと思われる。

そういえば、昨年末に東南アジア圏の必要マイレージ数が改悪になったA3から引き上げるべく、10か月先の年末の特典航空券を発券した。

のんびり貯めていたため、エコノミーだと往復分、ビジネスだと片道分のマイルしか貯められなかった。

どう使おうか悩んだ結果、バンコクまでの片道ビジネスクラスにした。

帰りをどうするか・・・。

悩んだ結果、丁度ダイナース撤退に伴ってデルタスカイペソに移管したマイルがあるので、これを活用して復路のチケットを押さえることにした。

デルタのサイトで検索すると、KE、CI、MUが出てきた。

復路の便がPVG経由のCA便で、往路もPVG経由は嫌なのでMU便は却下。
CIはいいんだけど最近乗ったから今回はKEにしてみることにした。

ところが、予約を進めても途中で「売り切れ」ってエラーになる。

検索しても出てくるんだけどな。

KEには特典航空券のブラックアウト期間があって、おそらくそれでできないのかもしれない。

2020年のブラックアウト期間を教えてくれるサイトがあった。

今年は下記の感じらしい。

ー大韓航空ブラックアウト2020ー

2020年
・1/22~28
・7/12~8/16
・9/25~10/5
・12/20~12/31

2021年
・1/1~1/10

そんなわけで、あきらめてCIにすることにした。

マイルは、調達には時間とお金が必要ですが、使うには工夫と知恵が必要になります。

そこにマイルの面白さがあるのだろうと思う今日このごろ。

2020/02/13

情弱者向け金融商品のご紹介


投資の師匠である内藤忍先生の記事から。

そういえば昔カンボジアの銀行に米ドルを定期で預けると年利6%付くとか言って、カンボジアまで1,000ドル預けに行った事がある。

預けた銀行は当時SBIの資本が入っていたのだが、預けた1年後にSBIが提携解消してしまい、併せて自分も預金を引き揚げた。

1年の預け入れだったが、ちゃんと6%くらいの金利がついていて、感動した。

んで、今回はそんな6%をはるかに超える9%である。

カンボジアまで行かなくても日本でいいじゃん

と思ってしまう。

しかし、

日本で9%の金利って話がうますぎる気がしないだろうか?

内藤忍先生によると、小さいフォントの中にたくさんのトラップが仕掛けられているのだとか。

■年利9.05%といっても、適用されるのは1ヵ月定期だけ。

■1米ドルあたり為替手数料が、片道最大50銭。

為替手数料が片道50銭!!

往復で1円!!!!

例えば、1万ドル預けた場合の受け取り金利は10,000ドル× 9.05% × 30日÷365日× 79.685% = 約59.27ドル(税引き後)となる。

しかし、これに為替手数料が片道50銭取られると、往復で1円。

つまり、10,000ドルの外貨預金に、為替手数料が10,000円かかることになる。

つまり、このキャンペーン金利で、1ヶ月だけ運用した場合、為替が円高に変動しなくても、元本割れすると。。。。

ひでぇ。

こんなことやっているから、銀行は「オワコン」って言われるんだよ。

って思った。

2020/01/17

coincheckの貸仮想通貨サービス


2017年~2018年は仮想通貨ブームだった。

2017年後半からICOブームが到来して2018年はICOにチャレンジしまくったのだが、ICOで購入した仮想通貨は今や無残な評価額となっている。。。。

量子コンピュータの登場で安全性に疑問符が付きつつあることもあり、個人的には仮想通貨は下火です。

ただ、2018年に購入したBTCやETHが数万円分あり、コールドウォレットに入れたままにしておくのも何なので、コインチェックの仮想通貨に預け入れた。

コールドウォレットに入れておいてもタンス預金のようなもので利息を生まないのだが、貸仮想通貨は銀行預金のようなもので利息が付く。

現在の利率は預入期間90日で3%となっている。

これはいいと思い、2019年の5月頃に預け入れたのだが、8か月たっても預金が開始されない。


「一体どうなっているのだー」と怒りたいところだが、逆に言うと、コインチェックでも運用先が無いくらい仮想通貨が下火と言うことなのだろう。

こちらも特に代替の運用先が無いので、粘り強く待ってみることにする。

2020/01/12

ドコモショップ市川インター店の”クソ野郎”メモ


知人が携帯電話の機種変更のために、同店を訪れたところ「親代表の一括請求の子番号です。つまり クソ野郎」「親が支払いしているから、お金に無トンチャクだと思うから」などと、客を侮辱する内容が記されたメモが同店から渡された書類のなかに紛れていたというのが、Twitterに投稿・炎上し、ドコモショップが謝罪した。

客を侮辱したメモには、“新プランにかえて、Disneyはベタ付け”や“「バックアップめんどくさくないですか?」からのいちおしパックをつけてあげてください”などの指示も含まれている。

“新プランにかえて、Disneyベタ付け”とは、ドコモの新料金プランに加入することで、月額700円のディズニ公式動画配信サービス「Disney DELUXE」が12ヶ月間実質無料になることから、旧料金プランから新料金プランへの変更を促す指示と推測できる。

“「バックアップめんどくさくないですか?」からのいちおしパックをつけてあげてください”とは、「バックアップめんどさくないですか?」の一言からスゴ得コンテンツ、my daiz(マイデイズ)/iコンシェル、クラウド容量オプションの3サービスをセットにすることで月額880円から月額550円に割り引く「いちおしパック」の加入を促そうというものだろう。

なお、いちおしパックのうち、バックアップに関係するものは月額400円のクラウド容量オプションの1つだけ。いちおしパックに加入させると月額100円を多く払わせることになる。

テレビでも大きく報じられると、問題のドコモショップを運営する兼松コミュニケーションズが以下のような謝罪文を同社のウェブサイトに掲載した。

ーー
今月6日(月)に弊社が運営するドコモショップ市川インター店へご来店されたお客様への応対にあたって、同店の従業員の間の連絡用メモにおいて極めて不適切な文言を使用していた事実が判明いたしました。
今回の事態により、お客様のお心を傷つけ、多大なるご迷惑をおかけしましたことを衷心より深くお詫び申し上げます。
また、今回の事態により関係者の皆様にご不快の念をおかけしましたことを深くお詫び申し上げます。
現在、事実関係の確認を行うとともに、このような事態が生じた原因について調査を行っており、調査結果に基づき、厳正な対処を行う所存です。
弊社では、定期的に全ての従業員に対して研修を行う等により、お客様対応の向上に努めてまいりましたが、今回の事態は、お客様応対にあたって決してあってはならないことであり、弊社として厳粛に受け止め、今後このような事態が二度と発生しないよう、信頼回復に全力を挙げて取り組んでまいります。
ご迷惑をおかけしたお客様並びにご心配をおかけした関係者の皆様に対しまして、重ねて心よりお詫び申し上げます。
ーー

【引用元】https://www.kcs.ne.jp/news/archive/20200110/

うーん。

色々思うところがあるのだが、セキュリティ的な観点でいうと、情報漏洩の一種だよね。

従業員による情報管理の甘さにより、内部情報が流出してしまった。

これは従業員教育の管理強化が必要。

で、もう一つ問題なのが、その漏れてしまった情報の中身。

客を「クソ野郎」呼ばわりしているとは・・・。
(せめて「カモ」だろう・・・)

こういうのって、個人的には氷山の一角なので、兼松コミュニケーションズが運営しているほかのドコモショップや、下手するとドコモショップ全体でこのような客の扱いをしているのではと勘ぐってしまう。

一方で、情弱者がメガキャリアを使うという構図になっている点も垣間見えた気がする。

メガキャリアは高コスト体質なので、機転が利く人はコストの安い格安SIMに移行するはずで、メガキャリアを使い続けるのはコスト意識の低い情弱者だけということになる。

それゆえにメモにあるような無駄なオプションも売りつけられてしまうのだが・・・。

ドコモショップ店員が客(カモとも言う)を「クソ野郎」呼ばわりするのは良くないが、何の疑問も持たずメガキャリアを使っている時点である意味「クソ野郎(=ここでは情弱者と同義)」だと思う。

2020/01/08

Ghosn is Gone


日本から不法出国を果たし、2019年最後のビッグニュースを飾った、カルロス・ゴーン氏の会見を見た。

YouTubeのテレ東NEWSはノーカット再生してくれるので、ニュースソースとしてとても人気がある。

チャット欄やコメント欄をオープンにしているのも高評価。

2020年1月8日22時からLIVE中継だったが、6万人も視聴していた。

一般庶民の僕からすれば、ゴーン氏が逮捕された理由が日本の司法当局が言う通りなのか、日産幹部のクーデターだったのか知る由もない。

ただ、今回の事件で思うことをいくつか。。。

■感想1.日本の司法制度は前近代的だと思う。

これは、ホリエモンが自身の体験をもとにYouTubeで語ってくれているので、とても分かりやすい。

【参考】
https://www.youtube.com/watch?v=CEzNO5ac-AI
https://www.youtube.com/watch?v=8rjdR2xzeVo

検察官の自白を強要するスタンスや、取り調べで弁護士が同席できないなど、意外に日本の司法システムにおける人権保護のレベルは低いと認識した。

ゴーン氏の会見を契機にまともな方向に改革してほしい

■感想2.裁判所の保釈判断は甘かったと思う。

保釈申請の際、弁護団側からはGPS装置の着用等の申し出を行ったが、裁判所はそれを不要としたらしい。

米国とかはGPS付きの足枷を付けるのを見たことがある。

弁護団からの申し出にもかかわらずそれを不要とした裁判所の判断は甘すぎると思う。

結果、不法出国の経路は分からずじまい。

フライト履歴から関空発イスタンブール経由レバノン入りをかろうじて知ることができるという体たらく。

日本人であれば、国外逃亡してもビザが切れれば強制送還されて帰国することになるが、ゴーン氏の様に国外パスポートを持っている場合は、国外逃亡されると打つ手はない。

■感想3.日本の入出国管理は抜け穴あり。

刑事被告の国外逃亡をあっさり許してしまったのは日本国の失態中の失態。

世界に恥をさらしてしまった。。。

どうもプライベートジェット関連はチェックがザルな傾向にあるらしい。

ゴーン氏は関空から出国したとの事だが、わざわざ関空にまで出向くということは、そこに起因する穴があったのだろうか?

関係者はどえらいことになっていると思うが、是非原因究明をして穴をふさいでほしい。

引き続き今後を注視したい。

2020/01/07

Travelexでランサム被害発生(CVE-2019-11510)


日本でもおなじみの外貨両替会社、Travelexにてランサムウェアによる被害が発生していたことが判明しました。

攻撃は2019年の大晦日に発生し、300万ドルの身代金を要求されているとのこと。

記事によると、Travelexは「Sodinokibi」という2019年4月頃に見つかったランサムウェアに感染していた模様。

Sodinokibiは、検知することが非常に難しいランサムウェアであり、アンチウイルスやその他の手法による検知を防ぐために数多くの手段を講じている。

【参考】
検知することが非常に難しいランサムウェア「SODINOKIBI」
https://www.cybereason.co.jp/blog/cyberattack/3883/

侵入の経路については、VPN機器の脆弱性(CVE-2019-11510)を突かれたという説が濃厚。

というのも、米国のセキュリティ企業であるBad Packets社がこの脆弱性の影響を受けるシステム約15,000台を発見し、そのうちの一つがTravelexだったという。

最悪なのは、Bad Packets社がTravelexに警告をしていたにもかかわらず、Travelexはそれを無視していたらしい。

その結果がこのインシデントである。


しかし、イギリスの会社にしてはなんかIT運用管理がずさんと言うか・・・。

ちなみに、Bad Packets社が見つけた、脆弱性を受けるシステムのサマリが公開されていて、日本は世界で2番目に多い。(2019年8月時点の情報)

【元ネタ】
https://badpackets.net/over-14500-pulse-secure-vpn-endpoints-vulnerable-to-cve-2019-11510/

と言うことは、日本企業もそれなりに被害を受けているのだろうか?


パッチ適用はちゃんとやらなきゃいかんね。

【参考】
https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-hits-travelex-demands-3-million/