雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
zoom、暗号化を強化へ(AES256GCMとは)
武漢ウイルスの蔓延で、リモート会議ツールの代名詞となりつつあるzoom。
対面形式のセミナーが軒並み中止となり、ZOOMを使ったセミナーに変更になり、zoom飲み会なんて言う言葉も生まれた。
自宅は3日間の総通信料が10GBを超過すると速度制限がかかってしまうのだが、zoomはそんな速度制限下でもさほど遅延なく、デスクトップ共有されても非常にきれいに見えるので、一体どんな技術使っているのだろうかと大変興味深い。
一方でビデオ会議システムとしてのデファクトスタンダードになるということは、不正アクセスに晒されるリスクも高くなる(攻撃者視点で考えた場合、zoomを攻略したほうが費用対効果が高くなるので、様々なアタックを受け、脆弱性が見つかりやすくなる)
一方、zoomの問題として、録画データがAWS S3バケットに暗号化されずに乗っていて、特定の命名規則で公開されているという話や、アメリカはzoomを中国企業とみなしている等、きな臭い噂が流れている。
そんなzoomが暗号強化の発表をした。
従来はAES256ECBだったものを、AES256GCMに変えるらしい。
暗号強度については過去に一度学習したことがあったが、大分記憶があいまいになっているため、これを機に整理しておきたいと思う。
■AESとは
AES(Advanced Encryption Standard)と暗号化アルゴリズムの名称
暗号化アルゴリズムには共通鍵暗号方式と公開鍵暗号方式があり、AESは共通鍵暗号方式に分類される。
その後ろの数字(256)は鍵長を指す。
AESは128、192、256の3パターンが利用できる。
つまりAES256とは、AESの中で最も長い(強度の強い)鍵長となる。
最後のECBやGCMは利用モードを指す
■ECBとは
ECBモード (Electronic Codebook Mode)とは、もっとも単純な暗号利用モードである。
メッセージはブロックに分割され、それぞれのブロックは独立して暗号化される。
ECBモードの欠点は、同じ鍵を用いた場合ある平文ブロックを暗号化した結果の暗号文ブロックが常に同じとなることである。
このため、データのパターンを隠蔽することができない。
メッセージの機密性の保持には向かず、暗号化プロトコルにおける使用は推奨されない。
■GCMとは
GCM(Galois/Counter Mode)とは、認証付き暗号の一つであり、データ保護と認証(完全性確認)の両方の機能を提供する。
暗号機能(=前出のECBに相当)部分はCTRモード (Counter Mode)が利用されている。
ECBモードが原始的なブロック暗号モードであるのに対して、CTRモードはブロック暗号でもありながら、ストリーム暗号にも属するため、ストリーミングの暗号化に適しているとされる。
認証付き暗号と言うのは、データの秘匿性、完全性、および認証性を同時に提供するためのものであり、暗号データそのものの改善を防ぐために暗号化データに検算用データ(=認証)を付加し、複合化時に改ざんされていないことをチェックするようなものである。
認証についてはGalois modeという、ガロア域 (Galois field)における乗法を用いた計算式を用いている。
暗号化の話は深入りすると数学の世界に入り込んでしまうため、ここまでにしておきたい。
ECBモードがいつからあったか分からなかったのだが、後継であるCBCモードが1976年に開発されているので、ECBモードも同年にあったとしよう。
一方のGCMは2007年にNISTが標準として制定した。
つまり、暗号化方式については石器時代から近代まで一気にバージョンアップされたということだろう。うん。
【参考】
https://www.itmedia.co.jp/news/articles/2004/23/news065.html
指定ドメインの詳細情報が確認できるサイト【host.io】
ドメイン名から使用しているIPアドレスや、そのIPアドレスの所有者、国等を知りたくなることは無いだろうか?
普段はCMANを使っているのだが、これだと結構手間がかかる。
偶然便利なサイトを見つけたので、紹介したい。
それが、
host.io
である。
早速、先日マスクの販売でアクセス過多となったシャープのサイトを調べた見た。
すると、ドメインを入れて検索するだけで、
・IPアドレス
・IPアドレスの所有者
・IPアドレスに紐づく国
・DNS情報
・IPアドレスに紐づけられている他のドメイン
・バックリンク(外部サイトから自サイトに向けられたリンク)ドメイン一覧
・リダイレクト先ドメイン一覧
がぱっとわかる。
退職交渉で難航したら・・・・
会社を辞めたいのに辞めさせてくれない。
そんな事態に遭遇したことは無いだろうか?
ちなみに自分自身は経験が無い。
自分の場合、過去2回転職しているが、最初は丁度異動が発生したタイミングで、前部署の引継ぎが終わったら、新部署の仕事を一切せずそのまま有休消化で転職活動を始めてしまったため、引き留めを受けることは無かった。
2回目は転職先を探し、入社日と、転職旅行(海外)の日程を決め、転職旅行=出国日から逆算して退職日を無理やり区切った。
そのため、個人的には現時点で退職代行サービスを使うシーンがイメージできないのだが、世の中的にはそれなりに需要があるらしい。
そんな退職代行サービスで有名なのが、
EXIT
である。
料金は固定制で、
正社員・派遣:5万円
アルバイト・パート:3万円
となっている。
ちなみに即日退職にも対応しているらしい。
セゾンカードでHotels.comが8~10%OFF!(~2021年4月30日)
「Hotels.com」という宿泊予約サイトをご存じだろうか。
Booking.comやagoda等と並ぶオンラインホテル予約サイトの大手で、10回予約すると、予約した金額の平均値で1泊無料になるとかのサービスを行っている。
モッピー経由で予約するとポイントが獲得できる。
セゾンポイントモール経由で予約すれば永久不滅ポイントが獲得できる。
そんな「Hotels.com」において、セゾンカード会員限定の優待特典が用意されている。
Hotels.comのセゾンカード会員限定ページからアクセスし、専用のクーポンで予約してセゾンカードで支払うと、宿泊施設の客室料金が割引となる。
クーポンは、下記2種類。
・国内ホテル:10%オフ
・海外ホテル:8%オフ
割引の宿泊対象期間は2021年4月30日までなので、コロナが落ち着いたら検討してみてもよいかもしれない。
航空券の燃油サーチャージが3年ぶりに無料化
武漢ウイルスの世界的な蔓延により、人の流れがストップし、経済が急激に悪化している。
その結果、原油については需要が急減し、減産しても供給が上回る状況が続いている。
そして、その影響が燃油サーチャージにも出てきた。
2020年6月発券分からの燃油サーチャージについては、現時点ANAからの発表のみだが、おそらくJALも追随してくると思われる。
■燃油サーチャージ(金額は片道分。往復の場合は2倍となる。)
南朝鮮(韓国)、極東ロシア:500円⇒0円
中国、台湾、香港:2,500円⇒0円
タイ、シンガポール、マレーシア:4,500円⇒0円
北米、欧州、中東、オセアニア:10,500円⇒0円
ただ、燃油サーチャージは下がっても、海外旅行に行くハードルが上がっている。。。
まず武漢ウイルスが収束しないといけない。
次に各国が入国制限を解除しなければならない。
が、景気が急速に悪化しているため、上記を満たしても、旅行に行くだけの経済的余裕が残っているか超絶不安。
自己都合退職を会社都合退職に変えられる!?(特定受給資格者、特定理由離職者)
自宅にはテレビが無く、最近の情報収集はYoutubeがメインで、ときどきラジコでラジオを聴いたり、日本経済新聞を読んだりしている。
テレビって基本偏向報道なので、正確な情報が入ってくることは無い。
あればつけてだらだら視聴してしまうので、人生における生産性低下のツールだと思っている。
テレビをなくすことで無駄に時間を過ごすことは無くなるし、NHKに無駄金を払わなくて済むので個人的には大変オススメである。
個人的にはテレビと銀行はオワコンだと思っている。
前置きが長くなってしまったが、今回はそんなYoutubeから仕入れた、
「法律ゆうんは弱いもんの味方やない、知っとるもんの味方するんや」シリーズ。
会社を退職した時、雇用保険に入っていれば失業給付金をもらえることは誰でも知っていると思う。
退職の形態には「会社都合退職」と「自己都合退職」があり、会社都合退職の場合はすぐに支給されるが、自己都合退職の場合は3か月間の待機期間が必要となるが、これは一部の人しか知らないと思う。
自分もこのレベルの知識だったのだが、自己都合退職でも3か月間の待機期間が無くすぐに支給されるケースが存在することを知ったので、整理したいと思う。
■特定理由離職者
・派遣社員の派遣期間満了
(労働者が更新を希望したにもかかわらず、更新されなかった場合に限る)
・体力の不足、心身の障害、疾病、負傷など
⇒うつ病等によるメンタルが原因の退職はコチラに該当
・妊娠、出産、育児など
(受給期間の延長措置を受けた人に限る)
・配偶者や扶養すべき親族との別居を続けることが難しくなったため
⇒いわゆる介護離職が該当
・結婚に伴う転居で、通勤が不可能に、または難しくなったため
■特定受給資格者
・事業所の廃止
・事業所の移転で、通勤が難しくなったため
・労働の実態が、明示されていた労働条件と大きく異なったため
⇒長時間残業による退職の場合、該当する可能性アリ
で、どのような長時間残業が特定受給資格者に該当するかと言うと、直近6ヶ月で下記のいずれかを満たすと特定受給資格者を満たせる可能性が出てくるらしい。
1.どれか1か月で残業100時間超
2.連続する3か月で残業45時間超
3.連続する2か月以上の期間で残業が月平均80時間超
まー、まともな会社だと満たすこと自体が結構困難かもしれない。
逆に言うと、満たしている会社は明らかにブラック企業なので、速やかな転職をおススメしたい。
【参考】
https://www.youtube.com/watch?v=cEjeO10oiUs&t=0s
https://manetatsu.com/2020/03/233994/
https://hataraquest.com/overtime-45-hours
固定資産税・都市計画税の減免
武漢ウイルスの蔓延により、国がいくつかの緊急経済対策を検討してくれている。
ただ、注意したいことは、
「法律ゆうんは弱いもんの味方やない、知っとるもんの味方するんや」
ということ。
最近意識して情報収集しているつもりなのだが、ウラケン不動産であまり認識していなかった制度の紹介があった。
ちゃんと情報をアップデートしていざと言うときに使えるようにしておきたい。
これは経済産業省が出している経済対策の一つとなる。
ーー
中⼩事業者が負担するすべての設備や建物等の固定資産税及び都市計画税について、
2020年2〜10⽉の任意の3ヶ⽉の売上が前年同期⽐30%以上減少した場合は1/2に軽減し、50%以上減少した場合は全額を免除する。
ーー
売り上げ減少のカウントの具体的な部分が明確になっておらず、追加の情報を待ちたいところである。
【参考】
https://www.youtube.com/watch?v=nWj9I_4IrKU
https://www.rakumachi.jp/news/practical/258635
うつ病治療費の公的支援制度【自立支援医療制度】
「法律ゆうんは弱いもんの味方やない、知っとるもんの味方するんや」シリーズ。
自立支援医療というものをご存じだろうか?
対象は主に身体障がい者や精神疾患と闘う人々
うつ病も対象に入る。
これらは治療が長引くこともあるため、治療費も心配になる。
会社員であれば傷病手当金を受けることで生活は維持できる状態になっていると思うが、それでも3割負担が続くと辛くなると思われる。
そんな時、負担を軽減してくれる公的な制度として「自立支援医療」がある。
適用されると精神疾患の通院医療費が最低1割負担で済が、いくつか条件がある。
・入院医療費は対象外
・公的医療保険が適用されない治療費は対象外
・精神疾患と関係のない治療費は対象外
・有効期間は1年だが、必要な場合は3ヶ月前から更新の申請が可能
・負担額の軽減を受けられるのは「指定自立支援医療機関」での受診等にかかる医療費
患っているものが対象である必要があるのは当然だが、かかりつけの病院も対象になっている必要がある。
また、だれもが1割負担になるわけではない。
市町村民税23万5千円以上の所謂お金持ちは、対象から外れる可能性があるのでご注意を。
【参考】
https://financial-field.com/living/2019/10/09/entry-59489
【悲報】ヴァージン・オーストラリア破綻
武漢ウイルスによる影響が広がりだしてきた。
オーストラリア2番手の航空会社、ヴァージン・オーストラリア(VA)が武漢ウイルスの感染拡大による需要の急減で手詰まりとなり、ついに事実上経営破綻した。
運航は継続しつつ新たなスポンサーを探すようだが、武漢ウイルスの影響による大手航空会社の破綻は、これが世界初のケースとなる。
VAはオーストラリア政府の支援を望んでいたが、VAの株主構成における外国人比率が高く政府は見捨てる形となった模様。
航空業界は固定費に割合が高く、飛行機の運航が止まっても固定費の支出が続くため、このような景気悪化の影響をもろに受ける。
このような事態に備えて政府とは密な連携が求められるのだと思う。
オーストラリア政府はVAは見捨てても、カンタス航空は確実な支援をしてくると思われる。
日本も同様で、JALやANAは政府が確実な支援を行うものと思われる。
外資であるエアアジアや春秋航空はほぼ間違いなく救わないだろう。
スカイマークとかソラシドエアとかスターフライヤーとかはどうなるんだろう?
爪痕がこれ以上大きくならないことを願うばかりである。
【参考】
https://news.nifty.com/article/magazine/12208-639430/
https://www.msn.com/ja-jp/money/news/%EF%BD%A2%E7%BE%BD%E7%94%B0%E5%B0%B1%E8%88%AA%E5%BB%B6%E6%9C%9F%EF%BD%A3%E3%81%AE%E8%B1%AA%E3%83%B4%E3%82%A1%E3%83%BC%E3%82%B8%E3%83%B3%EF%BD%A4%E3%82%B3%E3%83%AD%E3%83%8A%E3%81%A7%E7%A0%B4%E7%B6%BB-%E3%82%AA%E3%83%BC%E3%82%B9%E3%83%88%E3%83%A9%E3%83%AA%E3%82%A22%E7%95%AA%E6%89%8B%EF%BD%A4%E7%B5%8C%E5%96%B6%E4%B8%8D%E6%8C%AF%E3%81%AB%E8%BF%BD%E3%81%84%E6%89%93%E3%81%A1/ar-BB132fsC?srcref=rss
https://voyageavance.global/va-miles-after-bankruptcy
ベネッセ&SB合弁会社「Classi」、学校教育アプリに不正アクセスされ高校生ら約122万人のIDなどが流出
ベネッセと言うと、2014年に発生した3500万件の情報漏洩のイメージが強いが、またベネッセ絡みで情報漏洩事件が発生した。
ベネッセホールディングスとソフトバンクの合弁会社「クラッシー」は2020年4月13日、学校教育支援アプリのシステムがサイバー攻撃を受け、高校生ら約122万人分のIDなどが流出したと発表した。
2020年4月16日時点で具体的に漏れた情報は下記の模様。
・Classiを利用するためのID(約122万人分)
・パスワードが暗号化された文字列(約122万人分)
※パスワード自体が漏れたわけではない。
・任意記入の教員の公開用自己紹介文(2,031件)
早速想定損害賠償額シミュレータで損害を試算してみる。
今回はIDの漏洩なので、漏洩件数が多いものの、個人情報は実質漏洩していないと考えられる。
【試算結果】
24億4000万円
不正アクセスによる漏洩は残念だが、パスワードをハッシュ化して保存する等、必要な対策が取られていた点は評価したい。
【参考】
http://mop5542.livedoor.blog/archives/24505367.html
https://snjpn.net/archives/190799
安全に悪いことをする方法を考える(やられサイトの活用)
脆弱性スキャンのツールを知ると、当然それを使ってみたくなるのが人の性と言うものである。
ただ、実際にサービス提供しているサイトに対してスキャンを行うと不正アクセスとされてしまい、下手するとサツのお世話になりかねない。
そこで登場するのがやられサイトである。
世の中にはいくつかやられサイトを提供するサービスがある。
悪いことをする際は、やられサイトを使って安全に行いたい。
1.BadStore
Webアプリケーションの脆弱性だけではなく、OSやWebサーバなどの脆弱性も含まれている。
ISOイメージで配布されていて、Linux(Trinux)とWebサーバ(Apache)がすでにインストールされている。
やられWebアプリケーションも設定済みの状態で入っているので、面倒なインストール作業がほとんどないのがメリット。
デメリットとしては、公式サイトが閉鎖されてしまい、公開されていない事
バックアップを保存してあるので、興味のある方はどうぞ。
BadStoreバックアップ
2.WebGoat
国内では「OWASP Top Ten Project」などで有名なOWASP(The Open Web Application Security Project)が提供しているやられWebアプリケーション。
JavaとTomcatをインストールした環境があれば、WindowsやUNIXなどで動作。
[入手先]
https://owasp.org/www-project-webgoat/
[バックアップ]
https://www.dropbox.com/sh/fiafhx0ycyv8m4q/AAAL80-s8Pkx0GfSiGKi-Gzza?dl=0
3.Hacme Casino
以前はMcAfeeが提供していたのだが、終了した模様。
基本的にはWindows環境で動くらしい。
[バックアップ]
https://www.dropbox.com/sh/2u9hfla7imgzg0i/AADKF9Mrg1mcA2y3zYP0u2rpa?dl=0
※Hacme Casinoのバックアップは汚染されている可能性あり。最悪マルウェアに感染しても構わない環境でお願いします。
【参考】
https://www.atmarkit.co.jp/ait/articles/0910/23/news112.html
【悲報】シャープ マスク販売によりアクセス過多でIoT制御システムを道連れにダウン
シャープが2020年4月21日午前10時から自社サイト上で、マスク販売をスタートさせた。
が、アクセスが殺到してつながりにくい状態になり、「ただ今、アクセスが集中しており、販売サイトにつながりにくい状態が続いております。お時間をおいて再度お試しください。ご迷惑をお掛けしますとことお詫び申し上げます。」とお詫びを掲載する事態となった。
ここまでであれば、よくあるアクセス集中によるサイトダウンの話なのだが、マスク販売サイトのシステムと、IoT家電の制御系システムが同じネットワーク上に存在していたようで、IoT家電も巻き添えを食った。
その結果、何が起きたかと言うと・・・・
「SHARPのマスクでサイト落ちているけど、我が家のホットクックのアプリまで巻き添え食らっておちてる」
「シャープマスクの販売でサーバー止まってアプリから IoT 機能使えないってツイート見たから試したらホントに使えないわ」
「ログインサーバーがしんでるからアプリ立ち上げ時の認証が出来なーい!普段携帯から操作してたからリモコン探すの面倒だわ~」
「COCORO KITCHENに接続できず、ホットクックのレシピがダウンロードできません。恐らく、マスク販売サイトとサーバを共有しているかと思われますが、御社のIoT機器全てに影響が出ています。サーバを分けていただけませんか?」
「シャープのマスクで鯖落ちしてIoT機器死んでるの猫用トイレ(アプリでトイレ行った回数とか見られる)まで影響受けてるのワロタ」
と、まぁ散々たる状況。。。
シャープのサイト自体はCDN(Limelight Networks)が導入されており、不正アクセスやDDoS攻撃に対する保護はしっかりしていたのだと思う。
しかし、今回は正常アクセスのアクセス過多ですからなぁ、結果論になるけど、構成設計に不備があったと言わざるをえない。
とはいえ、短時間での対応であったのは否めないので暖かく見守りたい。
恐らく自社サイトでの販売はシステムリソースの観点から難しいと思われるので、販売サイトをAWS等のIaaS環境に構築するか、Amazonや楽天市場等のECプラットフォームを使うことを検討するのではなかろうか。
【参考】
https://www.sankei.com/west/news/200421/wst2004210026-n1.html
http://mop5542.livedoor.blog/archives/24488672.html
http://mop5542.livedoor.blog/archives/24489260.html
https://maidonanews.jp/article/13315598
https://host.io/jp.sharp
https://japanese.engadget.com/jp-2020-04-20-iot.html?fbclid=IwAR23dEBmIU_qoWljMMr9kqsyHZt_mHY0Z8caFZAzp5HRXZhGhnXSqt0ijJA
【新記録】2020年4月20日 ついに原油価格がマイナスに!
2020年4月20日の米市場で、原油の価格が史上初めてマイナスをつけた。
先物の5月限月の決済が4月21日との事で、売りの嵐になったようだ。
しかし、一瞬とはいえマイナス40ドルとは・・・。
景気後退で原油の需要は明らかに落ちているため、原油を生産しても貯蔵タンクがいっぱいで買い手が全くつかなくなり、通常はお金をもらって打っている原油を、お金を払ってでも引き取ってもらう状況になっていると思われる。
先日、飛行機の燃油サーチャージが2020年6月から0円になったというニュースがあったが、この辺からも原油余りが伺える。
ただ、原油は倒産することは無いので、未来のプチ石油王を目指して少しずつ買い足していこうと思う。
【参考】
https://www.youtube.com/watch?v=EidRLe6-CNc
住居確保給付金
「住居確保給付金」という制度をご存じだろうか。
武漢ウイルスの広まりを受けて、2020年4月20日から制度が拡充するらしい。
自分は制度拡充のアナウンスで初めて聞いた。
難波金融伝 ミナミの帝王での名セリフが頭をよぎる
「法律ゆうんは弱いもんの味方やない、知っとるもんの味方するんや」
制度的には現在借りている部屋の家賃支払いが困難になった時に使うイメージだろうか。
当然受給にはいくつかの条件がある。
まずは収入。
基準が各都道府県ごとに異なるようだが、東京都の場合、給与額面で単身の場合138,000円未満であることが条件となる。
次に資産。
これも基準が各都道府県ごとに異なるようだが、世帯の預貯金合計額が基準額を下回っている必要がある。
基準額は100万円が上限となっているため、100万円未満が共通ルールだろうか。
都市部の単身者は50万円未満となっている模様。
負債がある場合に預貯金と相殺して・・・みたいなことは行われない。
逆に株式や保険等を持っていても、それは預貯金と合算されないらしい(ルールが預貯金合計額だからね。)
最後にハローワークに求職しに行っているか。
以前は細かいルールがあったため、あまり活用されなかった制度のようだが、制度改定により、ハローワークに求職を求めれば条件を満たせるようになっている模様。
ただし、職業訓練受講給付金をもらっている人はNGになる。
受け付けはハローワークなのかと思いきや、「自立相談支援機関」なる所に行かなければならないらしい。
あと、申請時に必要な書類は下記の通り
・免許証
・離職関係書類
・収入関係書類
・通帳
・賃貸借契約書
最後に、この給付金は申請者ではなく、大家に直接振り込まれる。
こういうご時世だからこそ、お国のセーフティネットはしっかり学んでおかないといけないと感じている。
繰り返すが、
「法律ゆうんは弱いもんの味方やない、知っとるもんの味方するんや」
である。
【参考】
https://www.youtube.com/watch?v=gcgsqmt5sWo
Cloudflareで『また』障害発生
CloudflareというCDNサービスをご存じだろうか。
CDNサービスと言えば、最も有名なのはAkamaiである。
Akamai=アカマイ=赤米 ではない。
※「知性」を意味するハワイ語に由来するとのことで、日本語とは関係ない。
CDNサービスとは、Webコンテンツ(Webサイト、画像、Flashコンテンツ、動画など)をスピーディに安定配信するための負荷分散・配信ネットワーク。
これらのサービスを活用することで、クライアントは実際の配信元のサーバにアクセスするのではなく、CDNサービスにアクセスしてWebコンテンツを入手することとなるため、配信元サーバの負荷軽減に役立つ。
また、クライアントはCDNサービス経由でのアクセスとなることから、コンテンツ配信のみならず、DDoS対策やクラウドWAFとしても利用される。
ここまで話せばお気づきだと思うのだが、CDNサービスで障害が発生してしまうと、いくら配信元のサーバが元気に稼働していても、クライアントはWebコンテンツにたどり着くことができない。
つまり、CDNサービスとは稼働率100%が求められるのだ。
そんなCDNサービス事業者の一つであるCloudflare社が2019年から大規模障害を連発させている。
2019年は7月2日午後11時50分ごろ(日本時間)から約30分間にわたり、世界中で全面的にダウン。端的な原因はオペミス(問題のあるソフトウェアをデプロイ)と言われている。
2020年は日本時間の4月15日午前0時31分から午前4時52分まで、ダッシュボードおよびAPIがダウン。こちらも原因はオペミス(データセンター内でパッチ盤からケーブルを引っこ抜いてしまった)であった。
落ちてはいけないクラウドサービスの割には正直緊張感が無さすぎると思う。
クラウドサービスでこういう体たらくな事件が連発すると、「クラウドからオンプレに」っていう話に繋がっていくと思う。
クラウド事業者は緊張感をもってオペレーションに取り組んでほしい。
【参考】
https://www.itmedia.co.jp/news/articles/1907/03/news068.html
https://www.itmedia.co.jp/news/articles/2004/20/news076.html
CDNサービスと言えば、最も有名なのはAkamaiである。
Akamai=アカマイ=赤米 ではない。
※「知性」を意味するハワイ語に由来するとのことで、日本語とは関係ない。
CDNサービスとは、Webコンテンツ(Webサイト、画像、Flashコンテンツ、動画など)をスピーディに安定配信するための負荷分散・配信ネットワーク。
これらのサービスを活用することで、クライアントは実際の配信元のサーバにアクセスするのではなく、CDNサービスにアクセスしてWebコンテンツを入手することとなるため、配信元サーバの負荷軽減に役立つ。
また、クライアントはCDNサービス経由でのアクセスとなることから、コンテンツ配信のみならず、DDoS対策やクラウドWAFとしても利用される。
ここまで話せばお気づきだと思うのだが、CDNサービスで障害が発生してしまうと、いくら配信元のサーバが元気に稼働していても、クライアントはWebコンテンツにたどり着くことができない。
つまり、CDNサービスとは稼働率100%が求められるのだ。
そんなCDNサービス事業者の一つであるCloudflare社が2019年から大規模障害を連発させている。
2019年は7月2日午後11時50分ごろ(日本時間)から約30分間にわたり、世界中で全面的にダウン。端的な原因はオペミス(問題のあるソフトウェアをデプロイ)と言われている。
2020年は日本時間の4月15日午前0時31分から午前4時52分まで、ダッシュボードおよびAPIがダウン。こちらも原因はオペミス(データセンター内でパッチ盤からケーブルを引っこ抜いてしまった)であった。
落ちてはいけないクラウドサービスの割には正直緊張感が無さすぎると思う。
クラウドサービスでこういう体たらくな事件が連発すると、「クラウドからオンプレに」っていう話に繋がっていくと思う。
クラウド事業者は緊張感をもってオペレーションに取り組んでほしい。
【参考】
https://www.itmedia.co.jp/news/articles/1907/03/news068.html
https://www.itmedia.co.jp/news/articles/2004/20/news076.html
ポートスキャンツール【nmap】【zenmap】
自分のPCや、自分が管理しているサーバにおいて、どのポートが解放されているのか、知りたい時は無いだろうか。
空いているポートが、外部に向けて空いているべきポート(80、443等)であれば問題ないが、内部ネットワーク内での利用を想定したポート(23、135、137、138)がインターネットに公開されている場合、注意が必要となる。
23:telnet(ネットワークに繋がれたコンピュータを遠隔操作)
135:DCE endpoint resolution(RPCに利用されるポートで、ネットワーク上の異なるマシンで処理を実行)
137:NETBIOS Name Service(NetBios名前解決サービス)
138:NETBIOS Datagram Service(NetBiosのコンピュータ一覧を得るブラウジングサービス)
ポートスキャンツールとして最もメジャーなのが、
nmap
である。
nmapはCUIベースのツールで、Linux環境で使われることが多いイメージ。
ちなみに
zenmap
はGUIのツールでWindowsでも利用することが可能。
そのため、ポートスキャン実施の敷居は結構低くなっていると感じている。
ただ、敷居が低くなっているからと言って、気軽に実施することはオススメできない。
ポートスキャンを攻撃者視点で考察した場合、攻撃対象に潜入するための足掛かりとして、使うツールでもある。
つまり、使い方を誤ると不正アクセスとされてしまう可能性がある。
「できる」「できない」と、「やってよい」「やってはいけない」はしっかり分別した上で、これらのツールを活用していきたい。
【nmap、zenmap入手先】
https://nmap.org/download.html
【バックアップ】
https://www.dropbox.com/sh/gowyxvg2lhdkxbw/AACp0y1j1NgHvYrYt64Gp3Vta?dl=0
【参考】
https://www.websec-room.com/2014/02/08/1788
生活苦になったら不動産ローンどうするか?
武漢ウイルス(通称コロ助)の蔓延により、IMFなんかは大恐慌以上の不況が来るとか言っている。
そうなると企業の倒産の増加とともに、借金による自殺者なんかも増えてくることが想定される。
僕の大好きな難波金融伝 ミナミの帝王では「こんな紙切れで人は人生を狂わすんや」ってセリフがありましたが、まさにその通り。
借金が増えて首が回らなくなってくると、正常な判断が下せなくなるらしい。
目の前のお金(=利息)の調達しか頭が回らなくなって、闇金に行ってしまうんだとか。
難波金融伝 ミナミの帝王は好きだけど、闇金と借金苦の自殺は避けるようにしたいものだ。
今回は不動産投資ローンがある人が不況で(空室発生で持ち出しが発生し)生活苦に陥った場合に取るべきステップについて整理したいと思う。
1.ローンの返済を止める
ま、生活が苦しいんだから、仕方ないですわな。
ローン返済のお金を生活費に充当して命を繋ぎます。
2.返済方法の見直し
ローンの返済が止まれば、当然銀行から連絡が来る。
返済計画のリスケジュールと言って、金利を下げてもらったり、元金の返済を後ろ倒しにする等の対応が可能らしい。
3.任意売却(任売)
難波金融伝 ミナミの帝王でもおなじみのフレーズではないだろうか。
ちなみに任意売却は銀行の承諾が必要になるらしい。
難波金融伝では競売にすると脅して銀行に任売を認めさせるようなシーンを見た記憶がある。
4.民事再生
これ、実はウラケン不動産のYouTubeチャンネルで初めて知った。
サラリーマン大家には「給与所得者等再生」と言うのがあって、
銀行等の債権者の同意なしに実行できる。
自分は物件売却しても残債が残っている場合、全額頑張って返していかなければならないと思っていた。
ところが、残債全部を返す必要は無いようなのである。
その内容は、
物件売却後の残債額の1/10
もしくは
給与所得の可処分所得(給料-生活費)の2年分
のどちらか多いほうを3年~5年で返済するというもの。
例えば、物件を売却して残債が1000万円残ったとしても、
給与所得の可処分所得が2年で300万(年収460万の例)の場合、
300万円を3年~5年で返済すればよい。
ん、なんか割に合わないな。
そう。
債権者の同意なしに実行できる分、使い勝手が悪くなっている。
民事再生にはもう一つ、「小規模個人再生」というものがあり、こちらは債権者の同意が必要だが、返済額は「給与所得者等再生」よりもお得になる。
尚、民事再生を使うと家、車、給与等が差し押さえられることは無く、ある程度社会的身分を維持したまま再生が図れるが、クレジットカード作成やローンは5年程度不可能となる
5.自己破産
いわずとしれた、最後の手段。
5000万円までであれば、民事再生を使えるチャンスがあるが、5000万円超は自己破産しか選択肢が無くなる。
ただ、借金が帳消しになる代わりに、車や家など換金性のあるものは没収される。
さらに、給与収入も1/4程度差し押さえられる可能性が出てくる。
クレジットカードは5年~10年は作れなくなり、ローンは10年程度組むことができなくなる。
ちなみに自己破産は最後の手段にもかかわらず、申請には収入印紙等で数万円が必要となる。
自己破産くらい無償で受け付けてあげればいいのにと思う今日この頃。
【参考】
https://www.youtube.com/watch?v=9zSxiiiUasM
https://izumi-fujisawa.jp/column/saimuseiri/kojinsaisei-kyuyosyotokusya
LAN内のPC情報を調査するためのツール【Advanced IP Scanner】
LAN内の端末情報を調査したい時は無いだろうか。
メジャーどころとしてはExPingがあり、シンプルにpingを打ってIPのup/downを調べるのに非常に便利である。
もう少し詳細な情報が必要な際に活用できそうなのが、
Advanced IP Scanner
である。
Advanced IP ScannerではLAN内の下記の情報の収集が可能である。
・機器の起動状態
・名前
・IPアドレス
・NetBiosグループ
・製造メーカ
・Macアドレス
・稼働プロトコル
SMB、HTTP、HTTPS、FTP、RDP、SSH、ping、telnet等
【入手方法】
本記事投稿時点での最新版は下記から入手
https://www.advanced-ip-scanner.com/jp/
【バックアップ】
https://www.dropbox.com/sh/zefz0wbcdjcqwk6/AACtgqO5_sduf-G_Yqgopv-ka?dl=0
サブドメインを一覧表示してくれるサイト【Certificate Search】
「このドメインに紐づくサブドメインって何があるんだろう?」と困ることは無いだろうか?
実はサブドメインの洗い出しは意外に難しい。DNSのゾーンファイルを見ればわかりそうなものだが、ゾーンが分割されていたり、別のDNSサーバに移譲されていたりすると追うのは難しい。
nslookupやdig等のコマンドでわかりそうな気がするのだが、これでも分からない。
そんな悩みを解消するオンラインサービスを見つけた。
Certificate Search
本来の目的は証明書となるため、証明書のないドメインは検索できない。
が、今は常時SSLが基本なので、参考情報として使う必要があるものの、役に立つツールとなるはずである。
試しに2014年に情報漏洩を起こした某社のドメインを入れたところ、紐づくサブドメインが大量に引っかかってきた。
頻繁に使うことは無いと思うが、いざというときにあると助かるサービスである。
セゾン永久不滅ポイントの運用を考える
セゾンカードで買い物をすると永久不滅ポイントがもらえる。
永久不滅ポイントはJALのマイルにも交換できるのだが、実は運用することができる(Tポイントでも運用できる様だが、Tポイントは個人的には無価値のポイントなので、省略する)
以前セミナーで聞いたのだが、永久不滅ポイントは、その名の通り有効期限が無いポイントだが、それゆえに皆がのんびり貯めているため、円換算で1,500億円近く積みあがっていると聞いたことがある。
貯蓄から投資への流れの一環で、このただ貯めこまれている永久不滅ポイントを使って投資体験をしてもらおうと企画されたのが、ポイント運用らしい。
ポイント運用で選べる商品は6つで、投資初心者をターゲットにしているだけあってシンプルにしてある。
んで、自分も早速やってみようと思ったのだが、意外に敷居が高い。
個人的なイメージは100ポイントから投資ができると想像していたのだが、最も安いもので255ポイントが必要となる。
最も高いと約2万ポイント必要となるが、2万ポイントって、JAL5万マイル分なので、ちょっと勇気がいる(保有ポイントが20万ポイントくらいあればやってもいいが・・・。)
ここら辺はもう少しサービス改善が必要と感じた。
【参考】
https://stockindex.pointunyou.jp/
マイナポイント とやらを考えてみる
マイナンバーカードと聞くと、導入当初のごたごたやトラブルの多発で、個人的には正直イメージが悪い。
そんなわけでマイナンバーカードは自分は保有しておらず、いまだに紙の通知カードのままである。
2019年11月現在の普及率は14%ということだから、自分のような状況が圧倒的多数なのだろう。
そんなマイナンバーカードの普及を目論んでか、2020年9月から、キャッシュレス決済を対象にした新たな施策として「マイナポイント事業」が開始される。
「マイナポイント」とだけ聞くと、何の役にも立たないポイントのように聞こえるが、実際は「マイナポイント」がもらえるのではなく、事前に選択したキャッシュレス決済サービスのポイントに変換されてもらえる形となり、ざっくりと下記の流れになる。
①消費者が任意のキャッシュレス決済サービスを利用
②キャッシュレス決済事業者がマイナポイント付与分を国に請求
③国がマイナポイント請求分をキャッシュレス決済事業者に支払い
④キャッシュレス決済事業者が消費者にポイント還元
現時点で、Pay Pay、楽天Pay、Suicaなどが選択可能なキャッシュレス決済サービスとなっているようで、Pay Payは「PayPayボーナス」、楽天Payは「楽天スーパーポイント」、Suicaは「JREポイント?」が付与される。
んで、これとマイナンバーカードがどう結びつくかと言うと、
マイナンバーカードを取得後マイキーIDを発行し、
そのマイキーIDとキャッシュレス決済サービスを結びつける動きになりそうな。
Suicaを選択してJREポイントもらえれば、JALのマイルに移行できるし、これならマイナンバーカード作ってもいいかなって思った。
【参考】
https://crecolle.jp/about-mynumbercard-point/
第5回情報セキュリティ事故対応アワード
いかに対策していても、情報セキュリティ事故を完全に防ぐことは難しい。
今、企業に求められるのは、事故発生後の迅速な対応である。対応が素晴らしければ、むしろ事故以前よりも企業評価を高め、ユーザーの信頼を勝ち得ることにもつながるだろう。
3月10日、不幸にもセキュリティ事故に遭ってしまった企業の優れた対応を評価する「情報セキュリティ事故対応アワード」が開催された。
審査の評価ポイントは下記の通り
1.事故が発覚してから第一報までのスピード
2.続報の頻度。
3.発表の内容がより詳しいものだったか(原因や被害範囲、対応内容などの情報が含まれていたか)
4.プレスリリースが自主的に出されたものだったかどうか。
んで、表彰を受けた企業が下記。
・株式会社ディノス・セシール
・株式会社ビジュアルアーツ
・株式会社セブン・ペイ
・株式会社オージス総研
・象印マホービン株式会社
インシデントが発生した際は大抵何か問題があり、そこをマスコミに叩かれるのがいつものパターンである。
情報セキュリティ事故対応アワードはそういった原因云々の話ではなく、インシデントそのものへの対応を評価するという取り組みなので、この件に関しては視点を変えて見ていきたい。
B2C企業のインシデントレスポンスは大企業になればなるほど権限移譲がされていないと情報公開は遅くなる。
いざ公開するにしても、アナウンス文の作成後、上長のチェックが入ったり、広報のチェックが入ったり、企業グループの場合は親会社のチェックが入ったりするからである。
ディノス・セシールは残念ながら高頻度でパスワードリスト攻撃を受けていることから、この辺の対応が定常化できていると考えられる。
ビジュアルアーツはもともと人数が少ないとの事なので、組織化されていないものの、インシデントハンドリングができる優秀な人がいれば、スピード感のある的確な対応ができるのだろう。ただ、個人的にはこの辺は属人的なリスクが潜んでいるのではと考えている。
セブン・ペイはインシデントハンドリングそのものは最低極まりないものであったが、事業撤退の判断は素早く行われたことが評価されたようである。
7Payと宅ふぁいる便はセキュリティ対策をないがしろにした結果、インシデント発生に繋がり、そのインシデントが事業撤退に繋がってしまった。
セキュリティをコストと思い込んでいる経営者は考えを改めてもらいたい。
【参考】
https://news.mynavi.jp/itsearch/article/security/4911
今、企業に求められるのは、事故発生後の迅速な対応である。対応が素晴らしければ、むしろ事故以前よりも企業評価を高め、ユーザーの信頼を勝ち得ることにもつながるだろう。
3月10日、不幸にもセキュリティ事故に遭ってしまった企業の優れた対応を評価する「情報セキュリティ事故対応アワード」が開催された。
審査の評価ポイントは下記の通り
1.事故が発覚してから第一報までのスピード
2.続報の頻度。
3.発表の内容がより詳しいものだったか(原因や被害範囲、対応内容などの情報が含まれていたか)
4.プレスリリースが自主的に出されたものだったかどうか。
んで、表彰を受けた企業が下記。
・株式会社ディノス・セシール
・株式会社ビジュアルアーツ
・株式会社セブン・ペイ
・株式会社オージス総研
・象印マホービン株式会社
インシデントが発生した際は大抵何か問題があり、そこをマスコミに叩かれるのがいつものパターンである。
情報セキュリティ事故対応アワードはそういった原因云々の話ではなく、インシデントそのものへの対応を評価するという取り組みなので、この件に関しては視点を変えて見ていきたい。
B2C企業のインシデントレスポンスは大企業になればなるほど権限移譲がされていないと情報公開は遅くなる。
いざ公開するにしても、アナウンス文の作成後、上長のチェックが入ったり、広報のチェックが入ったり、企業グループの場合は親会社のチェックが入ったりするからである。
ディノス・セシールは残念ながら高頻度でパスワードリスト攻撃を受けていることから、この辺の対応が定常化できていると考えられる。
ビジュアルアーツはもともと人数が少ないとの事なので、組織化されていないものの、インシデントハンドリングができる優秀な人がいれば、スピード感のある的確な対応ができるのだろう。ただ、個人的にはこの辺は属人的なリスクが潜んでいるのではと考えている。
セブン・ペイはインシデントハンドリングそのものは最低極まりないものであったが、事業撤退の判断は素早く行われたことが評価されたようである。
7Payと宅ふぁいる便はセキュリティ対策をないがしろにした結果、インシデント発生に繋がり、そのインシデントが事業撤退に繋がってしまった。
セキュリティをコストと思い込んでいる経営者は考えを改めてもらいたい。
【参考】
https://news.mynavi.jp/itsearch/article/security/4911
武漢ウイルス(コロ助)にやられると会社員はどうなる?(傷病手当金の検討)
武漢ウイルス(コロ助)が日本でも蔓延している。
もしコロ助の毒牙にかかったら、会社員はどうなってしまうのだろうか?
会社員って社畜と言われるが、フリーランスにはないメリットもある。
一つは上場企業の会社員であれば与信が付くので、この与信をベースにクレジットカードやローンが組めること(この与信を大多数の人は自宅購入のローンに使ってしまうのだが、自分は投資用不動産に使っている)
もう一つが病気になった時の保障である。
手術や入院等で高額な医療費が発生した際は「高額医療費支給制度」がある。
そして今回のようなコロ助の毒牙にかかってしばらく出勤できなくなってしまった際は「傷病手当金制度」がある。
傷病手当金とは、病気や仕事以外のケガによる療養休業中に、健康保険に加入している被保険者の生活を手助けするために設けられた制度。
具体的には次の4点に該当するときに支給される。
1.仕事以外(業務外)での病気やケガの療養のための休業であること
コロ助の感染は仕事以外なので、該当します。
2.仕事に就くことができないこと
コロ助に感染すると出社禁止となるため、これも該当。
3.連続する3日間を含み、4日以上仕事に就けなかったこと
コロ助に感染すると入院治療となり、2週間弱の入院は覚悟したほうが良い。
退院後4週間は健康観察が求められる。
ざっくり1.5か月は仕事に就けなくなることを覚悟したほうが良い。
4.会社を休んだ期間に給与の支払いがないこと
(有給休暇使って給料との二重取りとかはできないと勝手に認識している)
不謹慎なこと言うようだけど、個人的には自粛自粛の生活よりは普通に生活して、かかるならさっさとコロ助に感染して、(生き残る前提でコロ助の免疫つけて)コロ助に委縮する日々を終わらせたい。
旅好きの僕としては今コロ助に感染せず済んだとしても、将来旅先でコロ助に感染&発症する様な事態を最も恐れている。
【参考】
https://www.mhlw.go.jp/content/000604969.pdf
https://www.kyoukaikenpo.or.jp/g3/cat310/sb3040/r139/
https://next.rikunabi.com/tenshokuknowhow/archives/9990/
https://plaza.umin.ac.jp/jstah/pdf/coronavirus08.pdf
https://www.toben.or.jp/news/pdf/COVID-19_troubleQA.pdf
コロナ給付金(30万)の受給を考える
コロナ給付金の受給要件が少しずつ見えてきた。
アメリカとかシンガポールとかは一律支給に近い形でスピード感がある感じだが、日本は相変わらずと言うか、複雑極まりないルールでスピード感が欠けている感じである。
独身会社員だけで見た場合、受給するには、以下のいずれかを満たす必要がある。
1.給与額面で月額10万円以下の人
2.2020年2月~6月までのいずれかの月の給与が、前年同月比で、
2-1.額面ベースで半分以下になった
かつ
2-2.20万以下になった
うーん。1.で給料月額10万円以下で生活している人なんているのだろうか?
学生時代、奨学金を借りないタイプの新聞奨学生をやっていたことがあったが、それでも月収18万くらい貰っていたぞ。
月額10万円以下で生計を立てている人のイメージが正直湧かない。これを満たすのは正直無理ゲーである。
ルールの2つ目はどうだろうか?
例えば、コロ助関連で自宅療養となった際に、使えるシーンは出てくるかもしれない。
何も知らないとうっかり有給休暇を使ってしまいそうだが、無給休暇にすることで、条件を満たせるようになるかもしれない。
ただ、2020年2月~6月までの給与が対象となるため、使える時間は限られている。
【参考】
https://www.youtube.com/watch?v=vc8dJEJ1bDk
テレワークのリスク(テレ鬱、テレハラ)を考えてみる
武漢ウイルス(通称コロ助)の蔓延でリモートワークが広がっている。
テレワークと言うダサい言葉が日本では広がっているのが残念極まりないが、そんなダサい言葉と組み合わせるのにぴったりの言葉を思いついた。
1.テレワークうつ(通称テレ鬱)
テレ鬱は今後広がっていくものと考えられる。
在宅ワークで出勤時間もなく、自宅で仕事ができるのは非常に良い様に見えるが、これは仕事とプライベートの境目が無くなっていることを指している。
そうなると、仕事で抱えるストレスが解消されないまま維持されることとなり、精神ストレスが解消されない事態が懸念される。
これがテレワークうつである。
通常のうつは職場を離れ、自宅でじっくり療養することがメインとなるのだが、テレワークで自宅=職場になってしまうと、自宅で休んでも療養にならないのではないかと感じる。
現時点でもDVが増えている等の報道があるが、これはテレ鬱の症状の一つではなかろうか。
2.テレワーク強要ハラスメント(通称テレハラ)
自宅に仕事環境を整備していない(仕事に集中できるような部屋や机や椅子やネットワーク環境が無い)環境下ではテレワークを行っても、会社で仕事をするようなパフォーマンスは出せない。
そのような状況にもかかわらず、在宅勤務を指示しつつ、会社出勤時と同じパフォーマンスを求めることをテレハラと命名してみた。
テレハラ受けている人って結構いるような気がするのだが、そんなことないだろうか?
前橋市教育委員会への不正アクセスに関する損害賠償金額
2018年4月4日、前橋市教育委員会は前橋市教育情報ネットワーク(MENET)が不正アクセスを受け、校務用サーバーから児童生徒の個人情報等が漏えいした可能性があると発表しました。
このインシデントでは、保護者ら約48,000人の個人情報が流出した可能性が高いとされています。
2年の歳月を経て、前橋市がシステムを委託したNTT東日本を相手取り、約1億8000万円の損害賠償を求め前橋地裁に提訴したというニュースが流れた。
今回はこの1.8億円の損害賠償額について考察したい。
情報漏洩事件が起きた時の損害賠償額をざっくり知るには、JNSA(日本ネットワークセキュリティ協会)が出している損害賠償額算出式を使うのが良い。
この式に当てはめるとざっくり損害賠償額が出てくるが、計算が面倒くさければ、下記のサイトがあるのでそちらを活用してもよい。
https://www.pahoo.org/e-soul/privacy/atwork/atwork-019-01.shtm#simulator
手元で試算した結果、4.8万人の個人情報流出の場合の損害賠償額は、
約2.9億~5.8億
と言うことになった。
ちと安い気がするが、内訳は調査費用や復旧費用となっている。
営利企業ではないため、一人500円のお詫び費用みたいなものは発生しなかったのだろう。
仮に一人500円のお詫び金が発生したら、計2400万。
やはりちと安い気がする。
ベネッセの集団訴訟では当初の請求金額55,000円でスタートし、先日のベネッセ逆転敗訴により3,300円で決着した。
若干強引かもしれないが、損害賠償でとれるのが目標金額の1/10とすると、今回前橋市が勝訴したとしても取れる金額は1,800万程度だろうか。
日本の裁判は割に合わないわーと思う、今日この頃
【参考】
https://piyolog.hatenadiary.jp/entry/20180404/1522863234
https://www.tokyo-np.co.jp/article/gunma/list/202003/CK2020032802000170.html
http://www.benesse-saiban.com/pc/index.html
zoomの脆弱性ときな臭い噂
武漢ウイルス(通称コロ助)の蔓延により、セミナーが軒並み中止や延期になっている。
その一方で、代替手段としてzoomの名前をよく聞くようになった。
自分は2018年に仮想通貨関連のオンラインセミナーで初めて使った。
基本的にはskypeのようなものと思っていただければよいが、セミナーに参加するだけのようなケースであれば、zoomはインストールだけでも大丈夫である。
また、1対多が可能で、多が数百人クラスになっても耐えられるプラットフォームであり、品質は安定しつつ、トラフィックはskypeほど食わないとも言われている
ちなみに自分の会社でも検討されたようだが、価格が高すぎて見送りになったらしい。
プライベートではと言うと、中止になったセミナーがzoom上で開催されるというケースが増えている。
セミナー参加者の立場で使ってみたが、設定は楽だし、画質も音声も結構安定していた。
イギリスでは閣僚のビデオ会議としても使用されているらしい。
ミーティングID付きのスクリーンショットをうっかり公開してしまい、アクセスが殺到したそうな。
これは素晴らしいツールだと思っていたのだが、だいたい利用者が増えてくる=攻撃者の標的になる=脆弱性が見つかるという構図となり、zoomも例にもれず脆弱性が見つかった。
しかも脆弱性以外でも厄介な問題が持ち上がっている。
まずはベタなクライアントの脆弱性。
ま、こちらはパッチを当てれば済むという問題である。
https://www.ipa.go.jp/security/ciadr/vul/alert20200403.html
んで、頭の痛いのがこっち。
どうもZoomの録画が、AWS S3バケットに暗号化されずに乗っていて、特定の命名規則で公開されてるらしい。
https://www.washingtonpost.com/technology/2020/04/03/thousands-zoom-video-calls-left-exposed-open-web/
IaaS使うのはいいけど、設定誤ってデータが露出してましたーって、2月もあったな。。。
https://blog.b-son.net/2019/08/blog-post_31.html
また、zoom社は本部はアメリカにある米国企業ですが、2015年から米国SECが求める情報公開をしていないとか、Zoomの拠点は北京と認識されている等、米中貿易摩擦の観点か、安全保障の観点かちょっとわかりませんが、きな臭い雰囲気も漂っています。
マリオット再び情報漏洩(500万件超)
マイルネタでマリオットと言えば、ポイントを多彩な航空会社のマイレージに交換できる、陸マイラーの間では知る人ぞ知る有名ホテルグループである。
一方、セキュリティでマリオットと言えば、2018年に3億8,300万件の個人情報流出をしでかしたホテルグループでもある。
ちなみに前回は若干記憶があいまいな部分ではあるが、確かマリオット本体ではなく、当時SPGとの合併の話もあり、SPG側のホテルグループのどこかが標的型攻撃を受けて既に潜入されて情報が詐取されており、合併後に漏洩の事実が明るみになったのでマリオットの情報漏洩みたいな体になっていた記憶である。
んで、原因は不明だが、おそらく標的型攻撃を受けて、4年前に既に侵入されていたということだった。
そんなマリオットで今度は500万件の情報流出事件が明るみになった。
前回は外部による標的型攻撃だったが、今回は内部犯行のようである。
どうもフランチャイズ企業の従業員がアカウントを不正利用して500万人分の情報を盗み取ったらしい。
なんかベネッセ事件を思い起こさせるな。
【参考】
https://wired.jp/2018/12/01/marriott-hack-protect-yourself/
https://viewfromthewing.com/marriott-data-breached-again-personal-information-from-over-5-million-more-accounts-compromised/
航空会社のマイルとクレジットカードに関する調査結果
2020年3月13日~16日に航空会社のマイルとクレジットカードに関する調査が行われ、その結果が公開されている。
日本国内での調査となるので、当然ながら、9割はJALかANAになるという結果は想像に難くない。ちょっと意外だったのはANAが全体の半数以上を占めており、この辺はマイルのため安さがそのまま調査結果に表れているのだろうと思った。
自分はJALのステータス保持者(且つ、ANAは平会員)のため、JALマイルしか貯めていないが、陸マイルで貯めるのであれば、ANAの方がやりやすいと感じている。
更に言うと、バイマイルのJALよりはANAの方が手段が多かったりする。
あと、調査結果で気になったのは、特典航空券に交換したことがない人が45.0%もいるということ。
特典航空券は貯めるのに知恵と時間が必要だが、使うのにも知恵がいる。
特に会社員の場合、休みが取れるのは正月かゴールデンウィークか夏休みとなり、必然的にハイシーズンとなる。
ハイシーズンと言うことは、当然ながらその時期の特典航空券の取得は至難の業と言うことになる。
どうしてもANAやJALの特典航空券をハイシーズンに抑えたければ365日前からの争奪戦に参加しなければならない。
これはかなり難易度が高いので、代替策をとることになる。
ハイシーズンを避けるとか。
提携会社やアライアンスの特典航空券にするとか。
直行便ではなく、経由便にするとか。
最後に気になったネタは、最もよく使うクレジットカード。
大多数の人がJALカードもしくはANAカードがメインになっていた。
JALマイルなりANAマイルなりを貯めるのであれば、当然JALやANAが発行するクレカが最もよく貯まる”はず”という気持ちは良く分かる。
だが、現実は異なるのである。
自分の場合、ステータス維持のために当然JALカードは持っているが、メインではない。
現在のメインはセゾンプラチナ・ビジネス・アメリカン・エキスプレスカードとなっている。
セゾンクラッセの攻略を組み合わせることで、還元率は最高1.125%となる。
また、マイラー界隈ではSPGアメックスカードが有名だと思う。
(個人的にはホテルマイルには興味が無いため、入っていない)
こちらはポイント還元率自体は1%だが、ポイントをマイルに変換する際、通常3万ポイントで1万マイルになるのだが、6万ポイントをまとめて変換すると5000マイルのボーナスが付く(マイル移行ボーナス)。
このマイル移行ボーナスを活用することで還元率は最高1.25%となる。
投資の世界にも言えることだが、たかが1%、されど1%である。
こういうところへのこだわりが、数年後の特典航空券のチケットがエコノミーになるのか、ビジネスになるのかの明暗を分けるといっても過言ではないだろう。
総括すると、特典航空券への交換率の低さや、メインカードの選択状況から、この調査の母数はマイルの素人なんだと思った。
【参考】
リモートワーク(在宅ワーク)に関するセキュリティ情報まとめ
武漢ウイルス(通称:コロ助)の世界的な蔓延で、リモートワーク(在宅ワーク)が増えている。
※「テレワーク」と言う言葉はダサくて嫌いなので、リモートワーク(在宅ワーク)という表現にしています。
在宅ワークの急な広がりで、集合住宅の光回線が飽和状態になってスピードが出なくなったり、配偶者がいる家庭ではDVが増加したり(暴力をふるう側は男だったり女だったり・・・)、自分自身の時間が増えて自身と向き合った結果退職する人が増えたり、食事作るのが面倒くさくなってウーバーイーツが好調とか、いろいろ面白い変化が出ている。
また、自宅で仕事をしていると、プライベートとの境目が曖昧になってくるため、仕事中は会社行く時と同様スーツを着るとか、プライベートとビジネスを区切る工夫が必要になっているようだ。
自分はと言うと、プライベートとビジネスの線引きが下手くそな人種なので、仕事は会社で行い、家では仕事をしないポリシーを継続している。(家には仕事をするための机も椅子もちゃんと整備していないという、ちょっと残念な事実もある)
セキュリティに関連する話だと、おそらく付焼刃的にリモートワークを始めた会社がそうなのだと思うが、SHODAN等では、リモートデスクトップにに必要な3389番ポートがインターネット向けに開放されている端末が増えているらしい。
そんなこともあり、関係各所からリモートワーク関連のセキュリティガイドが出ているので、まとめておく。
総務省から出ているセキュリティガイドライン第4版(PDF)
警視庁から出ている注意喚起
NISC(内閣サイバーセキュリティセンター)から出ている注意喚起
LAC社から出ている注意喚起
JNSA(日本ネットワークセキュリティ協会)から出ているガイド
IPA(独立行政法人 情報処理推進機構)から出ている注意喚起
マカフィー社から出ている注意喚起
カスペルスキー社から出ている注意喚起
cybereason社から出ている注意喚起
その他の記事等
【訃報】志村けんさん武漢ウイルスで死去
武漢ウイルスの毒牙にかかり、2020年3月29日に志村けんさん(70)が亡くなった。
いかりや長介さんが亡くなって、ドリフはもう一生見ることができなくなったと残念な気持ちになっていたが、今度はバカ殿も見れなくなってしまった。
志村けんさんと言えば、いろいろあるが、個人的にはバカ殿が一番思い出深い。
今更ながら最近知ったのだが、バカ殿の根源はドリフ大爆笑より前の、1977年の『8時だョ!全員集合』に遡るらしい。
しかも初代の家老がいかりや長介と言うから、ここ数日はYouTubeで関連動画をずいぶん楽しませてもらった。
Wikiペディアによると、”ザ・ドリフターズのリーダーで絶対的な権力を持っているいかりや長介と、最年少でいかりやに普段いいように使われている志村けんの立場を逆転させ、志村演じる自由奔放なバカ殿が家老のいかりやをここぞとばかりに翻弄するという下剋上コントだった。”というが、最近のバカ殿の原型が節々にちりばめられていてとても楽しかった。気になる方は是非YouTubeで検索してみてほしい。
それにしても、志村けんさんの死亡の原因となった武漢ウイルスについて、WHOの無能っぷりに怒りを感じている人は、事務局長の解任署名キャンペーンを行っているので、志村さんの弔い合戦がてら参加してみてほしい。
【参考】
【未来戦略】海外移住権を考える
人生のリスクヘッジの一つとして、日本以外に住める国(=永住権を取得する)を1つ持っておくことが良いとされている。
これは定年後の海外移住と言う話ではなく、日本で何かあった際に、脱出して住むということである。
想定シーンとしては首都直下地震が起きて東京が壊滅してしまったケースとか、北朝鮮のミサイルが東京に落ちてきたシーンとかだろう。
永住権は結構不動産投資と密接に関わり合いがあって、東南アジアで多いイメージだった。
少し前までの有名どころだと、マレーシアやフィリピンがある。
また、永住権ではないが、タイでは300万円くらい払うと、20年間のビザを買える
https://thailandelite.jp/
先日、Youtubeでイケハヤ氏の動画を見ていたら、ジョージアが出てきた。
ジョージアとは中欧の国で、昔はグルジアと呼ばれていた。
確か大相撲の琴欧州がジョージア出身ではなかっただろうか。
そんなジョージアは治安もよく、親日家の国とされている。
この国でも不動産投資を行うことで、永住権の獲得を行うことができる。
ルールは下記の通り。
1.価格が30万米ドルを超えるジョージアの不動産(土地、アパート、商業物件など、農地は不可とされる)を購入し資産価値を証明する報告書を作成することで5年間の投資滞在許可証が発行される。
2.この不動産を売却することなく5年間持ち続けることで永住許可が下りる。
ま、5年かかるため、やはり計画的な行動が必要。
あと、海外不動産の場合、「どの物件を買うか」よりも「誰から買うか」が重要となる。
【参考】
https://www.youtube.com/watch?v=qdljMEHPIzo
https://avageorgia.jp/permanent/
武漢ウイルス(コロナ)ショックで失業した際のセーフティーネット
竹内力主演の難波金融伝 ミナミの帝王が好きで一時期夢中になって見ていた。
そのミナミの帝王の中で記憶に残っているフレーズが、
「国は困っている人を助けてくれるんやない、知っている人を助けるんや」
って感じのフレーズ。
武漢ウイルスが世界中に蔓延して人の往来が止まり、経済も止まっている。
この後に起きるのは大リストラとなるが、国や地方自治体はそれに備えてセーフティーネットを整備している。
で、ミナミの帝王のセリフに戻るが、これらの制度は困っている人を助ける制度ではないです。
「制度を知っている人を助ける」制度です。
これを知らないと、生活苦になってサラ金に駆け込んで、闇金に手を出して人生終了となる。
イケハヤ氏も紹介する5つをこちらでも紹介しておきたい
1.失業保険
ブラックの会社だと入っていない可能性あり。給与明細で雇用保険の負担があれば大丈夫
自己都合だと受給まで3か月くらいかかる。会社都合だと即支給
2.緊急小口資金貸付
失業だけでなく、休業で困った場合も貸付対象になる
3.職業訓練給付金
失業保険入っている人だけと思っていたのだが、そうでない人ももらえる可能性あり
4.ギグワーク(日払い単発バイト)
「タイミー」
「UberEats(ウーバーイーツ)」
「キッズライン」(ベビーシッター)
※ギグワークを使うのサブ的な位置づけでのみ。(休業に伴う一時的に食いつなぎとか、失業保険や職業訓練給付金+αとか。ギグワークをメインで生計立てるくらいなら生活保護推奨)
5.生活保護
これは最後の手段。受けるための手続きが複雑なようなので、個人でやるのではなく、NPOとかの支援を受けてやったほうがよさそう。
【参考】
https://www.youtube.com/watch?v=sxOG0hOf6jQ
https://news.yahoo.co.jp/byline/fujitatakanori/20200325-00169705/
香川県の公式サイトにDDoS攻撃 -ゲーム依存防止条例との関連は?-
3月12日、17日、18日と、香川県の公式サイトに対してDDoS攻撃が発生したようで、
サイトが一時閲覧できない状態が発生した。
3月18日の攻撃が最も大きかったようで、夕方まで復旧にかかった模様。
香川県といえばうどん県のイメージだが、時を同じくして、ゲーム依存防止条例なるものの制定を行っていた模様。
ゲーム好きなハッカーによる嫌がらせだろうか?
ちょっと調べてみたのだが、香川県はグローバルIPアドレスが割り当てられており、ちょっとうらやましいと思う反面、枯渇しているグローバルIPを地方自治体で保有するなよって思った。
【参考】
http://www.security-next.com/113320
https://catgatomao.com/2020/03/12/the-kagawa-prefectural-ordinance-to-prevent-game-dependency/
登録:
投稿 (Atom)