2020/12/31

(マイナス金利時代の)資産運用虎の巻


 あと数時間で2020年が終わる。

まさに1年前の2019年末は、2020年は東京オリンピックがあり、マイルでの3年ごとの周遊計画を立てていたりで、素晴らしい年になると想像していた。

ところが、ふたを開けてみると武漢ウイルスの蔓延で東京オリンピックは1年延長になり、飛行機は飛ばなくなってマイル旅行どころではなくなり、仕事ではテレハラで休職したりと、散々な1年であった。

とはいえ、今年は大厄だったので、それでも健康に迎えられるだけでも感謝である。

世の中には「年越し派遣村」のリニューアル版である「コロナ被害相談村」が用意されるらしい。

そう思うと、過ごす部屋や布団がある状態で年を越せるのはありがたいことなのかもしれない。

「コロナ被害相談村」を対応する方々には頭が下がる。

私は自分の対応で精いっぱいである。

年末恒例の大掃除を行ったところ、内藤忍先生が作成した、いつぞやのセミナーでもらった資産運用虎の巻が出てきた。

紙で持っておくのも何なので、データ化しておきたい。

資料は数年前のもので、マイナス金利時代の前提がついているものの、おそらく基本的な考え方は今でも通じると思うし、今後も通じる気がしている。

  1. リスクを取らなければリターンは得られない。
    投資のリターンとは、リスクを取ったことに対するマーケットからのご褒美です。リスクを取らないのにリターンだけを求めるのは虫の良い話。かと言って、リスクをやみくもに取ればよいというものでもありません。自分の身の丈に合った、意味のあるリスクを取ることによって、リターンを狙っていく。

  2. 円資産と外貨資産をバランスよく保有する
    円高なのか円安なのかわからないのなら、円資産と外貨資産を半分ずつ保有するのが基本。

  3. リターンの源泉を考える
    投資をする前に考えるべきことは、なぜその投資対象からリターンを得ることができるのかという「リターンの源泉」です。株式や債券のような金融資産は投資先が付加価値を生み出すことに伴う投資家としての利益、不動産であれば賃借人が物件から得るメリットへの対価がリターンの源泉といえます。リターンをもたらす理由がない資産は保有しても長期でリターンは生み出しません。

  4. 目先ではなく五年後、十年後を考える
    資産運用は短期ではなく、長期で考えるべきです。金融政策によって運用環境が変わっても長期で資産運用の成果を追求すべきという投資の基本は変わりません。目先の動きに一喜一憂しないで、長期で目標とする資産を手に入れることを考え、そのための最短距離を実践していくというスタンスはいつの時代にも不変です。

  5. 円資産の金利にはこだわらない
    円の金利型資産は、運用対象ではなく待機資金として位置付け、小さな利回りの差を狙うのに時間をかけるのはやめましょう。

  6. 資産運用戦略だけではなく、”借”戦略も考える
    資産運用に関していえば、何に投資をするかという資産サイドだけではなく、投資資金をどうやって調達するかという借入戦略がこれから重要になります。自己資金だけで投資をしていると、バランスシートの左側しか考えていない、「残念な投資家」になってしまうのです。

  7. 海外不動産も”借”を考える
    一部の金融機関では海外事業資金という位置づけで海外不動産に円の借り入れが可能になる場合も出てきています。不動産は借り入れによるレバレッジを使える数少ない資産。海外不動産も例外ではなくなってきました。

投資に関しても大きな成果がない1年だったが、逆に退場することもなく市場に入れたことに感謝しなければならない。

いろいろ無事であることに感謝しつつ、来年は前進したいと思う。


Posted in  on 12月 31, 2020 by B-SON |  

クラウドサービス利用におけるリスク管理上の留意点(転載)


金融システムレポート別冊「クラウドサービス利用におけるリスク管理上の留意点」 : 日本銀行 Bank of Japan:

 クラウドサービス(以下、クラウド)とは、共用のコンピューター資源(サーバー、ミドルウェア、ストレージなど)をネットワーク経由で利用するサービスであり、多くの金融機関においてシステムを構築する上で不可欠なものになっている。また、デジタル・トランスフォーメーション(DX)の潮流の下で、新たなデジタル技術の活用の有力な選択肢となることも多く、金融機関の経営陣においてもクラウドについて一定の知見を有することが必要となっている。こうした中、金融機関からは、クラウド利用に対し、クラウドの特性に起因するセキュリティや可用性の不安などが懸念事項として挙げられている。

本稿では、そうした懸念を払拭するために対応すべき重要な事項を、「セキュリティ管理」、「可用性管理・レジリエンス」、「委託先管理」の順に整理し、さらにクラウドに期待されるメリットを享受するための「コスト管理」、「開発体制・人材確保」、「利用方針の策定」について解説を加えた。また、別紙には、金融機関やベンダー等の協力の下で得られた情報を基に、これらの重要な事項に対応する管理項目と取組事例を取り纏めている。

本稿が、金融機関の経営トップをはじめとする、各関係者のクラウドの利用とリスク管理に関する適切な認識の共有や、クラウドに関するリスク管理体制の整備等を通じた、ITガバナンス維持・向上の一助になることを期待する。

バックアップ

2020/12/30

【2020年12月】株主優待戦略を考える(権利付き最終日:2020年12月28日 )


2020年9月の株主優待戦略を考える。

自分にとってはJALマイルの獲得が行動の源泉となっているため、プレミアム優待倶楽部の中から対象を絞り込んでいくこととなる。

優待取りで株式を取得して損失を出してしまっては元も子もないので、まずは下記のポイントで絞り込みを実施

①プレミアム優待倶楽部の9月権利確定企業の一覧を確認
 ⇒継続保有条件ありやポイント付与終了の企業は脱落

②証券会社のWebサイトにアクセスし、空売りが可能かを確認
 ⇒空売りできない銘柄は脱落

株主優待情報サイトにアクセスし、最も効率の良い投資対象を選定

上記の絞り込みの結果、今回は下記とすることにした。

あとは証券会社で現物の新規買いと、信用新規売りを立てるだけ。

前回成行で注文を入れる際、見積もりの必要資金額464,500円に対し、注文に際しての必要資金は約600,000円となってしまったことを受け、必要資金は株価x必要株数x1.3とした。

指値で入れれば資金効率は上がるが、刺さらないと困るので、一旦諦める。

尚、獲得したポイントは500ポイント⇒100マイルに交換可能。

予定獲得ポイント:22,500
(マイル換算:4500)

■(12/30追記)振り返り
【ダイキアクシス(4245)/2,000株】
 -12/28-
 ・始値:1,165円
 ・高値:1,188円(+23)
 ・安値:1,125円(▲40)
 ・約定価格:1,165円

 -12/29-
 ・始値:1,121円
 ・高値:1,161円(+40)
 ・安値:1,107円(▲14)
 ・約定価格:1,121円

 -損益-
 ・現物:▲90,660円
 ・信用(空売り):57,579円
  -貸株料(421円)控除
  -支払い日歩(30,000円)控除
  ーーーーーーーーーーーーーーーーー
   計:▲33,081円

【ファイバーゲート(9450)/300株】
 -12/28-
 ・始値:2,591円
 ・高値:2,616円
 ・安値:2,497円
 ・約定価格:2,591円

 -12/29-
 ・始値:2,524円
 ・高値:2,560円
 ・安値:2,462円
 ・約定価格:2,524円

 -損益-
 ・現物:▲21,074円
 ・信用(空売り):19,885円
  -貸株料(140円)控除
  -支払い日歩(75円)控除
  ーーーーーーーーーーーーーーーーー
   計:▲1,189円

【振り返り】
ダイキアクシスを例にとると、現物だけで優待取りを行った場合、90,660円の損失のところを、両建てにより33,081円の損失に抑えることができた。

約定価格は同じなのになぜこんなに差がついたのか調べてみたら、今回は巨額な支払い日歩、いわゆる逆日歩(30,000円)が発生していた。

これはイタイ。。。

また、今回初めて借り入れを使った株主優待に挑戦したが、タイミングが悪かった。。。

12月は28日が権利落ちで、29日に手仕舞って出勤手続きしてもお金が口座に戻ってくるのは1/4となり、1/28~1/4分までバッチリ金利がついてしまう。(逆日歩に比べれば小さい金額だったが。。。)

愚痴ばかり言っても始まらないので、次に向けた改善を検討する。

現状、成行で注文を出し、ほぼ始値で約定しているが、両建て注文が同じ価格で約定している限り、一定額の損失は発生してしまう。

どうすればよいか。。。

やはり逆指値注文を活用するしかあるまい。

逆指値の場合、最低限の利益を確保しつつ、確実に刺さる。

確実に刺さるため指値ポイントをどう見極めるか。。。

ダイキアクシスをネタに考えてみる。

ちなみに権利落ち前日(12/25)の結果は下記であった

 -12/25-
 ・始値:1,150円
 ・高値:1,166円(16円)
 ・安値:1,130円(▲20円)
 ・終値:1,164円

上記の始値、高値、安値をヒントに指値ポイントを試算してみる。

安全パイを狙うとすると、始値と高値の差16円を半分にした8円だろうか?

この8円を逆指値にして権利落ち日に挑戦する。。。

前日の終値をベースに下記のような逆指値注文を入れる。

・現物:1164円-8円(=1156円)以下になったら成行注文

・信用(空売り):1164円+8円(=1172円)以上になったら成行注文

12/28の結果は下記なので、めでたく約定する(はずである)

 -12/28-
 ・始値:1,165円
 ・高値:1,188円(+23)
 ・安値:1,125円(▲40)
 ・終値:1,132円

成り行き注文なので、差が出るものの、下記で約定したとする。

・現物:1156円で約定

・信用(空売り):1172円で約定

12/28の終値をベースに手仕舞いを行う。

・現物:1156円+8円(=1164円)以上になったら成行注文

・信用(空売り):1172円-8円(=1164円)以下になったら成行注文

 -12/29-
 ・始値:1,121円
 ・高値:1,161円(+40)
 ・安値:1,107円(▲14)

あれ、現物が刺さらない。

となると困るので、実際の注文時はOCO注文と不成注文を活用して、前場引けで成行となるようにする。

12/29の11:30時点の価格は1116円。

そうすると下記のような結果となる

・現物:1,116円で約定

・信用(空売り):1,121円で約定

さて、結果はどのように変わっただろうか?

【成行だけでやった場合】
・現物仕掛け:1,165円
・現物手仕舞い:1,121円(-44円)
・信用仕掛け:1,165円
・信用手仕舞い:1,121円(+44円)
 ------------------------
  計:0円

【逆指値併用の場合】
・現物仕掛け:1,156円
・現物手仕舞い:1,116円(-40円)
・信用仕掛け:1,172円
・信用手仕舞い:1,121円(+51円)
 ------------------------
  計:+11円

成行だけでやった場合、ここに31,000円程度の手数料が発生し、赤字転落となる。

逆指値併用の場合、1株11円の利益が出て、2,000株で22,000円の利益が追加となり、更なる赤字圧縮が可能となる。

おぉ、シミュレーションした自分が一番驚いた。

次回の株主優待は逆指値併用で行ってみよう!!

サイバーセキュリティ2021:新たな脅威は? / Cyber security 2021 : What new threats can be expected?; here is our estimate(転載)

Cyber security 2021 : What new threats can be expected?; here is our estimate:

2020年はサイバーセキュリティにとってイベント満載の年であり、控えめに言ってもCOVID-19は1,840億ドル産業のパラダイムを完全にシフトさせ、その影響は1年を通して、そして来年にも及ぶ可能性がある。では、2021年のサイバーセキュリティにはどのような新たな脅威が期待できるのでしょうか?私たちは、あなたが注意しなければならないであろう将来の脅威の傾向を評価しました。

ソーシャルエンジニアリングによる攻撃

Verizon社の2020年のデータ侵害調査報告書によると、ソーシャルエンジニアリングが攻撃ベクトルのトップであり、この傾向はおそらく2021年も続くだろうが、より良い方法で、より洗練された方法で行われるという。例えば、攻撃者は、Eメールやカード番号などの詳細を尋ねて詐欺を行い、Covidのテストキットを無料で提供しています。

サイバー犯罪者は、リモートワーカーのネットワークに着目し攻撃する。

 ソーシャルディスタンスはウイルスを遅らせることはできても、ハッカーは遅らせない 2021年には、攻撃者がWFH(在宅勤務)従業員や最低限のセキュリティ防御を使用している人に焦点を当てる可能性が高い。電子メール、音声、テキスト、インスタントメッセージング、さらにはWFHの従業員を標的としたサードパーティ製アプリケーションを含むフィッシングも高い確率で発生するでしょう。

景気後退による予算削減は、サイバーセキュリティリスクを招く。

 米国経済は、2020年7月の時点で2.8兆ドルに2018年末の7790億ドルから2.8兆ドルに下落したように、2020alsoの10%の減少とITと技術投資の彼らの支出は減少した加速の年の後、IT支出は2020年に10%近く減少しました。これはおそらく来年も続くだろうし、企業は、1社がMcAfeeやMicrosoftのようなセキュリティソリューション全体を提供することができる、より収束的なサイバーセキュリティソリューションを探すことになるだろう。セキュアアクセスサービスエッジ(SASE)プラットフォームは、企業がコスト削減策を模索する中、バラバラの製品よりも足元をすくわれることになるでしょう。

攻撃者は機械学習を活用

 Beyondtrust.comは、ハッカーが使用する攻撃方法が急速に進化していることで実現可能性がある興味深い予測をしており、脅威の行為者は機械学習を使用してセキュリティの脆弱性やギャップを発見したり、セキュリティ防御を回避したりするだろうと予測している。"MLエンジンは、成功した攻撃のデータを用いて訓練されるだろう。これにより、MLは防御のパターンを特定し、類似のシステムや環境で発見された脆弱性を素早くピンポイントで特定することができるようになる。このアプローチにより、攻撃者は、攻撃のたびに標的とする脆弱性が少なくなり、不正行為を特定するために大量の活動を必要とするツールから逃れることができるため、より迅速かつ巧妙に環境内の侵入ポイントに狙いを定めることができるようになります。"

2020/12/29

「情報セキュリティ」と「サイバーセキュリティ」は違う!?


 先日、とある講義を聞いて、自分が「情報セキュリティ」と「サイバーセキュリティ」をごっちゃにしていることに気が付いた。

実は「情報セキュリティ」の中の一要素として「サイバーセキュリティ」が存在しているのである。

そんなにこだわる必要は無いと思うが、一応各用語の整理をしておきたいと思う。

情報セキュリティとは

こちらは、ITに関わる多くの方がすでにご承知のように、JIS Q 27000にて、情報セキュリティは「情報の機密性、完全性、及び可用性を維持すること」とされており、自然言語レベルでは厳密な定義があると言えます。

また、JIS Q 27000での定義は、国際規格 ISO/IEC 27000 の Information security の定義の日本語訳となりますので、「情報セキュリティ = Information security」と言えます。

Cybersecurity、サイバーセキュリティの定義

NISTの用語集のcybersecurityの項目や、我が国のサイバーセキュリティ基本法における定義を踏まえると、以下の3点に集約できそうです。

  1. 情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置
  2. 情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置
  3. その状態が適切に維持管理されていること

サイバーセキュリティの定義自体は実は現時点では固まったものはない模様。

ただ、情報セキュリティの中にサイバーセキュリティが包括される点だけは現時点間違いない事実なので、認識しておくようにしたい。

2020/12/28

スーツケースのクリーニング+保管サービス 1年間4800円〜(転載)

 

スーツケースのクリーニング+保管サービス 1年間4800円〜

皆様こんにちは。

旅に欠かせないスーツケース。

使っていると汚れたり、家に置いておくと邪魔だったりしますよね。

我が家も昔は保管場所を嫌って毎回会社の福利厚生のレンタルを使っていました。

しかし、レンタルの人はそう多くなくて、みんな我慢して家に置いていますよね(;´∀`)

そんな悩みを解決できるサービスを見つけたのでご紹介。

 

キャリスト

キャリスト

引用元:https://carry-storage.ry-rental.com/

日本鞄材株式会社が提供するスーツケースの保管&クリーニングサービスがキャリストです。

スーツケースを郵送すると1年間単位で保管してくれるので家に置いておく必要がありません。

契約は1年単位ですが早めに必要になった場合は連絡すれば返送してくれます。

クリーニングがセットになっているので、ピカピカの状態で戻してくれるのがポイントです。スーツケースって外はもちろん中も汚れてたりしますからね。洗濯する前の衣類を押し込んでたりするので匂いとかも・・・(;´∀`)

外装の清掃だけでなく内装の布地も染み抜きしてくれたりとしっかりクリーニングしてくれるみたいです。

日本鞄材さんは元々スーツケースのレンタル事業者やクリーニングサービスをしていたので、ノウハウもばっちりあるでしょうから安心しておまかせできそうです。

Q:落ちきっていない汚れなどがあったら?

A:もし品質にご満足いただけなかった場合は、スーツケース到着から7日以内であれば無料で再仕上げいたします。
最後まで誠意を持って対応いたします。

https://carry-storage.ry-rental.com/

クリーニングについてサイトのQAには心強い回答が。

 

利用方法

  1. キャリストのHPにアクセス
  2. 集荷日と保管期間を決めてWeb上で申し込み&決済
  3. 梱包して集荷に来た配送業者に預ける
  4. キャリスト到着後にクリーニング
  5. 保管開始
  6. 保管期間満期日、または返送依頼をかけたら返送

といった流れになります。

スーツケースを送る際は梱包しておく必要があるみたいですが、ダンボール等はもらえないので、自前でダンボールを用意する必要がありそうです。

それ以外は簡単に手続きできそうです。

 

料金

申込期間によって必要金額が異なります。契約期間は1年単位で3種類用意されています。

  • 1年間:4,800円(月400円)
  • 2年間:6,000円(月250円)
  • 3年間:7,200円(月200円)

長く預けた方が月額あたりの費用は下がりますが、一度返送してもらうと契約が満了し、再度預けることができません。

本ブログの読者は旅行好きだと思うので1年以上も預けるようなケースは稀でしょうから、1年間のプランでいいんじゃないでしょうか。

我が家も預けても長くて半年くらいかなぁ。

半年だと月あたりの金額に換算すると800円(4,800円÷6ヶ月)なのでちょい高いですが、クリーニング付きだと思うとまぁ許容範囲・・でしょうか。

スーツケースのクリーニングって安くても4,000円くらいしますからね。

キャリストさんのクリーニングが単品のクリーニングサービスと比べてどこまで気合いれてくれるかはちょっとわかりませんが、前述のQAを見る限りは真面目にやってくれそうではあります。

日本鞄材さんのクリーニングサービス単品はガチの清掃してくれていますが、レンタルの付帯サービスだといかに・・・?

期間中の再預けができれば最高ですが、送料は送る時も戻ってくる時も不要なので、仕方ないですね。

キャリスト

引用元:https://carry-storage.ry-rental.com/

1年未満の預けであれば、4,800円だけでいいわけですね。

 

まとめ

  • スーツケースのレンタル&クリーニングサービスが「キャリスト」
  • 契約は1年間単位(早めに戻してもらうことは可能)
  • 1年間で4,800円
  • クリーニング代と思えば割安?

正直クリーニングをどこまでしっかりやってくれるかで評価が分かれそうですね。

特に今はコロナで旅に行けないので、大型のスーツケース(3辺合計160cm以内)をクリーニングと思って預けてみるのはいいタイミングかもしれませんね。散々酷使してきているわけですからここらで一度クリーニングしてもらうのは全然有りですよね。

次回使おうと思ったらカビ生えてたとか笑えませんし(;´∀`)

単品の清掃サービスを見るとキャスター部分もしっかり清掃してくれるっぽいので、キャスター不具合の原因も取り除いてくれると思うとやってもいいかなと思える。

と言っても我が家はグローブトロッターなのでちょっと預けるには勇気が入ります。

リモワなら預けてもいいけど、

残念ながら素材がアルミとソフトの場合は外装クリーニングの対象外のようです。キャスター部分は清掃してくれると思いますが。

スーツケースの清掃ってあまりピンと来ませんでしたが、けっこう汚い気がするので、いつかはやらないといけないですよね。

特にポリカーボネートのスーツケースを使ってる方は外装もしっかりクリーニングしてくれるっぽいので検討してみてはいかがでしょうか?

それでは!

Posted in ,  on 12月 28, 2020 by B-SON |  

CISA、Azure/M365環境向けの無料検出ツールをリリース / CISA Releases Free Detection Tool for Azure/M365 Environment(転載)


CISA Releases Free Detection Tool for Azure/M365 Environment:

Original release date: December 24, 2020

CISAは、Azure/Microsoft O365環境のユーザーやアプリケーションを脅かす異常な活動や潜在的に悪意のある活動を検出するための無料ツールを作成しました。このツールは、インシデント対応者が使用することを目的としており、複数のセクターで見られる最近のアイデンティティおよび認証ベースの攻撃が常態化しているアクティビティに絞っています。

CISAでは、ユーザーや管理者に対して、追加情報や検知対策については以下のGitHubページを参照することを強く推奨しています。

CISA strongly encourages users and administrators to visit the following GitHub page for additional information and detection countermeasures.

2020/12/27

商品を購入する度に購入価格の50%がポイント還元されるサイト(転載)

毎年、この世界には様々な商品が製造され、その中から便利な商品人気の商品、流行の商品が生まれ古い商品と入れ替わっていきます。

 古い商品はやバーゲンで叩き売りとなりますが、それでも売れ残るどうにもならない商品があります。

そんな商品のことを“滞留在庫”呼び、品質的に何ら問題なくとも処分されてしまうということに。

 今回、そんな”滞留在庫”を格安で販売する、今年3月にオープンしたオンラインサイトをご紹介します。

 RUKAMO(ルカモ)

 企業から寄せられる“滞留在庫”格安な価格で販売して、少しずつ廃棄ロス削減に貢献しているため販売商品も衣類、寝具、家電など様々な分野を取り扱いしています。

勿論、普段の買い物で利用しても安く購入できるというメリットがありますが、こちらのサイトではそれ以上にお得になるポイントが。

 通常、大手通販サイトで買い物をする際に付与される”ポイント”は少なければ”3%”、還元セールなどキャンペーンで”10%”程度ですが“ルカモ”の販売商品を購入すれば時期に関係なく“50%”の還元です。

 ポイントについて

 つまり、“1000円”の商品の購入で“500円相当”が戻ってくることに。

 買えば買うほどポイントが貯まり社会も貢献できてしまうサービス。

 現在であれば、コロナ感染対策の商品も多く取り扱いがありますし、目当ての商品を、どこのサイトで購入しようかと迷われている方はまずは”ルカモ”のラインナップを調べてみてもいいかも知れません。

Posted in ,  on 12月 27, 2020 by B-SON |  

【Rakuten WiFi Pocket】端末代金・利用料金・違約金すべて0円のお祭り状態(転載)~自分もうっかり申し込んでしまった。。。~

先日、話題の“楽天モバイル”から発売されたモバイルWiFiルーター“Rakuten WiFi Pocket”ですが端末代金や利用料金などがすべて“実質0円”となるキャンペーン中。

さらに解約手数料も“無料”という“楽天モバイル”ならではの企画でお祭り状態となっている模様です。

上記キャンペーン中に適用となる

価格・料金変更は以下の通りです。

①端末代金

定価9980円→1円

②データ料金(使い放題)

月額2980円→1年間無料

端末代金“1円”は、契約後に届く“アンケート”に回答すれば貰える“1ポイント”で実質相殺という形。

本キャンペーンへ参加する方法は“Rakuten WiFi Pocket”申込で以下2点を購入することが条件です。

  1. Rakuten UN-LIMIT V
  2. Rakuten WiFi Pocket
 
申込の際に、必ず2つを“カート”に入れた状態で申込完了させること。

“Rakuten UN-LIMIT V”は、通常スマホの契約プランでありますが“楽天モバイル”ではWiFiの契約もこのプランに統一しているだけでスマホを契約する必要も一切なし。

1年間“無料”で、モバイルWiFiが使える上、“1年以内の解約”でも違約金が“不要”となり、”SIM”の返却は”必須”ですが、端末本体は本当に”1円”で購入しているため返却をする必要が一切ありません。
Posted in ,  on 12月 27, 2020 by B-SON |  

2020/12/26

ランサムウェアの身代金支払い額、日本は平均で約1億2300万円(転載)


ランサムウェアの身代金支払い額、日本は平均で約1億2300万円:

 ランサムウェア攻撃(マルウェアなどを使った脅迫型サイバー攻撃)の脅威が世界的にまん延する中、セキュリティ企業のクラウドストライクの調査によれば、直近1年で日本企業の52%がこの攻撃を経験し、32%が身代金を支払っていたことが分かった。支払い額は平均で117万ドル(約1億2300万円)だった。

 調査は、8~9月に12カ国の企業のIT意思決定者やセキュリティ担当者にアンケート行い、約2200人(うち日本は200人)が回答した。結果を「2020年度版 CrowdStrikeグローバルセキュリティ意識調査」として発表している。

 これによると、ランサムウェアの脅威が高まるとした回答者は、2019年の前回調査から12ポイント増えて54%に上った。12カ国中最多はインドの83%で、日本は68%だった。直近1年で攻撃を経験した回答者が最も多いのもインドで、74%に上る。

 日本は52%が攻撃を経験し、うち28%は2回以上の攻撃を経験したと回答。また、42%は攻撃者と交渉を試みたとし、32%が被害を回復する目的で実際に身代金を支払った。身代金支払い額の平均は、米国が99万ドル、アジア太平洋地域が118万ドル、欧州・中東が106万ドルとなっている。

 調査結果について米CrowdStrike 最高技術責任者(CTO)のMichael Sentonas氏は、「世界的なコロナ禍でランサムウェアによるサイバー攻撃への懸念も高まっている。日本については、交渉や身代金を支払ってしまったところが多く心配な状況だ。やるべきではない」と警鐘を鳴らす。

 同氏はランサムウェア対策として、(1)最新のセキュリティ技術を用いた予防体制の強化、(2)自組織に影響する脅威をいち早く検知して備える「脅威ハンティング」の利用、(3)ソフトウェアなどの最新状態を維持する「サイバー衛生」の確保、(4)IDの保護、(5)従業員へのサイバーセキュリティ教育の実施――を挙げている。調査では、日本の73%が、ランサムウェアのリスク低減のためにセキュリティ投資を増強すると回答したという。

CrowdStrike 最高技術責任者のMichael Sentonas氏
CrowdStrike 最高技術責任者のMichael Sentonas氏

 また、コロナ禍への対応としてデジタル/IT投資を増強する傾向も見られたとする。日本は、77%がデジタル/ITへの取り組みが加速すると答えていた。グローバルも同様で、クラウドとセキュリティへの投資を強化する回答者は約7割に上る。回答者の組織では、コロナ禍への対応で100万ドル近くを投資しており、77%はさらに平均10万ドルを投じる考えであることが分かったとする。Sentonas氏によれば、セキュリティの投資テーマには、エンドポイント、ゼロトラストネットワーク、CASB(Cloud Access Security Broker)、インシデントレスポンスなどが挙げられた。

 この他に調査では、国家ぐるみのサイバー攻撃に対する懸念の高まりも判明。87%が「想像以上に脅威が増える」とし、特に日本は94%に上った。新型コロナウイルス感染症対策として競争が激化しているワクチン開発などがその要因で、バイオやヘルスケア分野での懸念が高いとしている。

2020/12/25

金融機関のシステム障害に関する分析レポート


 先日、とあるセミナーで金融業界における話を聞くことができた。

金融業界は金融庁がにらみを利かせていてガチガチのお堅い世界だと思っていたが、以外に官民連携で新しい技術を受け入れつつ、ガバナンスをどう確立していくかを考えている姿勢が伺えて面白かった。

以前は定期的に金融庁が金融機関に対して検査を行っていたが、金融機関のベースラインが上がってきたこともあり、「検査」から「モニタリング」に移行させているあたり、金融庁の(意外な)柔軟姿勢を垣間見ることができた。

恐らくこの柔軟な姿勢が仮想通貨の初期段階における寛容さに繋がったのであろう。

本来であればここで仮想通貨取扱事業者が自社のセキュリティ対策やITガバナンスを主体的にきっちりやっていれば問題なかったのだが、インシデント多発により、金融庁も厳しい姿勢で臨まざるを得なくなったのかと想像する。

金融庁が過去に報告されてきたインシデント事例をまとめてレポートとして公表している点も面白かった。

金融機関って最もITやセキュリティに投資をしている業界だが、それでも結構なインシデントが発生している点は興味深かった。

バックアップ(金融機関のシステム障害に関する分析レポート)


Posted in  on 12月 25, 2020 by B-SON |  

ブラウザー「Smooz」がサービス終了(転載)~取得情報の取り扱いをいい加減にすると事業停止に陥る事例か~


ブラウザー「Smooz」がサービス終了、同じ運営元の「在庫速報.com」もアクセス不能に?【やじうまWatch】:

 スマホ用ブラウザー「Smooz」がサービスの終了を発表した。時を同じくして、同じ運営元の「在庫速報.com」がアクセス不能となったことで、さまざまな憶測が飛び交っている。

 ユーザーの閲覧情報をサーバーに送信している疑いが発覚し、アプリの公開を停止していたSmoozは23日、「Smoozの提供を継続することは困難」とし、サービスの終了を発表。詳しい説明がほとんどないまま終了に至ったことで、ネット上では物議を醸している状況だが、一方で注目を集めているのは、同じ運営元が提供している価格比較サービス「在庫速報.com」が、23日早朝から見られなくなっていること。同じアスツール株式会社が運営しているというだけでサービスそのものには特に関連性はないはずだが、公式Twitterでのアナウンスもないまま、サーバーが「503」を返し続けており、ユーザーの間ではそのタイミングの一致を巡って、さまざまな憶測が飛び交っている状況だ。

バックアップ(プレスリリース)

2020/12/24

「クラウドが止まって電気が消せない」「VPNへの攻撃」……IIJが今年のセキュリティ課題を振り返る(転載)~DDoSは一度やられると繰り返し来ます。。。~


「クラウドが止まって電気が消せない」「VPNへの攻撃」……IIJが今年のセキュリティ課題を振り返る【IIJ Technical WEEK 2020】:

 株式会社インターネットイニシアティブ(IIJ)は、ITエンジニアを対象とした年次の技術イベント「IIJ Technical WEEK 2020」を開催した。会期は12月14日から17日の計4日間で、今回はオンライン開催となった。

 4日間それぞれにテーマが設定され、DAY1は「セキュリティ」、DAY2は「インターネット・バックボーン」、DAY3が「アプリケーション」、DAY4が「データセンター」となっている。

 本稿では、DAY1(14日)のセキュリティに関するセッションの模様をレポートする。なお、セッション内容は後日、動画でも公開されている。記事の最後に紹介しているので、詳しく見たい方はそちらも見てほしい。

クラウドが止まると「デバイスが止まって電気を消せない」時代に……

 IIJのセキュリティ本部長の齋藤衛氏による「セキュリティ動向2020」は、1年のセキュリティ動向を振り返る、毎年恒例のセッションだ。

 齋藤氏はまず、この1年の概況をリストアップしたスライドで振り返った。Emotetの間接活動など、同セッションのこの後の各論で解説する重要事案はここで置いておいて、それ以外から語られた。

 まずVPNへの攻撃。コロナ禍のリモートワークで問題が注目されたが、実は昨年ぐらいに発見された脆弱性の対策が終わっていなくて、そこが攻撃されたという。

 次は、NTTコミュニケーションズで外部からの不正アクセスにより情報が漏洩した事件。これについては、通信事業者どうしということで注目していることや、NTTコミュニケーションズの人がカンファレンス等で情報を公開していることが紹介された。

 その次は、クラウドサービスの障害による業務や生活環境への影響。「クラウドサービスがよくも悪くも生活の基盤になって、障害が大きく扱われるようになった。先日も、ある大手パブリッククラウド(筆者注:AWSと思われる)の障害の結果、IoTデバイスが動作しなくなって電気を消せない、といった声も起こるようになった」(齋藤氏)。ちなみに奇しくも同日夜には、Googleの障害が発生し、同様にIoTデバイスの問題が報告されていた。

マルウェア:「Emotet」が猛威、パスワード付きZIPファイルで伝播するマルウェアも

 さて、各論の最初はメールで伝播するマルウェアだ。

 齋藤氏は20世紀からのメール添付されたマルウェアに触れつつ、今年はEmotetが話題になっていたことを取り上げた。Emotetは、2014年に発見された当初はオンラインバンキングの認証情報を盗むものだったが、現在ではいろいろな機能が追加され、ボットや他のマルウェアのダウンローダとして活動しているという。

 「Emotet」については、IIJのSOCチームがまとめている観測レポートも紹介された。この約1年で、2019年9月、12月~2020年2月、7月、9月の4回の盛り上がりがあったという。特に7月がひどく、全マルウェア検出数の80%以上をEmotetが占める日もあったと齋藤氏は語った。

 同レポートでは、文言やどのようなメールに添付されるかも公開している。その一部では、正当なメールに返信する形で感染活動を行う、やりとり型攻撃に似た方式のメールもあるということで、齋藤氏は注意を呼びかけた。

 そのほか、パスワード付きZIPファイルについても言及された。パスワードで暗号化されているため、「多くのゲートウェイ型検知システムで検査されない」という問題があるという。11月からは、パスワード付きZIPファイルで感染活動するマルウェア「IcedID」も登場している。

標的型ランサムウェア:狙われる「身代金を支払いそうな標的」

 各論の次のテーマは、標的型ランサムウェアだ。ディスクに記録した情報を勝手に暗号化して人質にし、金銭を要求するランサムウェアは、一般にも有名になった。

 さらに2~3年前からは、身代金を支払いそうな特定の標的に対してランサムウェアによる攻撃を仕掛ける、標的型ランサムウェアが登場しているという。

 また、標的ランサムウェアでは、データを人質にするだけでなく、情報を窃取して、リークサイトに暴露すると恐喝するものも登場していることを齋藤氏は紹介した。

DDoS攻撃:最近は1日平均10回以上発生、「一度サイトが倒れると、繰り返し狙われる」

 各論の次のテーマはDDoSだ。DDoSは古くから続いている攻撃で、IIJでは2003年頃から脅威として取り上げているとのこと。現在は1日平均10回以上発生し、100Gbpsを超える規模のものもあると齋藤氏は報告した。IoTボットも依然として脅威だという。


 DDoSの中で、DDoS攻撃して金銭を要求する恐喝DDoS攻撃も、2007年ごろから発見されている。去年の同セッションでも方向されたテーマだ。

 「今年も夏ごろに世界中の金融期間に攻撃が発生した」として、齋藤氏は韓国やニュージーランド、国内の事例を紹介した。


 また、一度DDoS攻撃でサイトが停止すると、くり返し狙われやすくなることも、齋藤氏は解説した。これには、特定の攻撃者が一連の攻撃をかける場合と、複数の攻撃者が弱いサイトの情報が共有している場合があるという。「最初に来たときに倒されないようにきちんと防御しておくのが対策」と齋藤氏は注意した。


コロナ禍の影響でトラフィックが変化

 各論の次のテーマは、コロナ禍の影響だ。ネットワークについては、直接セキュリティではないが、テレワーク関連で通信の契約が伸びていることを紹介した。また、トラフィックが昼間は会社から・夜は自宅からという波が平準化して、一日中同じようにトラフィックがあるという。

 仕事の仕方も変化し、テレワークが増えた。ちょうど情報資産がオンプレミス環境だけでなくクラウド環境にも置かれるようになってきている。この2つが同時に進行して、会社からオンプレミス環境にアクセスするだけでなく、会社からクラウド環境にアクセス、自宅がオンプレミス環境にアクセス、自宅からクラウド環境にアクセス、という4パターンが広まった。

 これに運用体制が対応できているかどうかの問題を齋藤氏は取り上げた。オンプレミスでは、誰がいつどの情報にアクセスしたかログが残り、情報漏洩などの内部犯行への抑止力となっている。「たとえば自宅からクラウド環境にアクセスしたときにログが取れているか?」として、齋藤氏は注意を喚起した。


記者会見が新たな収入源に? 小池都知事のYouTube会見にスパチャが相次ぎ話題に(転載)~マスコミの加工された偏向報道見るよりもはるかに健全だな。今後は東京都が直接LIVE配信せよ!!~



記者会見が新たな収入源に? 小池都知事のYouTube会見にスパチャが相次ぎ話題に【やじうまWatch】:


 東京都の小池百合子都知事のYouTube記者会見で、スパチャによる投げ銭が行われたことが話題になっている。

 スパチャ(スーパーチャット)はYouTube Liveの投げ銭機能で、一般的にはYouTubeで収益を上げる方法の1つとして用いられる。今回話題になったのは、17日に毎日新聞が行った中継で、同社がスパチャの設定をオンにしていたところ、投げ銭を行う人が続出。最終的には延べ37人から合計で1万4454円が集まったが、同社は意図しない収益だとして、都の「守ろう東京・新型コロナ対策医療支援寄附金」に寄付するとしている。今回は設定ミスとのことで次回からは運用が見直されるようだが、記者会見の中継は各社ごとの差別化がしづらいだけに、今後敢えてスパチャをオンにするメディアが出てきてもおかしくなさそう。ちなみにスパチャでは投げ銭の対価として配信者に名前やコメントを読み上げてもらうのが一般的だが、今回の会見ではそのような要素は一切なかったようだ。なお該当の中継は、スパチャが行われている様子とともに、毎日新聞のYouTubeチャンネルでリプレイで視聴できる。
Posted in ,  on 12月 24, 2020 by B-SON |  

2020年以降におけるセキュリティとリスクマネジメントの9つのトップトレンド(転載)


2020年以降におけるセキュリティとリスクマネジメントの9つのトップトレンド:Gartner Insights Pickup(183) - @IT

 セキュリティ技術者不足、クラウドコンピューティングへの迅速な移行、規制コンプライアンス要件、脅威のとどまるところを知らない進化――これらは、以前からセキュリティ上の大きな課題となっている。

 だが、2020年においては、新型コロナウイルス感染症の大流行(パンデミック)への対応も、ほとんどのセキュリティチームにとって重大な課題となっている。

 「パンデミックとそれがビジネス界にもたらした変化は、ほとんどの企業でビジネスプロセスのデジタル化やエンドポイントモビリティー、クラウドコンピューティングの導入拡大を加速し、レガシーな考え方や技術を明らかにした」。Gartnerのアナリストでバイスプレジデントのピーター・ファーストブルック(Peter Firstbrook)氏は、同社が2020年9月に開催したバーチャルカンファレンス「Gartner Security and Risk Management Summit 2020」でそう語った。

 パンデミックに伴い、セキュリティチームは、LAN接続を必要としないクラウドベースのセキュリティツールやオペレーションツールの価値に再注目した。そして、リモートアクセスポリシーおよびツールの見直しや、クラウドデータセンターとSaaSアプリケーションへの移行および対面のやりとりを最小限に抑えるための新しいデジタル化の取り組みを進めている。

 Gartnerは、先進的な組織の対応を調査し、広範かつ長期的な影響を及ぼすと予測される、2020年の9つのトップトレンドを特定した。これらのトップトレンドは、セキュリティエコシステムの戦略的なシフトを浮き彫りにしている。これらのシフトはまだ広く認識されていないが、多数の業界に大きな影響を与え、ディスラプション(創造的破壊)を起こす可能性が高い。

トレンド1:検知の精度とセキュリティの生産性を改善するためにXDRが登場している

 さまざまなセキュリティ製品から自動的にデータを収集し、相関させ、脅威検知の改善とインシデント対応につなげる「拡張型検知/対応」(XDR)ソリューションが登場している。このソリューションでは、例えば、電子メールやエンドポイント、ネットワークに関するアラートを組み合わせて分析し、1つのインシデントにまとめることができる。XDRソリューションの主な目的は、検知精度を高め、セキュリティオペレーションの効率と生産性を改善させることにある。

 「データの一元化と正規化も、多くのコンポーネントからの弱いシグナルを組み合わせて、他の方法では無視されてしまうかもしれないイベントを検知することで、検知の改善に役立つ」(ファーストブルック氏)

トレンド2:反復作業を解消するセキュリティプロセスオートメーションが登場している

 スキルの高いセキュリティ実務者が不足する一方、セキュリティツールで自動化機能が提供されるようになったことで、セキュリティプロセスの自動化が進んできた。この技術は、コンピュータ中心型セキュリティオペレーションに関する作業を、定義済みのルールやテンプレートに基づいて自動化する。

 自動化されたセキュリティ作業ははるかに高速に、スケーラブルに実行でき、エラーの発生が少なくなる。だが、自動化を実現し、維持していくと、リターンは減っていく。セキュリティとリスクマネジメントのリーダーは、多くの時間がかかる反復作業の代替に役立つ自動化プロジェクトに投資し、担当者がより重要なセキュリティ作業に集中できる時間を増やさなければならない。

トレンド3:人工知能(AI)の利用拡大に伴い、デジタルビジネスの保護に関する新たなセキュリティ上の職務が発生

 AI、特に機械学習(ML)は、セキュリティやデジタルビジネスの幅広いユースケースで、人間の意思決定の自動化や拡張に利用されるようになっている。だが、これらの技術に関連する3つの重要課題に対処するには、セキュリティノウハウが必要になる。これらの課題は、AIベースのデジタルビジネスシステムを保護すること、パッケージ化されたセキュリティ製品でAIを利用してセキュリティ防御を強化すること、攻撃者によるAIの不正利用を予測することだ。

トレンド4:全社レベルの最高セキュリティ責任者(CSO)がセキュリティのさまざまなサイロを統合

 2019年には、従来のエンタプライズITシステム以外のインシデント、脅威、脆弱(ぜいじゃく)性の発覚が増加した。これを受けてリーディングカンパニーは、サイバー世界と物理世界の全体にわたってセキュリティを再考した。新たな脅威――例えば、ビジネスプロセスに対するランサムウェア攻撃やビル管理システムに対するシージウェア攻撃(ランサムウェアとビルオートメーションシステムを組み合わせ、機器制御ソフトウェアの悪用によって物理的なビル施設の安全性を脅かす攻撃)、GPSスプーフィング、OT/IoT(オペレーションテクノロジー/モノのインターネット)システムで相次いで発見される脆弱性などは、サイバー環境と物理環境の両方にまたがっている。主に情報セキュリティを担当する組織は、セキュリティ障害が物理的な安全性に及ぼす影響に対処する体制が整っていない。

 そのため、サイバーおよび物理システムを展開しているリーディングカンパニーは、全社レベルのCSOを置くようになっている。防御目的で、そして場合によっては、ビジネスを支える目的でセキュリティのさまざまなサイロを統合するためだ。CSOは、ITセキュリティ、OTセキュリティ、物理セキュリティ、サプライチェーンセキュリティ、製品管理セキュリティおよび健康、安全、環境プログラムを、一元的な組織とガバナンスのモデルに集約できる。

トレンド5:プライバシーが独自の分野として定義されている

 プライバシーは、もはやコンプライアンス、法務、監査の一部として取り組む領域ではない。定義された独立した領域として影響力を増しており、その影響範囲は組織のほぼあらゆる側面にわたっている。

 プライバシーは急速に広がっている領域であり、組織全体にわたって統合を進める必要がある。特に、プライバシー分野は企業戦略を左右する要因の1つとなっており、そのためにセキュリティ、IT/OT/IoT、調達、人事、法務、ガバナンスなどとの緊密な整合性を確保しなければならない。

トレンド6:消費者に対する自社ブランドの維持の取り組みとして、“デジタルトラスト&セーフティ”チームを編成している

 ソーシャルメディアから小売店まで、消費者がブランドとやりとりするタッチポイント(接点)は多様化している。消費者がそれらの接点でどの程度安全と感じるかは、ビジネスの差別化要因になる。多くの場合、こうした接点のセキュリティは別々の組織が管理している。各ビジネス部門が担当分野についてのみ管理を手掛けているからだ。だが、企業は、部門横断型の信頼・安全チームが全てのやりとりを統括し、消費者が企業とやりとりする各分野全体にわたって、標準的なセキュリティレベルを確保する体制への移行を進めている。

トレンド7:ネットワークセキュリティの焦点がLANベースのアプライアンスモデルからSASEに

 リモートオフィス技術の進化に伴い、クラウドベースのセキュリティサービスの人気が上昇している。セキュアアクセスサービスエッジ(SASE)技術により、企業はモバイルワーカーやクラウドアプリケーションをよりよく保護できる。トラフィックをバックホールし、データセンター内の物理セキュリティシステムを通過させるのではなく、クラウドベースのセキュリティスタックを経由してトラフィックを送信できるからだ。

トレンド8:クラウドネイティブアプリケーションの動的要件を保護するためのフルライフサイクルアプローチが登場している

 多くの組織が、サーバワークロードに使用したのと同じセキュリティ製品を、エンドユーザー向けエンドポイントにも使用する。この手法は、“リフト&シフト”のクラウド移行でも継続されることが多かった。だが、クラウドネイティブアプリケーションでは異なるルールや手法が必要になる。そこでクラウドワークロード保護プラットフォーム(CWPP)が開発された。しかし、アプリケーションがますます動的になるにつれて、セキュリティの選択肢もシフトすることが求められている。CWPPと新しいクラウドセキュリティの状態管理(CSPM)を組み合わせることで、当面はクラウドネイティブアプリケーションにおけるセキュリティニーズの全ての進化に対応できる。

トレンド9:ゼロトラストネットワークアクセステクノロジーがVPNを代替へ

 新型コロナウイルス感染症のパンデミックは、従来のVPNにおける多くの問題を浮き彫りにした。新しいゼロトラストネットワークアクセス(ZTNA)により、企業は特定のアプリケーションへのリモートアクセスを制御できる。ZTNAはより安全な選択肢だ。アプリケーションをインターネットから“秘匿”するからだ。これは、ZTNAがZTNAサービスプロバイダーとのみ通信を行い、ZTNAプロバイダーのクラウドサービスを介してのみアクセスすることで可能になる。

 ZTNAは、攻撃者がVPN接続を悪用して他のアプリケーションを攻撃するリスクを軽減する。ただし、企業がZTNAを本格的に導入するには、どのユーザーがどのアプリケーションにアクセスする必要があるかを正確にマッピングしなければならない。そのため、本格導入には時間がかかりそうだ。

出典:Gartner Top 9 Security and Risk Trends for 2020(Smarter with Gartner)

2020/12/23

最高のOSINTリソースを発見し、それを把握することに興味があるならば、@LorandBodoと@technisetteによる専門的なアドバイスが最適でしょう。 / If you are interested in discovering and keeping tabs on the best #OSINT resources, you'll love this expert advice by @LorandBodo and @technisette(転載)


technisette retweeted: If you are interested in discovering and keeping tabs on the best #OSINT resources, you'll love this expert advice by @LorandBodo and @technisette. Thanks for sharing your insights, folks! blog.start.me/how-to/osint-r…:
technisette retweeted:
If you are interested in discovering and keeping tabs on the best #OSINT resources, you'll love this expert advice by @LorandBodo and @technisette. Thanks for sharing your insights, folks! blog.start.me/how-to/osint-r…

ーー

OSINTリソースの管理方法。start.meで最高【専門家の意見】

OSINTのリソースは多種多様であり、常に流動的な状態にある。一日おきに新しいツールが登場する一方で、古いものは静かに引退していきます。だからこそ、多くの市民ジャーナリストや研究者、調査員が毎日start.meを使っているのです。それはあなたのOSINTの仕事をより簡単にしてくれます。

OSINTコミュニティで有名なTechnisette氏とLoránd Bodó氏に説明を求めた。

start.meを知ったきっかけは?

ロラーンド:Twitterで知りました。最初にstart.meのページを持っていた人が誰だったかは覚えていませんが、technisette.comのTechnisetteさんだったと思います。彼女のページを見たとき、私は「すごい!」と思いました。これはすごい!」と思いました。その時、start.meページはまさに私が探していたもので、OSINTのブックマークを簡単に管理できるソリューションでした。

ブックマークやリンクの管理も簡単です。これはOSINTにとって非常に重要です。

ツールやテクニックなどのリソースをすぐに見つけられるように、自分のページを作って自分の思い通りにデザインすることにしました。

テクニセットです。私の同僚がテクニセットを紹介してくれました。彼はそれがどのように動作するかを教えてくれましたし、とても使いやすかったので、私はすぐにコレクションを構築しました。

どのようにstart.meはあなたを助けるのですか?OSINTリソースを管理していますか?


ロランド:2つのページがある 一つはOSINTツール用で もう一つは過激化とテロ関連の問題に特化しています

これらのリンク集の問題点の一つは、私にとって有用な方法で構造化されていないことでした。そこで私は、インテリジェンス分野ごとに見出しを作成し、その下に関連するすべてのリソースをサブカテゴリと一緒に配置することにしました。例えば、私のOSINTダッシュボードでは、一番上に主要なインテリジェンス分野が表示されていますが、私が作成したFOSINT(金融オープンソース・インテリジェンス)などもあります。ここには、デューデリジェンス関連のリンクやその他の金融関連のものをリストアップしています。

調査官としては、例えばFacebookのために何かを探している時は、ソフトウェアの欄に行きます。そして、古き良きCtrl-Fを使って、それをチェックします。だから、本当に便利です。

私は、これらの異なるソースを簡単にまとめて整理することができるようなものに出会ったことがありません。それがstart.meを使っている理由です。

また、正直なところ、自分でバージョンを作って自分のサイト(lorandbodo.com)で公開することも考えていたので、サードパーティのプロバイダを使わなくてもいいんですよね。でも、単純にコーディングをする時間がないんですよね。

テクニセット。お気に入りのソースが1つのページにまとめられているのは、とても便利です。コンピュータを乗り換えたときに、ブックマークをドラッグする必要がないので、start.me-ページを開くだけで済みます。

お気に入りのウィジェットや機能は?


テクニセット。特に何かを持っているわけではありません。主に、すべてのものを分類できる別のボックスを持つオプションがあること。

Loránd。私はリンク切れチェッカーが欲しかったので、PROアカウントを持っています。これを使えば、どのリンクが壊れていて削除すべきかを自動的に確認することができます。ソースは頻繁に来ては消えていくので、自動的にすべてのリンクをスキャンしてくれる機能が欲しかったのです。どのリンクも機能しないブックマークページは嫌です。それがPROアカウントを取得することを決めた主な理由の一つです。

また、私はRSSフィードを作成したいと思っていましたが、これは私が特定のトピックやニュースを監視するために驚くほど便利で超便利だと思います。あなたはstart.meで簡単にそれを行うことができます

他にstart.meで開発してほしいものはありますか?

テクニセットです。私がページの更新をやめた理由は、各ブックマークに添付されているコメントで検索できなかったからです。それがうまくいくと助かります。

Quick start.meの反応。ブックマークの説明文でも検索できるようになりました。このサポート記事を読んでみてください。

Loránd. 大きく気になることの一つにプライバシーがあります。これについては2つの角度から考えています。ダッシュボードを作成するユーザーの視点から:start.meを使用する際に、どのような情報を提供したり、漏洩したりするのか?そして、エンドユーザーの視点からは、私がそのようなダッシュボードにアクセスするときに、start.meはどのような情報を収集するのか?このようなサービスには明確さが必要であり、非常に重要です。

start.meの迅速な対応。私たちは、物事を明確にするために、プライバシーポリシーに平易な英語での紹介を追加しました。

Loránd. テロと過激化 start.meページに目次を作成しました。 もしこのようなカテゴリをもっと簡単に作成できる機能があれば、それを望む人もいると思います。つまり、ページを作成するだけでなく、ワンクリックでサブカテゴリを作成して、ユーザーが相互にリンクした素晴らしいダッシュボードをコンパイルできるようにすることができます。あなたはアイデアを得る。異なるページに自動的にリンクする方法。

さらに多くのアイデア?

Technisetteとのメールによるインタビューは、2020年10月9日に行われました。Loránd Bodóとのスカイプインタビューは、2020年10月19日に行われました。その会話の中で、彼はstart.meを改善するためにさらに多くのアイデアに言及した。

  • start.meとそれがOSINT研究にどのように活用できるかを紹介する一連のウェビナー。
  • リストを監視できるように改良されたTwitterウィジェット。現在は、単一のユーザーのみをフォローすることができます。
  • 学者向けに、その分野の最新記事をモニターできるウィジェットを追加しました。
  • ある国で利用されているトップサイトに関するより多くの統計。(Quick start.me note: この情報はDiscoverセクションですでに利用可能ですが、より便利になるように拡張することができます)

2020/12/22

2020年に最もよく使われたパスワードは? / The worst passwords of 2020 show we are just as lazy about security as ever(転載)


2020年に最もよく使われたパスワードは?

今年もまた、この12カ月間で、パスワードのセキュリティが改善されたかどうかを確認すべき時期がやってきた。

 2015年を振り返ると、もっともよく使われている最悪のパスワードの中に「123456」や「password」といったものが含まれていた。しかし5年経った今でも、こうした例はなくなる気配がない。

 NordPassとそのパートナーは、2020年の情報漏えいインシデントで流出した2億7569万9516件のパスワードを分析した。同社は、出現頻度が高いパスワードは極めて容易に推測できるものが多く、こうしたパスワードを使用しているアカウントは数秒で破られてしまう可能性があると述べている。「ほかに同じものがないパスワード」だと考えられるものは、全体の44%にすぎなかった。

 パスワードマネージャーを提供している企業であるNordPassは米国時間11月18日、パスワードセキュリティの現状がうかがえるレポートを発表した。頻度が高かったパスワードの上位に来たのは、「123456」「123456789」「picture1」「password」「12345678」だった。

 これらのパスワードは、総当たり攻撃で破るのに約3時間かかる「picture1」を除けば、どれも辞書攻撃を行うスクリプトなどを使って数秒で破れるものばかりで、人間でも推測できるレベルのものだった。

 200件強のリストの中には「whatever(どうでもいい)」というパスワードもあった。いまだに強力でクラックしにくいパスワードを使うつもりがない人が多いことを考えれば、これはパスワードセキュリティの現状をうまく表したフレーズだといえるかもしれない。リストには他にも、「football」「iloveyou」「letmein(Let me in、自分を中に入れてくれの意)」「pokemon」などのパスワードが含まれていた。

 NordPassのデータセットによれば、2020年のもっとも頻度が高かったパスワードのトップ10は以下の通りだ。

最悪なパスワードトップ10

 パスワードを選ぶ際は、キーボード上で隣り合っている文字や数字を並べるなどの単純なパターンや繰り返しは避けるべきだろう。大文字や記号、数字などを意外な場所に入れることも効果的だ。また、どんな場合でも誕生日や名前などの個人情報をパスワードに使うべきではない。

 ベンダー側でも単純な組み合わせはユーザーのプライバシーやセキュリティの守る上で役に立たないことを意識すべきだが、ユーザー側でも、自分のアカウントを責任を持って守る必要がある。

2020/12/21

今まさに思い出しておきたいやつ(転載)~オンラインでサイバー脅威情報を収集し、不正な情報源からデータを購入する際の法的考慮事項 / Legal Considerations when Gathering Online Cyber Threat Intelligence and Purchasing Data from Illicit Sources~


今まさに思い出しておきたいやつ https://t.co/YypMBTli7d Quoted tweet from @0x009AD6_810: 「このドキュメントの対象となる状況では、連邦捜査官は犯罪者と情報収集に従事している無実の当事者を容易に区別できない場合があります。 その結果、合法的なサイバーセキュリティに携わる個人が犯罪捜査の対象になる可能性があります。」😱 https://t.co/0YBt0X79Iz: 今まさに思い出しておきたいやつ
https://t.co/YypMBTli7d
「このドキュメントの対象となる状況では、連邦捜査官は犯罪者と情報収集に従事している無実の当事者を容易に区別できない場合があります。 その結果、合法的なサイバーセキュリティに携わる個人が犯罪捜査の対象になる可能性があります。」😱 https://t.co/0YBt0X79Iz

ー以下機械翻訳ー

I.序章

サイバーセキュリティ・ユニット(CsU)は、特定のサイバーセキュリティ対策の合法性について民間組織から寄せられた質問に対応して、この文書を作成した。
国家安全保障部などの司法省の他の部門や他の連邦機関からの寄稿も含まれている。CsUの使命に沿って、本書は、組織が効果的なサイバーセキュリティ対策を採用し、合法的な方法で実施するのを支援することを目的としている。

この文書は、コンピュータ犯罪が議論され計画されたり、盗まれたデータが売買されたりするオンライン・フォーラムに関与する、情報セキュリティ実務者のサイバー脅威情報収集の取り組みに焦点を当てている。また、民間の行為者が、マルウェアやセキュリティ上の脆弱性、あるいは自分の盗んだデータ、あるいはデータ所有者の許可を得て他人の盗んだデータを闇市場で購入しようとする状況についても考察しています。

児童ポルノや違法薬物を扱うフォーラムなど、他のタイプの犯罪フォーラムに関わる情報や証拠収集を対象としています。

本書で言及されているシナリオは、CsUの民間部門への働きかけや関与が示唆する、情報収集、盗難データの取得、マルウェアのサンプルやセキュリティ脆弱性の取得など、サイバーセキュリティのコミュニティで一般的に使用されている慣行から導き出されたものである。情報セキュリティ専門家がこれらの活動に従事する際には、ここで議論されている法的な懸念が生じる可能性が高い。本書は、潜在的な法的問題を特定するための支援を提供することを目的としていますが、すべての法的問題に包括的に対処するものではありませんし、また対処することもできません。

特に、事実の些細な変更が法的分析を大幅に変更する可能性があるため、実務家があらゆる状況で直面する可能性のある問題について、弁護士に相談することを強くお勧めします。
本書の法的議論は、米国連邦刑法に限定されています。民事責任、州法、または米国以外の国の法律には焦点を関係を築くことが有益な場合もあります。

II.シナリオの前提条件

以下に説明するシナリオは、サイバーセキュリティ活動の一環として闇市場のフォーラムから情報を収集する民間の情報セキュリティ実務者の活動を前提としています。これらのシナリオは、実務家の活動方法と実務家の意図について、法的に重要な仮定に基づいています。

A.セキュリティの実践者

本書は、コンピュータ犯罪の実行に関連するツールやサービスが売買され、盗み出されたデータが購入可能な闇市場から情報(サイバー脅威情報、盗み出されたデータ、セキュリティ脆弱性、マルウェアなど)を入手する民間の情報セキュリティ実務者に焦点を当てています。これらの活動は、米国の管轄区域内で、米国連邦刑法の対象となるような方法で行われていることを前提としています。

また、実務家は、正当なサイバーセキュリティの目的(例えば、他の人がサイバーセキュリティの脅威を識別し、防御するのを助ける)のためにのみ、犯罪的または悪意のある意図や動機を持たずに情報を入手していると仮定しています。

このようなタイプのオンライン活動に従事している実務家は、セキュリティと個人の安全の理由から、フォーラムで活動している間に、偽名やでっち上げのIDを頻繁に使用しています。後述するように、偽のアイデンティティは完全に捏造されたものでなければならず、実際の人々の許可なしに実際の人々のアイデンティティを仮定してはなりません。また、オンラインで作成された身分証明書には、以下のような偽名を使用してはいけません。

役人のような特別な地位にある者を名乗ること。

B.フォーラム

サイバーセキュリティの専門家がサイバー脅威インテリジェンスを収集するフォーラムは様々である。ほとんどのフォーラムはダーク・ウェブ上のTORネットワークを介してアクセス可能なサイト上で、隠れたサービスとして発見されています。

これらのダークマーケット・フォーラムの中には、違法なサービスを入手したり、盗まれた金融データや個人データを購入したりするために使用されることで、情報セキュリティ業界で知られている招待制のサイトもあります。他にも、ダークウェブ上で公開されているものもあり、TORが提供する匿名性を利用して運営者を保護しています。これらのフォーラムのいくつかでは、コーディングやマルウェアに関連した一般的な話題が議論されていますが、セキュリティ専門家が最も関心を持つサイトでは、違法なサービスや、盗まれたクレジットカード番号、漏洩したパスワード、その他の機密情報の販売を公然と宣伝しています。

C.フォーラムへのアクセス


フォーラムへのアクセス方法は法的に重要です。フォーラム運営者によって提供された正当な資格情報を使用してフォーラムにアクセスすることは、アクセス手段に関する法的問題を回避する最善の方法です。不正な手段でフォーラムにアクセスすることは、連邦刑法に違反する可能性があります。例えば、盗用された資格情報を使用してフォーラムにアクセスすることは、特にCFAAの違反を構成する可能性があります。また、悪用またはその他のテクニックを使用して、意図した(したがって許可された)手段ではなく、フォーラムが運営されているサーバーやシステムにアクセスして情報を収集することは、CFAAおよび電子的な監視
を規定する他の連邦刑法に違反する可能性があります。

フォーラムのポリシーに反してフォーラムにアクセスすることも、同様にCFAAの下での合法的なアクセスについて法的な問題を提起する可能性があります。

犯罪行為者によって運営されているフォーラムでは、フォーラムへのアクセスを求める人物が善意の犯罪的意図を持っていることを証明する必要がある場合があります。例えば、フォーラム運営者は、フォーラムへのアクセスを求めている者が善意の犯罪的意図を持っていることを証明するためにまたはマルウェアや盗まれた個人情報の配信を要求されることがあります。以下に説明するように、このような要求に従うことで、法的な危険にさらされる可能性があります。

フォーラムにアクセスした後に情報が収集される方法も、法的な問題を提起する可能性があります。後述するように、サイトのセキュリティ機能を迂回したり、許可されていない方法で情報にアクセスしたりしない、スクリーンキャプチャやその他のオンライン情報を記憶するために一般的に使用されている方法を使用して情報を収集することは、潜在的な法律違反を回避することができるかもしれません。

III. サイバー脅威情報収集

サイバー脅威インテリジェンスを使用してサイバーインシデントに備えたり、対応したりすることで、悪意のあるサイバーインシデントの影響を軽減したり、場合によっては完全に防ぐことができます。タイムリーで正確な脅威インテリジェンスは、既知のサイバーセキュリティの脅威や脆弱性から組織とその顧客を保護することができます。CsUが産業界への積極的な防御についてのアウトリーチの中で学んだように、多くのサイバーセキュリティ組織は、サイバー脅威インテリジェンスの収集をサイバーセキュリティ活動の中で最も実りあ
るものの一つと考えている。

サイバー脅威インテリジェンスを発信する民間組織は、複数の情報源から情報を収集しています。その中には、違法行為が計画されていたり、違法行為に使用されるマルウェアや盗まれたデータが販売されていたりするオンラインフォーラムやその他のコミュニケーション・チャネルも含まれます。これらの情報源から収集された情報は、サイバー脅威インテリジェンスとネットワーク防御情報の豊富な情報源となります。

過去、現在、または将来のサイバー攻撃や侵入、マルウェアのサンプル、現在使用中または開発中の犯罪者の戦術、ツール、手順、攻撃や侵入に関与している個人のエイリアスや身元などについての情報を収集することができます。しかし、民間の当事者が合法的な目的で情報を収集するためにこれらのオンライン・フォーラムに参加したり、参加したりする場合、脅威の情報を収集することと犯罪活動に従事することの間の境界線を見分けるのは難しいでしょう。以下のさまざまなシナリオについての考察は、組織が連邦刑法に違反する可能性を低減する方法で情報収集活動を実施する計画を立てるのに役立つことを目的としています。

A.シナリオ1: フォーラムで「潜伏」してサイバー脅威の情報を収集する

実務家がフォーラムに公然と投稿された通信を読み、収集しても、フォーラムの通信に応答せず、フォーラム上またはフォーラムを介して他の人と通信しない場合、連邦刑事責任のリスクは実質的にありません。一人で立って、架空の人物を装ったり、偽名を使ってフォーラムにアクセスして通信することは、その行為が詐欺やその他の犯罪を犯す手段ではなく、許可された方法でアクセスが得られる限り、連邦刑法に違反することはありません。

つまり、許可なく実際の人物の身元を推測することは、法的に問題があることを証明する可能性があります。なりすまされている実際の人物と、その仮定した身元で行われた行動によっては、実務家は刑事上および民事上の法的措置に直面する可能性があります。

B.シナリオ2: 犯罪者フォーラムでの質問の提起

施術者が違法行為に関する情報を求めてフォーラムに問い合わせを投稿して、より積極的に情報を収集することにした場合、施術者の行動は犯罪捜査の対象となるリスクを高めることになります。一般的な質問をすることで生じる法的リスクはわずかですが、実務家の投稿が犯罪の実行を勧誘しているように見える場合、そのリスクは大幅に高まります。コンピュータ犯罪の実行を勧誘したり、誘発したりすると、プラクティショナーは刑事責任を問われる可能性があります。

実務者がフォーラムで得た情報を使用して連邦犯罪違反を犯すつもりがない場合、フォーラムで質問をしたりアドバイスを求めたりすることは犯罪を構成する可能性は低いです。しかし、法執行機関は犯罪行為が行われているフォーラムを調査しており、犯罪行為について質問したりアドバイスを求めたりすることは、犯罪が発生している可能性があることを示唆しています。そのため、犯罪行為についての議論を含んでいるように見えるフォーラム上での実務家の問い合わせや他の人とのやりとりが、実務家をフォーラムやそのメンバーの犯罪捜査に関与させる可能性があります。

これは、実務家が調査の対象となる可能性があります。しかし、実務家や組織は、そのリスクを軽減するための措置を講じることができます。

例えば、サイバー脅威の情報収集を行うための運用計画を文書化し、オンラインでの活動や情報の収集・使用方法を記録しておくことができます。犯罪捜査が行われた場合、このような記録は、その行為が合法的なサイバーセキュリティ活動であったことを立証するのに役立ちますし、法執行機関が実務者の行為が違法行為に従事した不正な従業員の行為ではなく、会社の合法的なサイバーセキュリティ活動を促進するために実行されたものであると判断するのに役立つかもしれません。

また、組織は、フォーラムでの従業員や請負業者の活動を導くために、顧問弁護士と一緒に吟味されたポリシーとプロトコルを確立する必要があります(その他の場所でも)。吟味された「関与の規則」または「コンプライアンス・プログラム」を持つことは、従業員が誤って、または無意識のうちに組織とその従業員を法的な危険にさらしたり、セキュリティを危うくしたりすることを防ぐのに役立ちます。また、現地のFBIのフィールドオフィスやサイバータスクフォース、および現地の米国シークレットサービスのフィールドオフィスや電子犯罪タスクフォースと継続的な関係を構築することで、これらの情報収集活動に従事する前に法執行機関に通知することも有益です。また、早期に法執行機関との関係を築くことで、実務家の活動が法執行機関による進行中の捜査や予想される捜査を意図せずに妨害しないようにすることもできます。

C.シナリオ3:フォーラムでの情報交換

潜入捜査官がフォーラムの積極的なメンバーとなり、情報を交換したり、他のフォーラムのメンバーと直接やりとりをしたりすると、注意を怠るとすぐに違法行為に巻き込まれてしまう可能性があります。潜入捜査官は、練習生のペルソナを信頼することを学んだフォーラムの情報源から情報を引き出す方が簡単かもしれませんが、信頼を得て仲間の犯罪者としての善意を確立するためには、犯罪に役立つ情報やサービス、または犯罪に使用できるツールを提供する必要があります。そのような活動に従事することは、連邦刑法に違反する結果となる可能性があります。

犯罪が発生したかどうかは、通常、個人の行動と意図に左右されます。実践者は、フォーラム上で他人の犯罪目的を助長するようなことをしないようにしなければなりません。実践者に犯罪を犯す意図がなくても、犯罪行為に従事している他の人を援助することは、幇助の連邦犯罪を構成することができます。個人は、肯定的な行為(それ自体は合法的な行為であっても)を行った場合、犯罪を助長し、犯罪の実行を容易にする意図を持って行われた場合、連邦法違反を幇助する責任があると判断される可能性があります。

犯罪に積極的に参加している場合俳優がその犯罪的事業のすべての側面に同意していない場合でも、関係する状況を十分に知った上で犯罪的事業を行うことは、幇助責任を立証するのに十分である。

例えば、マルウェアに関する技術的な支援をフォーラムのメンバーに提供した場合、そのアドバイスがネットワーク侵害に役立つと知りながら、フォーラムのメンバーがその計画を実行すれば、たとえその実践者がその特定の犯罪の実行を支援する意図がなかったとしても、連邦犯罪幇助法に違反する可能性があります。

要するに、セキュリティの実務家は、犯罪の実行に他者を助けるような行動を取らないように注意したり、犯罪の発生に同意したりしなければならない。この種の情報収集活動に従事する者は、犯罪行為を容易にするために存在するオンライン・サイトや、犯罪を計画している可能性のある個人との間で、通信や行動が行われていることに注意しなければなりません。実務者は、そのような犯罪を助長する可能性のある真実、正確、または有用な情報を提供しないようにしなければなりません。

実践者が連邦犯罪捜査の対象となった場合、捜査官は、外部証拠や状況証拠を使用して意図を特定しようとするでしょう。したがって、上記のように、プラクティショナーとその雇用主は、フォーラム上でのプラクティショナーの行動とプラクティショナーの活動の正当なビジネス目的を記録した記録を保持し、正当な動機と違法な活動の拡大を避けるために取った措置を立証する必要があります。

IV.盗まれたデータと脆弱性をサイバーセキュリティの目的で購入すること


サイバーセキュリティ企業の中には、顧客へのサービスとして、特定のタイプの情報がないかダークマーケットを監視しているところもあります。彼らは、顧客の記録やその他のタイプの機密性の高い顧客データが販売されていないかどうかを検索することがあります。また、顧客のネットワークや製品を標的としたマルウェアやセキュリティの脆弱性を検索することもあり、顧客のデータや資産が悪用される可能性があります。これらのタイプの情報がオンラインで販売されているのが発見された場合、サイバーセキュリティ組織がそれらの情報を購入したり、ダークマーケットからの削除のために売り手との取引を仲介したりすることがあります。

ダークウェブ上で盗品やセキュリティの脆弱性を販売する匿名の当事者と交渉することは、望ましくない結果を生むリスクが大きくなります。売り手は、約束したデータを作成せずに購入者の支払いを奪う可能性があります。これらのリスクは、違法な商品を販売している商人が、ダークマーケットの商人と取引をした後に組織が騙されてお金を失ったことを予想して、当局に事件を報告したがらないことによって、さらに悪化しています。

闇市の商人に資金を騙し取られた組織は、売り手が匿名であることが多く、米国の裁判所の手の届かない国に所在していること、および/または、追跡不可能で取消不能な支払い方法を変更する必要があります。これらの理由から、組織はこのような方法で盗まれたデータやセキュリティ上の脆弱性を取得しようとすることに注意する必要があります。

しかし、組織によっては、バランスを考えれば、それに見合った利益が得られることが予想されるため、これらのリスクを負うことを厭わない場合もあります。例えば、以前には検出されなかったデータ侵害の性質と範囲を評価し、さらなる損失を避けるためにネットワークにパッチを当てることができるようにするために、盗まれたデータのコピーだけを取得しようとすることもあるでしょう。また、サイバーセキュリティ企業は、盗まれた情報を利用して、他の企業が自社のネットワークをよりよく保護するために利用できるインテリジェンス・レポートを作成することができるかもしれません。

有効性と実用性に関する疑問はさておき、自分自身の盗まれたデータ(サイバーセキュリティ企業の場合は、その盗まれたデータの購入を許可している当事者のデータ)を購入することは、検討に値する法的な懸念を生じさせる。当初、連邦検察官は、単に自分の盗まれたデータを購入しようとしたり、セキュリティの脆弱性を購入しようとしたりする当事者を告発することは通常ありませんでした。しかし、これらの活動に従事している当事者は、以下に述べる法的リスクに直面しており、それを考慮する必要があります。

シナリオ1: 盗まれたデータの購入

このセクションのシナリオでは、盗まれたデータを購入する際のさまざまな側面に焦点を当てており、それぞれが法的分析に影響を与える可能性があります。

  • 購入者がデータの正当な所有者であるかどうか。盗まれたデータは、データ所有者、またはデータ所有者の公認代理人によって購入されたものですか?

  • 販売されるデータの種類。盗まれたデータは、連邦法で譲渡または所有が禁止されている情報の種類であるか(例:盗まれたクレジットカード情報や企業秘密など)。

  • 売主の身元:売主は、連邦法でデータ所有者が取引を行うことを禁止されている人物ですか?
以下の各シナリオでは、上述の情報収集シナリオで議論したのと同じ前提条件を使用しています。すなわち、セキュリティ実務者に関する前提条件、アクセスされるフォーラムの性質、およびそのようなフォーラムにアクセスする手段です。

ただし、ここでは、サイバーセキュリティ会社の顧客のものと思われる販売用のデータを発見した実務者に焦点を当てています。これらの仮定のケースでは、実践者は、Dark Webサイトで指示された通りに販売者に連絡し、顧客の承認を得て、データの購入を申し出ます。また、これらの仮説では、支払いが行われ、売り手が合意通りにデータを作成したと仮定しています。

1.データの所有権

上述したように、自分で盗んだデータを購入した場合、通常は連邦政府からの訴追のリスクはほとんどありません。しかし、盗まれたデータを確認している間に、購入者が発見したのは闇市場の売り手が作成したデータの一部には、他社のデータが含まれています。購入者の盗まれたデータは他のデータ侵害の犠牲者から盗まれた可能性の高いデータと混ざっていることが判明しました。

購入者が、購入された盗難データが他人のものであることを知らず、また知る理由もなかった場合、それを購入したことで刑事訴追を受ける可能性はほとんどない。後述する例外を前提として、盗まれたデータの所有または取り扱いに対する刑事責任は、一般的に違法な方法でデータを使用する意図が必要であり、本書では実務家がそれを欠いていると仮定しています。例えば、アクセスデバイス詐欺法では詐取する意図が必要であり、企業秘密の盗難法では情報を所有者以外の者の経済的利益に変換する意図が必要である。

しかし、許可や権限なしに他人の盗んだ情報を購入すると、購入者の意図に疑問が生じ、購入者の動機を判断するために調査の精査が必要になることがあります。このリスクを管理するために、購入したデータに所有する権利のない情報が含まれていることを認識した場合、購入者は速やかにそれを隔離し、それ以上アクセス、レビュー、または使用しないようにします。その後、購入者は、直ちに法執行機関に連絡してデータを提供するか、または実際のデータ所有者がそのデータを所有していると判断できる範囲で、その旨を通知する必要があります。これらの手順は、刑事訴追に値するような犯罪的意図がないことを証明するのに役立ちます。盗まれたデータを所有している人物に連絡を取る際には、恐喝的な要求と誤解されるような方法で連絡を取らないようにしてください。

2.データの性質

販売される盗難データの種類によって、購入を禁止する刑法があるかどうかも決まります。上述したように、ダークマーケットで販売される傾向のある盗難データの種類(パスワード、アカウント番号、その他の個人を特定できる情報など)に関連する連邦刑法の多くは、別の犯罪を助長する意図がある場合にのみ適用されます(例えば、情報を詐取するために使用する意図など)。

このため、犯罪的動機を持たない盗難データの購入者が、これらの法律の下で起訴される可能性は低いと考えられます。

知らず知らずのうちに他人の盗まれた情報を購入しても、刑事責任のリスクが生じることは通常ありませんが、故意に他人の許可なく他人の盗まれたデータを購入すると、法的なリスクが生じる可能性があります。特に企業秘密が関与している場合は、購入者の動機に疑問が生じ、法執行機関や正当なデータ所有者からの精査を受ける可能性が高くなります。

誤って営業秘密を購入した場合は営業秘密の盗難法(同法)に違反しませんが、営業秘密が盗まれたことや許可なく入手したことを知りながら営業秘密を受領、購入、または所持することは、同法の他の要素が満たされている場合には、同法に違反する可能性があります。侵害された企業秘密は、その企業秘密の所有者に損害を与えることを意図して、またはそれを知っていながら、正当な企業秘密の所有者以外の者の利益のために変換された企業秘密の譲渡またはその他の取り扱いを禁止しています。したがって、その情報の任意の使用は、当局または営業秘密の所有者による審査に値するだろう。法には、訴訟の民事原因が含まれているので、企業秘密の所有者は、刑事訴追が拒否された場合でも、民事訴訟を追求することができます。

上記で推奨されているように、販売者が購入者に帰属しない資料を作成しないようにする以外に、他人に帰属する盗品データを意図せずに購入したことで調査され起訴されるリスクを軽減する最善の方法は、そのような無関係なデータを速やかに法執行機関および/または正当なデータ所有者に連絡して引き渡すことです。そうすることで、購入者が意図せずにそのようなデータを所有したことが犯罪行為と誤解されるリスクを最小限に抑え、民事責任を軽減することができます。

3.売主の性質

特定の個人または組織と金融取引を行うことは、法律に違反する可能性があります。例えば、合衆国法律集第 18 編第 2339B条は、外国のテロリスト組織に指定されているグループに物的支援を提供すること、または物的支援を企てたり共謀したりすることを禁止しています。第2339B条の違反は、対象者が組織とテロリズムとの関係を知ることを要求する。しかし、対象者が組織のテロ活動を助長する具体的な意図を持っていることは要求されない。したがって、実務家が、販売者がそのような外国のテロ組織のメンバーであることを知っていながら盗まれたデータを購入した場合、実務家は第2339 条B 項に違反することになります。

国際緊急経済大国法(IEEPA)の下では、同様の禁止事項は、購入者が特定の個人または個人から盗まれたデータを購入することを禁止することになります。

米国政府が指定した個人・団体を対象としています。ここ数年、米国政府は、サイバー関連の不正行為を含む国家安全保障上の理由から、イラン、北朝鮮、ロシアの個人や団体を制裁する行政命令を発出してきた。これらの執行命令および規制は、特に指定されたターゲットとの貿易または経済取引を禁止しています。とりわけ、IEEPAは、これらの執行命令と規制、およびその経済・貿易取引の禁止事項に対する故意の違反を刑事化します。

司法省の国家安全保障部は、IEEPA の違反を刑事的に起訴します。IEEPAの故意の基準は、シナリオの事実に基づいてIEEPAの下で実務者を刑事的に起訴するための大きな障壁となります。闇市場で盗用データを販売する人の身元は、オンライン上の偽名のペルソナによって隠されている可能性が高いため、盗用データの販売者の身元が買い手に知られていたり、買い手が知っていたりすることはありません。買い手が売り手の身元を知らないため、買い手が経済制裁や貿易制裁の対象になっていることを知らない場合、故意の証明を必要とする刑事訴追ができない可能性があります。

しかし、民事責任はIEEPAの下で課せられることもあります。米国財務省の外国資産管理局(OFAC)は、米国の経済制裁および貿易制裁制度の民事執行を担当しています。OFACは、米国の外交政策および国家安全保障の目標に基づいて、経済制裁および貿易制裁を管理および執行しています。IEEPAの民事執行は、「厳格責任」に基づいて課せられることがあります。これは、当事者が貿易制裁または経済制裁の対象となる個人または団体との取引に関与していたことを知らなくても、民事責任を負う可能性があることを意味します。OFAC のIEEPA管理規則に基づく無許可取引は、民事上の罰金を課せられる可能性があります。民事罰の法定最高額は、毎年、インフレに合わせて調整されます。

企業は、経済制裁や貿易制裁の対象となる個人や事業体と取引していないことを確認するために、あらゆる努力をすべきである。OFAC

は、経済制裁や貿易制裁の禁止対象となる個人、地域、国との取引に伴うリスクを軽減するために、リスクベースのコンプライアンス・プログラムを実施することを奨励しています。一般市民を支援するために、OFACは、リスクベースの制裁遵守プログラムの5つの必須要素の枠組みを組織に提供することを目的とした文書「A Framework for OFAC Compliance Commitments」をウェブサイト上で公開しました。

ビジネスを行う外国の当事者が経済制裁および貿易制裁の対象となっているかどうかを確認するための手段を含む合理的なコンプライアンス・プログラム(または「交際規則」)を整備することは、IEEPの下で刑事責任を回避するための慎重な方法であり、民事責任の可能性を軽減することにもなります。また、OFACは、米国の経済貿易制裁の対象となる特別指定国民およびブロックされた者を特定するためのツールも提供しています。

シナリオ2:購入の脆弱性

ダークマーケットでサイバー脅威の情報を収集している最中に、販売されているセキュリティ脆弱性を発見した場合、その業者に開示するために購入を決定したり、脆弱性が業者の顧客を対象としている場合は特に、脆弱性が悪用されるのを防ぐためのパッチを開発したりすることがあります。また、ダークマーケットで販売されているマルウェアの新種を探して分析したり、ウイルススキャン製品で使用するためのシグネチャを開発したりする実務者もいます。

セキュリティ脆弱性やマルウェアは、コンピュータ犯罪に利用されることが多く、犯罪行為を支援するために販売された場合は連邦犯罪となりますが、セキュリティ脆弱性やマルウェアの単なる購入は、単独で、犯罪の意図がなくても、一般的には違法ではありません。しかし、言及を保証する2つの例外があります。第一に、電子通信を密かに傍受するために設計されたソフトウェアの所有または販売は、盗聴法に違反する可能性がある。

電子通信を傍受するように設計された特定のマルウェアは、この定義に該当する可能性があり、したがって、所持することは違法である。第2512条に該当する可能性のあるマルウェアを購入する場合、法的リスクを最小限に抑える最善の方法は、取引が発生する前に法執行機関と連携することです。

第二の例外は、売り手が指定外国テロ組織またはIEEPAの下で経済制裁または貿易制裁の対象となっている個人または事業体であるために購入が禁止されている場合です。これらの懸念は、盗まれたデータを購入する際に発生するものと同じです。IEEPAのような権限の下での法的責任と、それに対処するための最善の方法については、上記の議論を参照してください。

V.結論

このペーパーは、刑事フォーラムを含むサイバーセキュリティ活動を行う際に、連邦刑法に違反しないようにするための手順や考慮すべき問題点を特定することで、民間部門のサイバーセキュリティ実務者を支援することを目的としています。このような活動が適切に実施されれば、組織のサイバーセキュリティへの準備を向上させ、サイバーセキュリティの脅威に効果的かつ合法的に対応するための準備を整えることができます。