2020/06/30

サイバーキルチェーンとは


サイバーキルチェーンってご存じだろうか?

ちなみにマイクロソフト(略してマイクソ)のIMEで変換すると、「サイバー着るチェーン」となり、少しイラッとする。

以前はこのイライラに耐えかねてATOKを使っていたのだが、ATOKが暴走して日本語入力が不能になる事件が発生。

イライラを抑えるために有償のソフト使っているのに逆にイライラさせられ、結局イライラするけど無償のマイクソIMEに戻った。

サイバーキルチェーンの話に戻るが、これは、サイバー攻撃を構造化(分解)したもの。

2000年代くらいのサイバー攻撃はいたずら中心だったので、比較的シンプルだったが、
最近のサイバー攻撃はビジネス化されており、目立たず人知れずに機密情報を奪い去っていく。

そのためのプロセスがサイバーキルチェーンだといっても過言ではない。

サイバーキルチェーンの攻撃構造を理解し、各段階の攻撃に対して有効なソリューションを適切に導入することが重要となり、多層防御の考え方にも繋がっている。

■■■■
1. 偵察(例:事前調査)

攻撃対象となる企業へ侵入するために事前調査を行う段階。
(標的型攻撃メールを送るために、標的となる人間の情報を集める段階。)

攻撃者はSNSを使って情報を収集。

役員や従業員はFacebookやTwitter、Instagramなど、さまざまなSNSを利用している場合が多い。

場合によっては、企業のページもSNS上で展開していることもある。

それらの情報を集め、組み合わせることで、標的となる人間を決める。

SNSの情報から人間関係や趣味、普段の行動なども把握できる。

※対策:従業員教育(会社のメアドやSNSを使用しない、プライベートのSNSで所属情報を晒さない)

■■■■
2. 武器化(例:標的型攻撃メールの送付)

標的が決まったら、標的の友人や知人、同僚、上司になりすまして標的型攻撃メールを送付。

添付ファイルを開かせたり、特定のURLをクリックさせたりすることで、マルウェアをダウンロードさせようとする。

偵察段階で得た情報を元に作成されたメールは、標的にとって思わず開いてしまうメールとなっている。

マルウェアは常に実行ファイルであるとは限らず、PDFやWord、Excelといったファイルに扮していることもあり、巧妙に細工されている場合が多い。

※対策:従業員教育(メール訓練の実施)、企業のメール環境に対するアンチウイルス対策の実装

■■■■
3. デリバリ(例:C&C通信の確立)

標的の端末のマルウェアに感染に成功すると、次に攻撃者が侵入するためのバックドアの作成が行われる。

不正なコマンドをリモートで行うためのコマンド&コントロールサーバ(C&Cサーバ)と呼ばれる、攻撃者のサーバーへの通信を確立する。

C&Cサーバーへの接続が確立されると、攻撃者は自由に企業内のネットワークで行動できるようになる。

※対策:境界防御の強化(次世代FWの導入、認証型プロキシの導入)

■■■■
4. エクスプロイト(例:内部行動)

最初に侵入した端末を足がかりとし、企業の内部ネットワーク構造を把握したり、機密情報を保存している場所を探したりする。

攻撃者は見つからないように慎重に行動する。

この段階は、長いときには数年にも及ぶ場合もある。

企業内のセキュリティソリューションの情報を収集したり、パソコンを含む機器のぜい弱性情報の収集を通じて、さらに侵入範囲を拡大していく。

※対策:端末のパッチ適用徹底、ネットワークのマイクロセグメンテーション化

■■■■
5. インストール(例:高い権限を持つPCへの侵入)

企業の機密情報を保存しているファイルサーバーやデータベースには、アクセスできる端末が限られている場合が多い。

ここでは、より高い権限を持つ端末(本丸)への侵入や、アクセス権限の盗取を行う。

※対策:PCの権限分離(エンドユーザはuser権限とし、Administrator権限はIT部門等での集中管理とする。データベースアクセスを行う端末は業務端末とは物理的にもネットワーク的にも異なる端末とする。とか)

■■■■
6. 遠隔操作(例:情報の盗み出し)

機密情報の盗み出しや改ざん、破壊などを実施。

機密情報を盗み出す場合は、デリバリーの段階で確立したC&Cサーバーへのバックドアを用い、企業内で一般的に利用されるソフトウェアのプロトコルに偽装するなどして、見つからないように送信する。

※対策:無い?(UEBAとかがあると検知できるのかな?)

■■■■
7. 目的の実行(例:痕跡の消去)

最後に、攻撃者は自身の行動した痕跡(マルウェアの行動履歴や、侵入した端末のログファイルなど)を消去する。

仮に企業側が攻撃されていることに気づいても、ログファイルなどの痕跡が残っていないと攻撃者を追跡することが難しくなる。

攻撃者が痕跡を消去することは、自らの行為を知らないようにすることと、仮に知られても追跡できないようにすることを目的としている。

※対策:SIEM導入


昔はセキュリティ対策と言えばアンチウイルスソフトやファイアウォールに代表されるような、侵入を防ぐことに主眼が置かれていた。

ところが、最近ではサイバーキルチェーンを見れば分かるように、侵入防止を重視しつつも侵入後の早期発見にも主眼が置かれている。

インターネットに晒されている機器を調べるサイト【SHODAN】


SHODANという検索エンジンがある。

一時期はIoT検索エンジンとか言われていたが、ネット上に晒されている機器を検索することができるサービスである。

https://www.shodan.io/

アクセスすると、検索ウィンドウがあると思うので、IPアドレスやポート番号等のキーワードを入れて検索する。

※注:罠の可能性もあるので、脆弱っぽい機器を見つけたとしても安易にアクセスしないでください。

【インターネット直結のプリンタでパスワード設定が無い機器を調べるときの例】
printer password is not set

【日本国内でtelnetがオープンになっているインターネット機器を調べるときの例】
country:"JP" port:23

【日本国内のAnonymous FTPを調べるときの例】
country:"JP" Anonymous FTP

【日本国内でインターネットにポート445がオープンになっているWindows PC(Windowsサーバは除外)を調べるときの例】
port:445 country:"JP" OS:"Windows" country:"JP" !OS:"Server"

【既知の脆弱性(例:CVE-2019-0708)を持つデバイスを検索するときの例】
vuln:CVE-2019-0708
            ※フリーアカウントでは不可。

【参考】
日本国内で接続されている IoT 機器数(IPA)
https://www.ipa.go.jp/security/iot/20170417.html

増加するインターネット接続機器の不適切な情報公開とその対策(IPA)
https://www.ipa.go.jp/files/000052712.pdf

Exchange Serverの脆弱性まとめとSHODANでの観測状況(マクニカネットワークス)
https://blog.macnica.net/blog/2020/06/exchangeserver-shodan.html

-2020/7/11追記-
【ダークウェブのIPアドレス調査の例】
".onion" AND -"Onion-Location"

【転載】スクート、ノックスクート利用者に半額分を返金へ 航空券やバウチャーなど対象

スクート、ノックスクート利用者に半額分を返金へ 航空券やバウチャーなど対象:

2020年6月30日 火曜日 8:33 AM 編集部





会社の清算を決めたノックスクートの予約客に対し、シンガポール航空グループのスクートが、ノックスクートの航空券やバウチャー、クレジットシェルの半額分を返金することを、顧客に送付したメールで明らかにした。

ノックスクートは、バンコクのドンムアン空港を拠点とする航空会社で、タイのノックエアとスクートによる合弁企業として、シンガポール航空が運航していたボーイング777-200型機を使用し、札幌/千歳・東京/成田・大阪/関西〜バンコク/ドンムアン線の日本線3路線を運航していた。スクートは49%を出資している。

通常、航空会社が破産や清算をした場合、航空券は無効となり、返金がされないケースが多い。クレジットカードなどで支払った場合、カード会社が補償するケースはあるものの、出資者が一部を負担する事は極めて稀。返金には手続きが必要となる。ノックエア側からの対応は、現段階で発表されていない。

詳細はこちら

2020/06/29

【転載】IIJ、インターネットの最新の技術動向・セキュリティ情報の技術レポート「IIR Vol.47 June 2020」を発行

IIJ、インターネットの最新の技術動向・セキュリティ情報の技術レポート「IIR Vol.47 June 2020」を発行:


今号は、定期観測「メッセージングテクノロジー」をはじめ、フォーカス・リサーチ(1)では「農業IoTでのLoRaWAN®普及に向けたIIJの取り組み」、フォーカス・リサーチ(2)では「新型コロナウイルスのフレッツトラフィックへの影響」をご紹介します。
全体(一括)
エクゼクティブサマリ
「定期観測レポート メッセージングテクノロジー」 なりすましメール対策に有効な送信ドメイン認証技術(SPF、DKIM、DMARC)の普及状況を報告し、現在、流通しているフィッシングメールへの対処法についても解説します。
更に、昨年開催されたJPAAWG 2nd General Meetingの様子を紹介します。
フォーカス・リサーチ(1)「農業IoTでのLoRaWAN®普及に向けたIIJの取り組み」 IoTの活用分野の一つとして注目されている農業。IIJでは、同分野におけるIoT活用の最大の課題となっている「通信の確保」のために、最新の無線通信技術「LoRaWAN®」を採用した水田センサーを開発するなど、実績を積んできました。
ここでは、現場での基地局の設置工事や通信性能の評価などを通じて、私たちが実際に体験し手探りで培ってきたノウハウを掘り下げて解説します。
フォーカス・リサーチ(2)「新型コロナウイルスのフレッツトラフィックへの影響」

2020年3月から2020年5月にかけて、新型コロナウイルスCOVID-19の感染拡大によって、全国の学校が一斉休校となり、在宅勤務が推奨されました。
そんな中、家庭でのインターネット利用にどのような変化が見られたのか、またインターネットにどのような影響があったのか、IIJのブロードバンドサービスのトラフィック推移を調査した結果を報告します。
バックアップ

2020/06/28

【転載】ノックスクート、取締役会で清算を決議

ノックスクート、取締役会で清算を決議:

2020年6月26日 金曜日 9:09 PM 編集部





ノックスクートは、会社の清算を取締役会で決議した。株主も約14日後に行う株主総会で、同様の決議を行う見通し。

ノックスクートは、シンガポール航空グループのスクートと、タイのノックエアが合弁で2014年に設立。ボーイング777−200型機で、バンコクと日本や中国などを結ぶ路線を運航していたものの、経営状況は当初から芳しくなかった。新型コロナウイルスの感染拡大の影響も甚大で、会社の清算を決議した。

すでに、425人の従業員を、タイの労働法に準拠して解雇し、解雇手当が全額支給されている。清算手続きの完了後に、再就職の優遇措置を受けることができるという。

管財人の任命後、さらなる情報が提供されるとしている。

詳細はこちら

2020/06/27

【転載】北朝鮮「国産」アンチウイルスソフト製品レビュー

北朝鮮「国産」アンチウイルスソフト製品レビュー:

北朝鮮。インターネット接続の実態さえ不明な国だが、「国産」アンチウイルスソフトが開発され流通しているという。北朝鮮製アンチウイルスソフトおよびその市場はどうなっているのだろう。



 北朝鮮のセキュリティ研究者は少ないながら世界中に存在する。Kaspersky Global Research & Analysis Team の Mark Lechtik 氏と Ariel Jungheit 氏も、北朝鮮のアンチウイルスについて調査研究を続けているプロフェッショナルたちの一人だ。彼らが、それらの製品のうちバージョン違いを含め 6 つのアンチウイルスソフトを解析したレポートを昨冬行われた AVAR 2019 Osaka で公表している。



●北朝鮮がアンチウイルスソフトを国内開発する理由



 北朝鮮でアンチウイルスソフトが製造され流通していることは、多くの人にとって初めて認識させられる事実ではないだろうか。そもそも、国内にアンチウイルスを市販するほど PC やインターネットが普及しているのかというのが第一の疑問だ。Lechtik、Jungheit 両氏の研究によれば、北朝鮮がアンチウイルスソフトを自主開発する背景には「主体思想」が関係しているという。

《中尾 真二( Shinji Nakao )》


2020/06/26

【転載】コスト削減効果の高い内部脅威対策ランキング(日本プルーフポイント)

コスト削減効果の高い内部脅威対策ランキング(日本プルーフポイント):

日本プルーフポイント株式会社は6月24日、内部脅威による事故等により発生するコストに関する調査レポート「内部脅威による損失 グローバルレポート 2020」を発表した。



調査対象は、内部関係者による重大事故を過去に1回以上経験した従業員1,000人以上の北米・ヨーロッパ・中東・アフリカ・アジア太平洋地域のグローバル企業の、ITおよびITセキュリティの担当者約1,000人。



調査によれば内部脅威の60%以上が従業員や委託業者などの過失によるもので、内部脅威が発生すると1社平均年間あたり約12億円(1,145万ドル)の対応コストを要し、各インシデント封じ込めには平均で77日を要した。



主な調査結果は下記の通り。



●内部脅威事故の原因

・従業員または委託業者の不注意や怠慢:60%以上

・悪意を持った内部関係者:23%



種類別の事故発生数




●内部脅威事故発生時の年間コスト1社平均

・2018年 866万ドル

・2019年 1,145万ドル(31%増加)



●事故対応費用

・封じ込めに要した日数:90日:1,371万ドル

・封じ込めに要した日数:30日未満:712万ドル



本調査によれば、コスト調査結果をもとに、内部関係者による事故対策の費用対効果のランキングを求めた。それによれば「ユーザー行動分析(UBA)」「特権アクセス管理」「アウェアネストレーニング」「SIEM」などの費用対効果が高く、反対にさもありなんな「第三者機関による厳格な身元調査」「従業員監視」「DLP」などの費用対効果は低かった。

《高橋 潤哉( Junya Takahashi )》

レポートバックアップ

2020/06/25

セキュリティいろいろ


@IT主催のIT Security Live Weekがあり、視聴している。

にゃん☆たく氏の話の中で面白いを見た。

セキュリティって、関連する範囲が非常に広いため、端的に表現するのが非常に難しい。

例えば、上の絵の真ん中にCSIRTがあるが、CSIRTを中心にして役割分担を整理しただけでも下記のような複雑な絵になる。




また、ロールではなく、管理策ベースで整理する手もあるが、それでも下記の様に込み入った絵になる。





ちなみに攻撃手法ベースで整理されたものもある。



んで、一番上の絵に戻るのだが、現在自分は情シスとCSIRTの両方に所属している形になっているのだが、一つ悩みを抱えている。

自分はもともとインフラ運用からセキュリティに入ってきた。

インフラ運用についてはオペレーションクオリティを最高レベルまで引き上げ、PDCAサイクルを通じた標準化や品質強化にはそれなりの自信がある。

で、悩みというのは、インシデントレスポンスにおいては標準化が難しいという事実にぶち当たっているということである。

インフラ運用におけるオペレーションクオリティとは可用性を指し、可用性の阻害要因は障害である。

その障害の原因は大別するとハードとソフトに分かれる。

ハードについては、冗長構成等のアーキ設計、保守レベルの24x365対応と監視強化(例えばアラート発生したら早急に予防交換)で対応する。

ソフトについては改修/パッチ適用と異常な連続稼働が要因となるため、検証環境を用意し、事前確認の徹底を図ったり、メンテナンスウィンドウを設けて定期的にリブートしてメモリをクリアにする等の対応を行う。

上記の様に発生要因を分解し、対応手順を標準化することで、障害はパターン化される。

ところが、セキュリティインシデントは発生要因の分解ができない。

時代の流れとともに新たな要因が出てくるのである。

例えばマルウェア感染の手口にしても、ある時期はUSBメモリが使われたり、(今も主流だが)添付ファイル付きメールをバラまいたり、たまに資産管理ソフトの脆弱性を突いたり、たまにウイルス対策ソフトの管理サーバの脆弱性を突いたりと、時代の流れで要因が変わってくる。

そうなるとセキュリティインシデントで求められる人材は、計画性があって地道に物事を進めるタイプよりは、いろいろと臨機応変に対応できる人の方が求められる。

インフラ運用をやっていた時代、下記のような人の分類をしていた。

・PJ系人材:粗々で物事を進めていけるが、後片付け系が苦手(道づくりに例えると、ブルドーザーで木々をなぎ倒して簡易な道を作るイメージ)

・シスマネ系人材:計画的に着々と仕事を遂行するが、想定外が苦手(道づくりに例えると、ブルドーザーでなぎ倒された木をどかしてきれいに舗装していくイメージ)

※シスマネ:システムマネジメント(「運用」が意味的に近いかも)

個人的なイメージだが、セキュリティインシデントにおける初動対応/暫定対応はPJ系人材が向いている。

一方、暫定対応~恒久対応まではシスマネ系人材が向いていると考えている。

長くなってきたので、続きは気が向いてきたら。。。

【参考】
https://www.security-design.jp/entry/2019/10/01/232409
https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf
https://www.ipa.go.jp/security/manager/protect/pdca/risk.html

2020/06/24

ハンコと並ぶ無駄な日本文化”PPAP”


@IT主催のIT Security Live Weekがあり、視聴している。

川口設計の川口 洋氏の話は面白かった。

セキュリティと直接関係ないのだが、いつか辞めたい日本の無駄な文化としてハンコとPPAPを挙げられていた。

ちなみに、ピコ太郎さんを出しておいて何なんだが、
PPAPはPen-Pineapple-Apple-Penの略ではない。

ここでのPPAPは下記の略である。

P:Pass付ZIP送ります。
P:Pass送ります。
A:Aん(暗)号化
P:Protocol

会社勤めの人であれば例外なくやっているであろう、メール添付ファイルZIP暗号化。

これ、日本固有の文化であることをご存じだろうか?

海外とのやり取りでこんなことすると、かえって不審がられる。

”日本の常識は世界の非常識”の典型の一つである。

しかも、残念なことにセキュリティ的に効果は無い

武漢ウイルス蔓延を機にハンコ文化が収束に向かうことは歓迎すべきである。

同様に無駄文化のPPAP(ピコ太郎さんじゃないほうね)も何かをきっかけに無くなってほしい。

ちなみに武漢ウイルスとともに蔓延してきた言葉である”テレワーク”だが、個人的には古臭くてどうしても好きになれない。

”リモートワーク”とかもう少しマシな表現はできなかったのだろうか?

2020/06/23

マルウェア感染に備えてアンチウィルスソフト以外に入れておくべきもの 【Toolwiz Time Freeze】


アンチウイルスソフトは基本的にパターンマッチング方式なので、パターンにマッチしなければ駆除できない。

現在武漢ウイルスが世界中に蔓延しているが、ワクチンが無いため、対処療法でしのぐしかないのと同じ状況である。

感染時にワクチンが無いので根本的な治療ができないのは理解したが、そもそもウイルス感染前の状況に時間を戻すことができないのか?

人間であれば明らかに無茶な話であるが、ITの世界では無茶な話ではない。

それを実現するためのツールが今回紹介する、

Toolwiz Time Freeze

である。

このツールを使うと、再起動するだけで開始時点からの変更を元通りにできる。

「変更」というのは、マルウェア感染も含まれる。

ただ、常時起動させっぱなしだと、ファイルの変更や必要なアプリのインストールを行っても再起動するとリセットされてしまうため、注意が必要。

一方で、アプリをインストールするとOSの挙動が不安定になる時もあったりするので、
インストール行為そのものに不安がある場合や、不審なサイトに冒険に行くような場合に起動しておくのが良い。

人でいうと予防接種の様な位置づけだろうか。

【参考】
https://kaciy-discovery.hatenablog.com/entry/2017/12/16/120157
https://www.japan-secure.com/entry/blog-entry-299.html
https://all-freesoft.net/system8/virtualsystem/toolwiztimefreeze/toolwiztimefreeze.html

※投稿時点のバックアップ(ver2017)はこちら

【転載】個人情報保護法の改正で押さえるべき4つのポイント(ガートナー)

個人情報保護法の改正で押さえるべき4つのポイント(ガートナー):

img_ogp.png


ガートナー ジャパン株式会社(ガートナー)は6月19日、個人情報保護法の改正を機に、IT/セキュリティ・リーダーが押さえるべき4つのポイントと、取り組むべきアクションを発表した。企業は今回の個人情報保護法改正のポイントや世界的な法規制のトレンドを把握し、セキュリティとプライバシーの観点から必要なアクションを速やかに推進すべきとしている。



4つのポイントは、「個人の権利の在り方」「事業者の守るべき責務の在り方」「データ利活用に関する施策の在り方」「ペナルティの在り方」。



「個人の権利の在り方」では、個人の権利がより尊重され、その幅も拡大される。これは、プライバシーを基本的人権として位置付け「Subject Right (主体の権利)」を重視するEU一般データ保護規則 (GDPR)の考え方に近づく形となっている。企業は個人のプライバシーをより尊重・重視する姿勢が重要になるとしている。



「事業者の守るべき責務の在り方」では、個人情報の漏えい時には、個人情報委員会への報告および本人への通知が義務化される。これもGDPRに近づく動きとなる。セキュリティ・リーダーは、どのような個人情報を取得し、それがどこに流れ、処理、保管され、廃棄されるのかといったフローを把握し、万一の漏えい等を想定したインシデント対応プロセスが機能するかを早期に点検すべきとしている。



「データ利活用に関する施策の在り方」では、Cookieなどの個人関連情報を第三者が個人データとして (つまり個人を識別できるデータとして) 取得することが想定されるときは、本人の同意が得られていることの確認が企業に義務付けられる。また仮名加工情報が新設される。これはデータの利活用が促進される反面、個人情報保護委員会から公表される情報を踏まえ、それに従う必要があるとしている。



「ペナルティの在り方」では、個人情報保護委員会からの命令への違反、同委員会に対する虚偽報告等についての法定刑が引き上げられる。GDPRほどの高額な制裁金には及ばないものの、制裁が行われたときの顧客の信用の失墜や、顧客離れによるビジネスへの負の影響は甚大なものとなる。儲けや利便性のためだけに個人情報を利己的に使い回す企業は、顧客からも社会からも受け入れられなくなるとしている。

《ScanNetSecurity》


2020/06/22

不正プログラム(不審ファイル)の調査で使えるツール(apateDNS)


昔、インシデント調査で有用なツールを教えてもらったことがあるので、時間を見つけて残していきたい。

第3段はapateDNS

※apateとは、ギリシャ語で「偽装」の意

■特徴

・DNSレスポンスとして応答される接続先IPアドレスを、任意のIPアドレスに偽装できる。

・実行には管理者権限が必要。

・インシデント調査の観点でいうと、ツールの利用に際してネットワークのリンクアップが必要になるので要注意。

■主な利用方法

・不正な外部URLへの通信発生の有無の確認。

・Process Hackerを組み合わせることで、通信元プロセスの特定が可能

■画面レイアウト

■apateDNSの動き概要
■通信プロセスの特定

・apateDNSとProcess Hackerを併用することで、通信プロセスの特定が可能に(!?)


■入手
https://www.fireeye.com/services/freeware/apatedns.html

バックアップ(ver1.0)はこちら

2020/06/21

【転載】歩くとマイルが貯まる「JAL Wellness & Travel」

歩くとマイルが貯まる「JAL Wellness & Travel」:

歩くとマイルが貯まるサービスをJALが発表した。
JAL Wellness & Travel



あらかじめ設定された歩数を達成いただくと、マイルを獲得することができます。
ただし、月額500円の有料サービスとなる。
もしくは400マイル/月の支払いでも可。

月額500円の時点でなかなか厳しい気がするが、マイルはどの程度貯まるのか。

まずは、スマホで計測された歩数でマイルが貯まる。
公式ページのキャプチャをみると、LEVEL2「8000歩」で「1マイル+抽選券」とある。

歩数でマイルが貯まる

実際のサービスでもこうしたマイル数になるかは不明だが、まぁ規模感としてはこんな感じなんでしょうね。
1日につき6000歩とか8000歩は、普段の生活なら「がんばったら到達できるかな?」というレベル感と思います。

次に、チェックインポイントでもマイルが貯まる。
チェックポイントは国内外に用意され、定期的に更新されるとのことだが、「旅行のお供に」ということだけあって、普段の生活ではなかなか行けないポイントかもしれない。

チェックインポイント

チェックインポイントで得られるマイル数は、公式サイトのキャプチャによると「2マイル」とか。

ということで、マイル獲得はそれほど大きくない模様。

スポーツクラブ割引とオーディオブック

「JAL Wellness & Travel」は月額500円するが、マイル獲得以外にどんなサービス・特典があるのかというと、オーディオブックとスポーツクラブ割引が要素として大きいのかもしれない。

オーディオブックは、歩きながらナレーターが朗読する本を聴こうというもの。どんな書籍が用意されるかは不明。

「聴き放題サービスではございません」と注意書きがあるので、用意される本の冊数は少ないかも。

2020/06/20

インターネットの階層 【Tor】


Googleで検索すると実にいろいろな情報を引っ張ってきてくれる。

Google等で検索できる情報だけでも、十分すぎるが、実はこれはインターネット全体の4%程度の情報でしかない。

インターネットは大きく3つの階層に分かれている。

■Surface Web:誰もがアクセスできる階層。Googleで検索でき、Amazonや楽天市場等の誰でも使えるオンラインショッピングサイト等が該当。

■Deep Web:アクセスが限られた階層。機微情報が管理される仕組みが該当するが、広義ではFaceBook等メンバーでないとアクセスできない情報もここに該当する。

■Dark Web:インターネット版闇市と言った感じ。通常のブラウザではアクセスせず、専用ブラウザと専用の検索エンジンを使用。

Dark Webは闇市だけあって、様々な禁制品を大量に扱っている。

戦後の闇市等はモノは禁制品であっても決済は円を使っていたと思う。

Dark Webでは法定通貨を使わず、仮想通貨で取引が行われる。

こういう世界があることを知るのは面白い。

面白いので覗いてみたいと思った方は事前準備が必要となる。

例えていうののであれば、闇市を見学して楽しんで帰路に就く際、悪い人があなたを悪行のターゲットとして尾行されるのを防ぐための準備だ。

通常のブラウザでWebサイトにアクセスすると、Webサイトにアクセス元の情報が残る。

この情報を隠蔽するために専用ブラウザを使用する。

そのブラウザが

Tor

である。

通常ブラウザでサイトにアクセスすると、サイトに直接アクセスする。

ところがTorブラウザを使用すると、いろいろと迂回してからサイトにアクセスする。

つまり、サイトに残る情報も迂回先の情報が残るため、特定が困難となる。


このツールを使うことで、不審者による追跡を回避することが可能となる。

当然迂回するため、速度は落ちる。

【Torブラウザ入手先】
https://www.torproject.org/

投稿時点のバックアップ(win64-9.5)はこちら

2020/06/19

【転載】イベリアAvios購入で50%ボーナスプレゼント(2020/6/18~2020/6/30)

イベリアAviosを50%のボーナスで購入(それぞれ1.3セント):

シティはオマトの広告パートナーです

多くの場合、ポイントを購入することは、特にマイルを引き換えることが不釣り合いに良い取引を表すファーストクラスとビジネスクラスの特典の償還のために、大きな価値を表すことができます。

マイルを購入したい人のために、別の航空会社はちょうど購入したマイルでプロモーションを展開したばかりで、それは潜在的に非常に良い取引です。

購入したAviosに50%のボーナスを提供するイベリア

2020年6月30日(火曜日)まで、イベリアプラスは購入したAviosに50%のボーナス を提供しています。




過去には、暦年あたり最大100,000 Avios(プレボーナス)を購入することができましたが、その制限は最近増加し、最大200,000 Aviosを購入できるようになりました。つまり、このプロモーションを通じて、50%のボーナスを含む最大300,000 Aviosを購入することができます。

ボーナスは、1回の取引で少なくとも2,000 Aviosを購入する限り適用されます。ただし、購入した Avios あたりのコストは購入数によって異なり、購入する場合は Avios あたりのコストが低くなります。

Aviosで最高の価格を得るためのトリック

今、最高の価格を得るためのトリックがあります - あなたは、購入は、米ドルではなくEURで価格設定したいです。

たとえば、300,000 Avios (ボーナスを含む) を米ドルで購入した場合は、5,523 ドルを支払います。




一方、EURで300,000 Avios(プリボーナス)を購入した場合は、€3,601(〜$4,035)を支払います。それは大きな違いです。




つまり、Aviosをそれぞれ〜1.3セント(USD)で購入することができます。

では、米ドルではなくEURで課金されていることを確認するにはどうすればよいでしょうか。Iberiaのウェブサイトの上部で、米国のサイトではなくスペイン語のサイトを選択する必要があります(英語を言語として使用することができます)。

アカウントが登録されていると主張しているのではなく、そのサイトを使用しているだけなので、これはルールに違反してはいけません。それは同様に米国のクレジットカードでうまく動作するはずです。



個人的には、私はそれぞれ1.3セントでAviosを評価しますが、距離ベースの賞チャートのおかげで大きな価値を得る方法があります。私はこれが非常に良い取引を表す可能性があると言うでしょう。

どのクレジットカードでAviosを購入する必要がありますか?

Iberiaポイントの購入はpoints.comで処理されるため、クレジットカードの支出を目的とした航空運賃の購入としてカウントされません。

したがって、私はあなたが最低支出に達しようとしているカード、またはそうでなければ、 毎日の支出に対するリターンを最大化するクレジットカードを使用することをお勧めします。通常、私は毎日の支出のための最高のカードはチェイスフリーダムアンリミテッド® (レビュー)または シティ®ダブルキャッシュカード (レビュー)ですが、それらは外国の取引手数料を持っているので、ユーロで支払っている場合は使用することはお勧めしません。

イベリア・アビオスをブリティッシュ・エアウェイズに乗り換えることができます。

イベリアAviosのいくつかの良い用途がありますが、あなたはまた、両方のアカウントを少なくとも90日間開いていたと仮定して、ブリティッシュ・エアウェイズとイベリア航空の間でAviosを転送することができ、アカウントはいくつかの活動を持っています。したがって、ブリティッシュ・エアウェイズのAviosを割引価格で購入する良い機会になる可能性があります(ただし、転送の制限を認識していることを確認してください)。

Avios を引き換えるためのアイデアの詳細については、この記事を参照してください。

Aviosを獲得する他の方法があります

Aviosには多くの価値があると思うが、米国のクレジットカードでAviosを獲得する方法はかなり多いということを覚えておいてください。イベリアプラスは、アメックス会員リワードとチェイスアルティメットリワードとの移籍パートナーです。

アヴィオスを獲得する

チェイスサファイア優先®カード
世界中のレストランでの旅行やダイニングの2Xポイント
アメリカン・エキスプレス・グリーンカード
30,000会員特典ポイントを獲得
チェイスサファイアリザーブ®
50,000ボーナスポイントを獲得
アメリカン・エキスプレスのプラチナカード
60,000会員特典®ポイントを獲得
ブルービジネスプラスクレジットカード
10,000会員特典®ポイントを獲得
アメリカン・エキスプレスゴールドカード
40,000会員特典®ポイントを獲得
マリオット ボンボイ ボールド™クレジットカード
30,000ボーナスポイントを獲得
マリオット・ボンボイ・ブリリアント・アメリカン・エキスプレスカード
75,000ボーナスポイントを獲得
マリオット ボンボイ バウンドレス™ クレジットカード
75,000ボーナスポイントを獲得
アメリカン・エキスプレスのビジネスプラチナカード
最大85,000の会員特典®ポイントを獲得
アメリカン・エキスプレス・ビジネスゴールドカード
50,000会員特典®ポイントを獲得
アメックス毎日®優先クレジットカード
20,000会員特典®ポイントを獲得
マリオット・ボンボイ・ビジネスカード
75,000ボーナスマリオットボンボイポイントを獲得
ブリティッシュ・エアウェイズビザ署名®カード
最大100,000ボーナスAviosを獲得できます。
アメックス毎日®クレジットカード
10,000会員特典®ポイントを獲得

要するに

通常、私は推測的にポイントを購入することをお勧めしませんが、購入したイベリアAviosの50%のボーナスは、Aviosあたりわずか1.3米セントを支払っているため、堅実な取引です。それは本当に良い価格です。

イベリアAviosのいくつかのユニークな用途があります, または代わりに、あなたは少なくとも90日間開いている両方のアカウントを持っていたと仮定して、ブリティッシュ・エアウェイズにそれらを転送することができます.

イベリア・アビオスを50%のボーナスで購入する予定ですか?

ポスト購入イベリアAviosと50%のボーナス(それぞれ1.3セント)は、一度に1マイルで最初に登場しました



ー以下原文ー



Citi is an advertising partner of OMAAT
Often buying points can represent a great value, especially for first and business class award redemptions, where redeeming miles represents a disproportionately good deal.
For those who like to buy miles, another airline has just rolled out a promotion on purchased miles, and it’s potentially a very good deal.

Iberia Offering 50% Bonus On Purchased Avios

Through Tuesday, June 30, 2020, Iberia Plus is offering a 50% bonus on purchased Avios.


In the past you could purchase at most 100,000 Avios (pre-bonus) per calendar year, though that limit was recently increased, and you can now purchase up to 200,000 Avios. This means that through this promotion you could purchase up to 300,000 Avios, including the 50% bonus.
The bonus applies as long as you purchase at least 2,000 Avios in one transaction. However, the cost per purchased Avios does vary based on how many you buy, and you’ll get a lower cost per Avios if you buy more.

The Trick To Getting The Best Price On Avios

Now, there’s a trick to getting the best price — you want the purchase to be priced in EUR rather than USD.
For example, if you buy 300,000 Avios (including the bonus) in USD you’d pay $5,523.


Meanwhile, if you purchased 300,000 Avios (pre-bonus) in EUR you’d pay €3,601, which is ~$4,035. That’s a huge difference.


That means you could buy Avios for as little as ~1.3 cents (USD) each.
So, how can you make sure you’re charged in EUR rather than USD? You just have to make sure that at the top of Iberia’s website you select the Spanish site rather than the US site (you can still use English as the language).
This shouldn’t violate any rules since you’re not claiming your account is registered there, or anything, but rather are just using that site. It should work just fine with a US credit card as well.
Personally I value Avios at 1.3 cents each, though there are ways to get outsized value thanks to their distance-based award chart. I’d say this could represent a very good deal.

With Which Credit Card Should You Buy Avios?

Iberia points purchases are processed by points.com, meaning they don’t count as an airfare purchase for the purposes of credit card spend.
Therefore I’d recommend using a card on which you’re trying to reach a minimum spend, or otherwise, a credit card that maximizes your return on everyday spending. Ordinarily, I’d say the best cards for everyday spending are the Chase Freedom Unlimited® (review) or Citi® Double Cash Card (review), but those have foreign transaction fees, so I wouldn’t recommend using them if you’re paying in EUR.

You Can Transfer Iberia Avios To British Airways

While there are some good uses of Iberia Avios, you can also transfer Avios between British Airways and Iberia, assuming you’ve had both accounts open for at least 90 days, and the accounts have some activity. So potentially this is a good opportunity to buy British Airways Avios at a discount as well (though just make sure you’re aware of the restrictions on transfers).
For more on ideas for redeeming Avios, see this post.

There Are Other Ways To Earn Avios

While I think there’s a lot of value to be had with Avios, do keep in mind that there are quite a few ways to earn Avios with US credit cards. Iberia Plus is transfer partners with Amex Membership Rewards and Chase Ultimate Rewards.


Earn Avios
2X points on travel and dining at restaurants worldwide
Earn 30,000 Membership Rewards points
Earn 50,000 bonus points
Earn 60,000 Membership Rewards® Points
Earn 10,000 Membership Rewards® points
Earn 40,000 Membership Rewards® Points
Earn 75,000 Bonus Points
Earn up to 85,000 Membership Rewards® points
Earn 50,000 Membership Rewards® points
Earn 20,000 Membership Rewards® points
Earn 75,000 Bonus Marriott Bonvoy Points
Earn up to 100,000 bonus Avios.
Earn 10,000 Membership Rewards® points

Bottom Line

Usually, I wouldn’t speculatively recommend buying points, though a 50% bonus on purchased Iberia Avios is a solid deal, as you’re paying as little as 1.3 US cents per Avios. That’s a really good price.
There are some unique uses of Iberia Avios, or alternatively you can transfer them to British Airways, assuming you’ve had both accounts open for at least 90 days.
Do you plan on purchasing Iberia Avios with a 50% bonus?