【転載】JR東日本が「JRE MALLふるさと納税」を開始。概要とキャンペーンを解説



JR東日本が「JRE MALLふるさと納税」を開始。概要とキャンペーンを解説

東日本旅客鉄道=JR東日本は、傘下の株式会社JR東日本ネットステーションと共同で「JRE MALLふるさと納税」のサービスを、2020年10月27日から開設しました。

なお、今回の開設を記念し、2020年10月27日(火)~12月31日(木)の期間で「JRE POINT2,000ポイントプレゼントキャンペーン」を行うとのことです。

JRE MALLふるさと納税の概要

出典:JRE POINTが「貯まる」「使える」JRE MALLふるさと納税

ふるさと納税に進出するオンラインショッピングは増えています。JR東日本も例にもれなかったわけですが、JR東日本ならではの特徴が出たサービスになっているので、確認していきましょう。

ビューカード利用で最大3.5%還元

前提として「JRE MALLふるさと納税」を利用すると、寄付金額100円ごとに1ポイントのJRE POINTが貯まります。しかも、JR東日本の公式クレジットカードである「ビューカード」を使うと、最大3.5%のJRE POINTが貯まるので、持っていればぜひ使いましょう。

なお、JRE MALLに会員登録をし、JRE POINTの連携を行わなくてはいけません。

JRE POINTで寄付も可能

1ポイント=1円として、寄附金の支払いにも利用できます。もちろん、端数の支払いだけをJRE POINTで済ませて、残額をクレジットカードで支払うのも可能です。

なお、JRE POINTを利用して寄附した場合でも、寄付金額100円ごとに1ポイント(JRE POINT)が付与されます。

キャンペーンについて

出典:JRE POINT について | JRE POINTが「貯まる」「使える」JRE MALL

今回のサービス開始を記念し、「JRE POINT 2,000ポイントプレゼントキャンペーン」が開催されます。期間中、合計30,000円以上寄付をした人の中から、抽選で10,000名にJRE POINT2,000ポイントがプレゼントされるとのことです。

なお、2020年10月27日(火)~11月30日(月)にJRE MALLに会員登録の上、JRE POINTを連携すると200ポイントが全員にプレゼントされます。もちろん、キャンペーンへの応募も重複して可能です。そのほか詳細は、「JRE MALL」のホームページを確認しましょう。

パスワード付きzip、内閣府と内閣官房で26日から廃止へ 外部ストレージサービス活用 平井デジタル相(転載)~政府もPPAP撲滅へ!~



パスワード付きzip、内閣府と内閣官房で26日から廃止へ 外部ストレージサービス活用 平井デジタル相 - ITmedia NEWS:

  平井卓也デジタル改革担当相は11月24日の会見で、メールでパスワード付きファイルを送り、パスワードを別送する方法(いわゆるPPAP)について、26日から内閣府、内閣官房で廃止すると発表した。今後、外部へのファイル送信には外部ストレージサービスを活用し、他省庁の状況についても実態調査を進める。

 内閣府の担当者によると、26日までに全職員に外部へのファイル送信時の運用変更について通知する方針だという。今後は主に内閣府が利用する民間のストレージサービスでファイルを共有し、パスワードをメールで送信する。担当者は一例として「Dropbox」などの名前を挙げたが、具体的なサービス名については「セキュリティ対策のため、公表していない」としている。

 また、プロジェクトごとにあらかじめパスワードを決めておくことや、例外的な運用として内閣府の外部サービスにアクセスできない事業者向けに電話や別メールでパスワードを通知することも検討しているという。

 内閣府では中央省庁間でのファイル送信には政府内専用のネットワーク「政府共通ネットワーク」を活用していることからファイルにパスワードをかけていなかったが、外部へファイルを送信する際は、メール内容を中継サーバなどを通じて盗み見されないよう2011年ごろからPPAPを採用。職員が外部向けのメールにファイルを添付して送信すると、ファイルのzipファイル化から別メールでのパスワード送信までを自動で行うシステムを導入していた。

 平井氏は会見で、PPAPについて「セキュリティ対策や受け取り側の利便性の観点から適切ではない」として、現在の方法を廃止する意義を改めて説明。

 さらに「このような取り組みは政府内だけでなく、民間にも影響のある問題」と指摘し、「民間企業の対応も注視しつつ、今後どのようなセキュリティ向上策をとっていくのが望ましいか、民間の知恵をアイデアボックスに送って頂きたい」と政府の意見募集サイト「デジタル改革アイデアボックス」への投稿を呼び掛けた。

 平井氏は17日の会見で、霞が関でPPAPを廃止すると発表。以降、ネット上でも廃止後の運用に注目が集まっていた。

警察庁内端末不正アクセスと5万件の脆弱なVPNホストの公開についてまとめてみた(転載)


警察庁は2020年11月27日、庁内の端末が1年以上前から不正アクセスを受けていたことを発表しました。また同時期に公開された脆弱なVPN機器リストについても併せてここでまとめます。

VPNのパスワードが漏れた可能性

  • 不正アクセスが確認されたのは警察庁情報通信局のノートPC1台。業務物品の手配を行う専用端末として利用されていたもの。
  • ノートPCは他のシステムとは接続されておらず、警察庁は情報流出の可能性は低いと判断。不正アクセスが行われたタイミングでは端末に情報保管を行っていなかった。
  • 複数のIPアドレスから2019年8月から2020年11月中旬まで合計46回の不正アクセスが行われていた。*1
  • ノートPCからインターネット接続を行う際にVPN機器を利用。このVPNのパスワードが第三者に利用された可能性がある。*2
警視庁からの情報提供を受け発覚
  • 2020年11月25日に警視庁から「不正アクセスを受けているのではないか」といった情報提供を受け発覚。
  • 警察庁は警視庁に被害を申告した。*3

同時期に脆弱なVPNホスト5万件が流通

  • 警察庁の不正アクセス被害の原因となったVPN機器が具体的に何かといった情報は発表、報道されていないが、同時期にFortinet社製機器の脆弱性を影響を受けるリストが公開されていた。
  • 2020年11月19日にハッキングフォーラム上に投稿されたもの*4で、CVE-2018-13379の影響を受けるリストとして49,577件の攻撃コードが含まれたURLが列挙されていた。
  • その後同フォーラム上ではコピーしたとみられるファイルや不正アクセスを行い実際にシステムファイルを取得したとされるアーカイブも流通している。このアーカイブにはVPN機器で利用するパスワードが含まれている可能性がある。アーカイブには49,562個のセッションデータとみられるファイルが含まれていたことから、リストに列挙された大半の機器に脆弱性が残っている(残っていた)可能性がある。*5
  • リスト公開の動きを受け、JPCERT/CCも2020年11月27日にパスワード変更対応などの呼びかけを行っている。脆弱性情報の公開から1年以上が経過しており、対象バージョン(かつSSL VPN機能が有効)に該当する場合、侵害事実の確認を含めた調査を行うことが推奨される。
f:id:piyokango:20201129070732p:plain約5万件のリストが流通
CVE-2018-13379って何?
  • CVE-2018-13379はFortinet社FortiOSのSSL VPN機能の脆弱性で、2019年夏に注目された複数のVPN機器の脆弱性の1つ。
  • 脆弱性は今回新たに判明したものではなく、2018年12月にDEVCORE Security Research TeamのMeh Chang氏、Orange Tsai氏により発見されたもの。Forinet社への報告後に脆弱性への対応が行われ、2019年5月24日に修正バージョンが公開されている。その後、2019年8月の研究調査発表で脆弱性の実証コードを含む詳細情報が公開された。
  • パス・トラバーサルの脆弱性で、機器の任意のファイルを認証無しに取得できる。この脆弱性を使い機器上に保管されたセッションデータファイルを取得し、機器の仕様でこのファイルに平文のパスワード文字列が含まれているため、盗んだ情報を使いVPNアカウントが侵害される恐れがある。

発見者による脆弱性デモ動画


リストには警察庁のIPアドレスも存在
  • このリストには国内に設置されたとみられる機器が多数含まれていた。piyokangoはリスト全体の1割(約5400件)が国内のIPアドレスであることを確認している。*6。この内、確認できた組織名は600件以上で、大学などの教育関連や航空関連、独法などの組織名も含まれていた。

辻さんの統計ツイート

Fortinet製SSL-VPNの脆弱性(CVE-2018-13379)を利用した攻撃結果のリストがリークされていますが、そのリストに掲載されているIPアドレスから国を判別してグラフにしてみたところJPは全体の11%ほどでした。 pic.twitter.com/sKC3qxIDH1

— 辻 伸弘 (nobuhiro tsuji) (@ntsuji) 2020年11月28日
f:id:piyokango:20201130061546p:plainリストに含まれていた警察庁のIPアドレス

更新履歴

  • 2020年11月30日 AM 新規作成

*1:警察庁の端末に不正アクセス 1年超で46回、気づかず,日本経済新聞,2020年11月27日

*2:警察庁の端末1台に外部から不正アクセス46回 情報流出は確認されず,毎日新聞,2020年11月27日

*3:警察庁端末に不正アクセス 計46回、1年超気付かず―今月発覚、情報流出なし,時事通信,2020年11月27日

*4:最初の投稿は既に削除されている。投稿者のアバターやHNも変更されている。

*5:行為が行われた時期は不明

*6:アメリカに次いで2番目に多い

【転載】マリオットの罰金は1人当たり7円


 

マリオットの罰金は1人当たり7円

2018年のマリオットのデータ流出事件の罰金は1,840万ポンド(約25億円)で決着する様です。3億3900万人の個人情報データの漏えい事件でしたので、1人当たりに換算すると0.05ポンド(約7円)となります。

www.theregister.com

この攻撃は当初、チェーンのゲスト予約データベースに5億件のレコードを公開したと考えられていましたが、その後の調査により、その数値が下方修正されました。

公開されたデータには、暗号化せずに保存された525万人のゲストのパスポート番号、1850万の暗号化されたパスポート番号、910万の暗号化されたクレジットカード番号が含まれていました。

公共の傷害に侮辱を加え、ICOはマリオットの罰金を当初の信号値である9,900万ポンドから5分の4に削減し、その後、繰り返しかかとを引きずりました。

情報コミッショナーのエリザベス・デナム氏は、「企業が顧客のデータの管理に失敗した場合、その影響は罰金の可能性があるだけでなく、最も重要なのは、データを保護する義務がある一般市民です」と述べています。

(The Register記事より引用)※機械翻訳

 

キタきつねの所感

マリオットは不正行為に対する2019年7月の巨額の罰金提示(9,900万ポンド)を拒否していましたが、規制当局側が、マリオットのインシデント対応(調査への協力)と、COVID-19のビジネスの経済的影響を考慮して、当初の罰金額を1/5に減額した形となりました。

 

GDPRは2018年5月発効で、この事件は2014年から侵害が開始されて2018年9月まで検出されなかった事件だったので、GDPRの巨額なペナルティの対象なのかという観点でも当時議論がありました。

※2018年5月からのGDPR違反部分を対象とした罰金という形になっている様です。

最終的な罰金額1,840万ポンド(約25億円)は、巨額な罰金額ではありますが、コロナの影響を受けて規制当局が割引したという部分には、少し違和感がありました。(それで企業の業績が傾いたら元も子も無いと考えたのだとは思いますが)

 

GDPRの怖い罰金判例はさて置き、Registerの記事には、私自身が知らなかった事件の詳細が書かれていました。これは、10/30に出されたICO(※英国の規制当局)の通知書から引用したものの様です。

 スターウッドは2016年にマリオットに買収されましたが、買収したチェーンのシステムは、買収後にマリオットが閉鎖されるまで、マリオット自身のIT資産から分離されたままでした。

身元不明の悪意のある人々が、2014年7月にスターウッドホテルのネットワーク内のマシンにWebシェルを忍び込みました。その後、そのシェルを使用して、スターウッドのシステムとパスワードを大量に消費するオープンソースツールMimikatzにさまざまなリモートアクセストロイの木馬(RAT)を植え付けました。攻撃者は、より多くのネットワークアカウントを侵害していました。

これらのアカウントには、多要素認証のないアカウントと、主要なデータベースの管理者資格を持つアカウントが含まれていました。それでも、攻撃者の行動は見過ごされていました。

(The Register記事より引用)※機械翻訳

 

今までこうした詳細経緯は表に出てきてなかったかと思います。この通知書、91ページにも及ぶのですが、色々細かく(一部詳細は黒塗りで)書いてます。

 

引用(機械翻訳)しようと思ったのですが、PDFが画像化(文字をコピーできない)されて構成されているので、パッと読んで大事そうな所だけ拾ってみます。

※PCI関係の方は読んでみると色々面白い事が書かれていて勉強になります。

※(普通の方は)上のRegisterの記事を見れば概要理解としては十分かと思います。

 

攻撃の経緯の所ですが、侵入の部分は上の記事にも書かれていますが、Webシェル→RATだった様です。記事には、最終的にどうやってマリオット側が事件に「気づいたかの所までが順を追って書かれています。

 

2015年4月以降、何度かハッカーの攻撃の痕跡があるのですが、6回目の攻撃で(2018年9月)でようやく検知できています。

f:id:foxcafelate:20201031163731p:plain

なかなか検知出来なかった理由の1つが、正規の認証情報(管理者含む)が窃取されて攻撃されている点と、テーブルの全データコピーが監視ソフト(Guardium)のアラート対象外だった事、そしてメモリスクラッピングマルウェア(2017/1)を仕掛けられた事を検知出来ていなかった事にありそうですが、最後にソフトが検知できたのは、テーブルが何行あるかをハッカーが調べようと数えた際に、保護対象であるカード情報が含まれていたので(ギリギリ)検知できたようです。

 

f:id:foxcafelate:20201031163936p:plain

マリオットのITチームと契約してスターウッドのゲスト予約システムを管理していたAccentureは、2018/9/8ソフトの前日のアラートを見て調査に入りますが、マリオットがスターウッドを買収してから初めての(Guardiumの)アラートだった様です。

しかし、皮肉な事に、最後の成果物であるデータファイルは、2018/9/10と調査に入って2日後に外部にエキスポートされてしまいます。ここで再度Guardiumがアラートを出し、”事故”である事をマリオットが認識する事になります。

買収したスターウッドのシステムが元々侵害を受けていた事に起因する事件なのですが、買収時のセキュリティチェック(自社セキュリティ体制への切替)が甘かったという事が、あったのかと思います。

 

更に皮肉な事に、、、ゲスト予約システムを管理していたAccentureの従業員アカウントもこのデータ侵害事件で悪用されていた事が判明します。

 

事件を引き起こした原因(脆弱点)についても、この通知書では書かれています。

PCI DSS(カード情報漏えい側)視点では、PCI DSSの監査(QSA監査)を通っていたとは言え、この分析では、多要素認証がカードデータ環境(CDE)に対する全てのアカウントとシステムアクセスで実施されていなかった事が指摘されています。

この点についてマリオットは、QSAが問題無いと判断した事を持って抗弁した様ですが、最終的に多要素認証の穴(ミス)があったと判断された様です。

 

f:id:foxcafelate:20201031162307p:plain

 

フォレンジック(事故)調査は、Verizonが実施した様で、この辺りでは、ログ監視についての不備が書かれています。読んでいくと、マリオット側は自社で実施してる年次の侵入テスト結果を持っていたのですが、ログ(監視)設定について適切であるかどうかは、こうした脆弱性テストではチェックされてなかったと書かれています。

 

f:id:foxcafelate:20201031162544p:plain

 

PCI DSSの専門家の1人として考えると、正直に言えば、ここは判断が結構難しい所です。おそらく非常に巨大なシステムだったと思いますので、私も監査等で提示される一部の証跡だけでチェックしていたとすれば、(ログのスコープの妥当性に気づかず)問題無いと判断したかも知れません。

フォレンジック調査の結果から言えば、ログチェックすべき点が抜け落ちていた、PCI DSS認定を継続している他社にとっても意識しておくべき点です。

 

ログの問題点について、(フォレンジック調査の結果として)2点指摘されています。

f:id:foxcafelate:20201031162836p:plain

 

最大のポイントは、データーベースにおける重要アクションが監視(ログ記録)対象外であった事です。

2点目は、データベースから全てのデータがダンプファイルとして持ち出される(生成される)部分について防御(=制限又は監視)してなかった点です。データベース全体の持ち出しは、2015年の段階からされていた様ですので、ここが制限または監視されていたとすれば、ここまで大型の漏えい事件にならずに抑え込めた可能性があります。

 

もう1か所、上のポイントの方が原因(脆弱ポイント)として大きいのですが、ここも監視しておくべきだったのでは、と思ったのが、データベースの暗号化されたテーブルへスクリプトでのアクセスです。

メンテナンス等の理由で、正常命令である事もあるかと思いますが、(クレジットデータを含む)データベースの全データを要求する様なスクリプト動作について、何も監視せず、アクセス出来ていた所は、やはり問題だったのかと思います。

f:id:foxcafelate:20201031163207p:plain

 

もう少し面白い内容がありそうな(歯ごたえがありそうな)通知書PDFですが、久々に英語をまじまじと読んで疲れてしまったのと、恐らく誤訳のボロが(普段機械翻訳を使いすぎなので・・・)出てきてしまうかと思いますので、この辺にしておきます。

無料で1,000アビオスを入手する方法(2020年12月1日まで) / 1,000 free Avios via – bizarrely – Star Alliance member Aegean Airlines (if you’re patient!)(転載)


 1,000 free Avios via – bizarrely – Star Alliance member Aegean Airlines (if you’re patient!)

そう、奇妙に見えるかもしれませんが、スターアライアンス加盟のエーゲ航空が、10分間の仕事と引き換えに1,000アビオスをプレゼントしたいと考えているのです!

他のマイレージプログラムも利用可能で、ユーロスターのポイントも加算されます。

残念なことに、エーゲ航空のルール変更により、これは必要以上に面倒なことになってしまいました。以下の私のプランのステージ3を行うには、12月まで待つ必要があります。

12月1日までの12日間、エーゲ航空では、Miles+Bonusスキームに登録した人全員に5,000マイルを無料で提供しています。回り道をすれば、これを1,000アビオスに交換することも可能です。

ステージ1: エーゲ航空のマイル+ボーナスアカウントが必要です。

それは非常に簡単です。エーゲ航空のウェブサイトのこのページにアクセスし、「登録」をクリックしてフォームに入力します。

ウェブサイトに登録するだけの「ベーシック」オプションではなく、デフォルトのMiles+Bonusアカウント開設オプションを選択します。

先週末までは、マイルは即時に計上されていました。下記をご参照ください。


しかし、エーゲ航空は今、ルールを変更しました。現在は1,000マイルを受け取り、12月15日までに残りのマイルを受け取ることができます。これが登録時に表示されるものです。


近々ギリシャに行く予定がある方は、5,000マイル+ボーナスマイルは国内線片道航空券との交換にも使えるので、取っておいた方がいいかもしれません。

Aviosや20ユーロのホテルバウチャーが欲しい方は、続きをお読みください。


ステージ2:Accor Live Limitlessのアカウントが必要です。

エーゲ航空は、ホテルのロイヤリティプログラム「Accor Live Limitless」との双方向の乗り継ぎパートナーである。アコーはノボテル、ソフィテル、イビス、ラッフルズ、スイスホテル、メルキュールなどを所有しています。

エーゲ航空のマイルは4:1の割合で2,000マイル単位でアコーライブリミットレスに移行されます。

アコーライブリミットレスのアカウントをお持ちでない場合は、アカウントを開設する必要があります。アコーのウェブサイトはこちら

次のステップ .... 欲しい報酬を決める

4,000エーゲ航空マイル+ボーナスポイントを移行すると、アコーライブリミットレスポイントが1,000ポイントもらえます。

すでにアコーライブリミットレスポイントを貯めている場合は、そのままにしておくとよいでしょう。アコーポイントを2,000ポイント貯めるごとに、次回のホテル予約で40ユーロの割引が受けられます。

それ以外の方は、アコーのアカウントでポイントを自動的に航空会社やクラブユーロスターに変換するように設定してください。

ここが重要なポイントです。Aviosが欲しい場合は、ブリティッシュ・エアウェイズではなくイベリア・プラスを選択する必要があります。イベリア航空のAviosへの移行率は1:1ですが、ブリティッシュ・エアウェイズのAviosへの移行率は2:1です。これは1,000アビオスを受け取るか、500アビオスを受け取るかの違いです。

イベリア航空の自動変換の設定は、アコーのウェブサイトのこのページで行うことができます。リワードポイントの変換」をクリックします。

イベリアへのオートコンバージョンには最低3,000ポイントが必要と表示されます。これは真実ではありません。以下は私のアカウントのスクリーンショットです。


各取引の後にアビオスが移動するのがわかります。私の妻のアカウントも同じように機能しています。

もしアコーが最低3,000ポイントの交換条件を課そうとした場合、1,000ポイントのアコーポイントが残ってしまいます。その場合は、40ユーロのバウチャーで2,000ポイントを獲得するか、イベリア航空への乗り換えで3,000ポイントを獲得するか、どちらかの方法で滞在してポイントを補充する必要があります。

ステージ3:エーゲ航空のマイル+ボーナスマイルの交換方法(12月15日に!?

12月15日までにAegeanの残高が5,000 Miles+Bonusマイルになります。

アコーライブリミットレスのメンバーシップ番号をお持ちのお客様は、Aegean Miles+Bonusマイルに交換することができます。

このページが必要です - リンクをクリックすることをお勧めします。このページが表示されます。


5,000マイル+ボーナスマイルのうち4,000マイルを交換したいとすると、このようになります。


私が変換できて、あなたができないのは、ルールが変わったからです。週末に一気に5000マイルを受け取りました。今は2回目のバッチのために12月15日まで待つ必要があります。

アコーにポイントが到着するまでにどのくらいの時間がかかりますか?

わからないわ 条件には6週間までと書いてあります。このオファーは12月1日に締め切られるので、私は実際に自分のポイントを受け取る前にそれについて書くことにしました。

私は日曜日にエーゲ海からの乗り換えを実行したが、まだ何も届いていない。アコーに到着してから、イベリア航空に到着するまでには、さらに数日かかりそうです。

イベリアプラスからは、「Convert My Avios」を使用してBritish Airways Executive Clubに移動することができます。ここでは、「Convert My Avios」の仕組みについて説明します。

もちろん、アコーがこの5,000ボーナスマイルに遡って制限を課そうとする可能性もあります。5,000マイルのサインアップオファーが12月1日で終了することを考えると、アコーはITを書き換えようとするのではなく、このままにしておくのではないかと思います。

結論

エーゲ海からの出国手続きを12月15日まで待たなければならないことを考えると、これはちょっと面倒なことだと思う。飛び込むかどうかはあなた次第です。

この記事では「1,000 Aviosを手に入れる」と見出しを付けましたが、1,000ポイントをアコーに残してホテルの割引に利用すると、よりお得になることを覚えておいてください。そのためには、滞在することで2,000ポイントを獲得する必要があります。

エーゲ航空にマイルを残してギリシャ国内線に使えばさらにお得ですが、現実的にはほとんどの読者には向かないでしょう。

ブリティッシュエアウェイズ:Avois購入最大50%ボーナスセール(~2020年12月1日)(転載)



ブリティッシュエアウェイズ:Avois購入最大50%ボーナスセール

ブリティッシュエアウェイズHPでAvios購入最大50%ボーナスセールが開催されています(2020/12/1の9時まで)。

・HPによると最大50%ボーナスの模様

During the Offer Period, Eligible Participants will receive up to 50% extra Avios (bonus Avios) when they purchase or gift Avios at ba.com.

(BA HPから抜粋)

・しかし、自分の場合は40%ボーナス(差が生じる理由は不明です。ステータス?)

・200,000Aviosまで購入可能(40%ボーナスの場合は、最大2.1円/Avios)

(※104円/ドル換算)

前々回(2020年3月)から前回までは50%ボーナスでした。自分は40%ボーナスでしたので、過去のセールと比較するとお得ではありません。

・2020年12月1日午前9時まで

・200,000 Aviosまで購入可能(50%ボーナスを含めると、合計300,000 Aviosまで)

・購入後すぐに利用可能(ただし、最大5営業日かかる可能性あり)。

・Aviosの使い道は、JAL国内線特典航空券/近距離国際線特典航空券がおすすめ。

円換算

購入AviosボーナスAvios合計Aviosドル円/Avios
1,0004001,400533.9
20,0008,00028,0005752.1
50,00020,00070,0001,1252.1
100,00040,000140,0002,7752.1
200,00080,000280,0005,5232.1

(104円/ドル換算)

BAの正式サイトで購入することのメリット/デメリット

vs イベリア航空HPからAvios購入

<メリット>

①BAのサイトから購入すればすぐに特典航空券に交換することが可能です。

イベリア航空からBAにAviosを移管するためには、イベリア航空のアカウントを作成してから3か月以上経過する必要があります。

<デメリット>

単価はイベリア航空HP(特にセール時)の方が断然良いです。

最近の50%ボーナスセール(2020年8月実施)では、100,000 Avios購入時(ボーナス込みで合計150,000 Avios)の単価は1.5円/Avoisです。15,000 Avios購入時でも単価は1.7円/Aviosでした。

購入方法

ブリティッシュエアウェイズのHP

https://www.britishairways.com/travel/home/execclub/_gf/ja_jp?

「発見」タブの「Aviosを貯める」を選択

「Aviosの購入」を選択

(画像はすべてブリティッシュエアウェイズHPから引用)

ほしいAviosを選択。Avios数が増えるほどお得になります。

Aviosの使用方法

JAL国内線特典航空券。

近距離であれば国際線特典航空券も魅力的。

Aviosの価値

JAL国内線で羽田~千歳までの航空券を調べてみると往復約6万円。特典航空券に必要なAviosは片道6,000 Aviosですので、往復分プラスアルファで18,000 Avios購入した場合でも約4万7千円。

セールを利用するのはお得だと思います。

まとめ

ブリティッシュアエウエイズで購入するとした場合は、単価としてはお得です。一方で、急ぎではないようであれば、単価のお得なイベリア航空セールを待った方がいいかもしれません。

JALとJALUX、「JALふるさと納税」開始 寄附額100円につき1マイル付与(転載)



JALとJALUX、「JALふるさと納税」開始 寄附額100円につき1マイル付与

日本航空(JAL)とJALUXは、「JALふるさと納税」ポータルサイトを開設し、運用を開始した。

「JALふるさと納税」から寄附することで、寄附額100円につき1マイルが付与される。オープン時の参加自治体は20自治体。

11月25日から12月31日まで、開設記念キャンペーンを開催する。キャンペーンコードを入力の上、20,000円以上を寄附した人の中から抽選で、カタログギフトを50人に、国内線往復航空券を10人にプレゼントする。

詳細はこちら

【転載】2020年の全世界漏えいデータは360億件


 2020年の全世界漏えいデータは360億件

2020年はデータ侵害という意味では史上最悪な年になる様です。Risk Based SecurityのQ3 Quick viewレポートでは、侵害されたレコードの合計が360億件になったと発表されました。

www.infosecurity-magazine.com

Risk Based Securityによると、公に報告されたデータ侵害の数は2020年の第3四半期に減少しましたが、世界中でさらに数十億のレコードが公開され、今年の合計は360億になりました。

セキュリティベンダーの2020年第3四半期のデータ侵害QuickViewレポートは、公開されているレポート、FOIリクエスト、ニュースレポートの人間による自動分析から作成されました。

2020年は、第3四半期に追加の83億件の記録が公開される前でさえ、これまでに記録された中で最悪の年であると主張しました。ただし、これらの数値には、盗まれたデータだけでなく、情報を危険にさらす可能性があるが悪意のある攻撃者が情報を入手することにはならないクラウドベースの設定ミスも含まれます。

今年の最初の3四半期の情報漏えい報告の数は、前年比51%減の2953件でした。

ベンダーのエグゼクティブバイスプレジデントであるIngaGoddijnは、これはランサムウェア攻撃の増加によって説明できると主張しました。これらは最初の3四半期に報告された違反の21%を占めましたが、さらに多くが記録されていない可能性があります

(Infor Security Magazine記事より引用)※機械翻訳

 

 

元ソース(Risk Based Security)

 

キタきつねの所感

360億件のレコード(個人情報)が漏えい。凄い数字です。2020年の世界人口は77.9億と言われてますので、1人4.6回はデータが漏えいした計算になります。

そして、記事でも書かれていますが、この数字は氷山の一角です。この調査データにも書かれていますが、今年はランサム被害が多く、ランサムに関して言える事は、もしランサムオペレータ―(ハッカー)に対して身代金(ランサム)を払っているとしたら、この調査結果に、その数字には”載らない”可能性が高くなります。

今年は、報じられている事件でも結構な企業/組織がランサムを払った事が記事に出てきたりしていますので、(そうした所はランサム被害を受けた事実は認めても、影響範囲=漏えい件数をリリースに書いてない所が、日本企業においても多く見られます)

 

2020年はまだ終わっていませんのでまだ早いのですが、セキュリティ業界での今年のベスト10を振り返るとすると、確実にランサムビジネス市場の拡大(Ransom as a service)上位にランクインしてくると思います。

 

データの中身を見ると、データ漏えい事件(の報告)件数は前年比49%とかなり減っています。しかし全体の漏えい件数が伸びている事を考えると、大型の流出事件が多かった事を示唆しています。

また、ランサムに関しては、Q3のデータ(83億件)の21%を占めると書かれていますので、約17億件が漏えいした(少なくてもと書くべきでしょうが)事が分かります。

また、日本ではまだこの分野の大型の事件は発生していませんが、特に海外では「ヘルスケア」セクターが大きな被害を受けており、11.5%を占めます。この理由として考えられるのが、攻撃側が、新型コロナウィルスワクチンなどの研究・治験データを狙った、そして機微な患者データを狙った事が考えられます。ランサム(身代金)を支払ってくれる可能性が高い所が集中的に狙われていると言い換えても良いかも知れません。

 

そして、忘れてはいけないのが、「クラウドの設定ミス」です。オンプレからクラウドにデータが移行していくのは、当然の流れかと思いますが、そこでセキュリティ管理が甘くて良いという訳はありません。クラウド環境ミスによって、そこで管理しているサービスの全てのデータが漏えいしてしまうケースも多いのです。

自社の環境外であるクラウドに、機微なデータを大量に預ける事を考えれば、オンプレでの管理体制以上のセキュリティ体制(多層防御)を構築する必要がある事が忘れられているのではないか、そんな風にもこの調査結果から感じました。

 

決して日本でも対岸の火事ではなく、今年データ侵害が報じられた国内著名企業が、意外に漏えい件数を「発表してない」事からも、結構な被害が出ていたと考えて、自社のセキュリティ体制、多層防御を、今一度見直す事が重要なのではないでしょうか。

【転載】フォートブラック陸軍基地のTwitterハッキング騒動

 


フォートブラック陸軍基地のTwitterハッキング騒動

米国最大規模の米軍基地のTwitterアカウントがハッキング・・・脇が甘いのはトランプ大統領だけでなかったのかと思ったのですが、どうやら意外な結末だった様です。


キタきつねの所感

米軍(フォートブラッグの関係者のフォロワーの方々はかなり驚いた事かと思います。突然、平日の午後4時半頃に不適切な投稿へのリプライが、軍のアカウントから発信され、すぐにアカウント調査の為にアカウントが閉鎖されたのですから。

フートブラッグ基地は米国ノースカロライナ州にある米国陸軍基地です。

フォートブラッグ - Wikipedia

 

当該の投稿を探してみると・・・海外ニュースではかなり話題になっていて、マスキングがされてないものも上がっていましたが、かろうじて大丈夫そうな所から投稿を拾ってみますと・・・

f:id:foxcafelate:20201025095013p:plain

 

軍基地の公式アカウントから出るにしては「明らかに」不適切な、Twitterで共有された写真投稿に対するコメントが投稿されています。

※現在当該のツイートは削除され、基地のアカウントが閉鎖されたままです。

 

しかし閉鎖前のコメントをキャプチャーしている人がいて(※下記ツイートだと右下の投稿)ここを見ると、基地側は”ハッキングされた”と明言しています。

fort bragg account manager got horny on the main 😂😂 “hacked” pic.twitter.com/xY6PUw7Pqs

— mike taddow (@taddmike) 2020年10月21日

 

こうした情報を元に、当初は「ハッキング」されたとした記事が多数出ており、当初は(トランプ大統領と同じく)パスワードを推測した第三者による攻撃と見れていました。

 

しかし、翌日の木曜日には調査が進展した結果としてハッキングだったという軍関係者の発表”内容が修正”されています。


木曜日、公式調査の開始後、民間人の従業員がツイートは彼のものであると明らかにした-結局のところ、事件はハッキングではなかったと言った。その従業員は、自分が自分の個人アカウントからツイートしていると誤って信じていたと当局者は語った。

「適切な行動が進行中である」とコマンドスポークスマンのジョー・ブッチーノ大佐は声明の中で述べた。「フォートブラッグのアカウントは、数日中に復元されます。」

(Washington Post記事より引用)※機械翻訳

 

基地の公式Twitterアカウントを管理する民間の従業員(アカウント管理者)が、個人のアカウントからの投稿をしたつもりで、軍のアカウントから投稿してしまった、というオチの様です。

軍(基地)の信用度への影響もさることながら、当該”従業員”の勤務時間は分かりませんが、不適切な投稿が16時半頃の投稿だったとされている事から、勤務時間内の「私的な行動」についても、今後責任が厳しく問われるのかと思います。

 

ここから先は想像になりますが、個人アカウントと公式アカウントを「間違える」という事は、普段から当該従業員が「同じ端末」からTwitter投稿をしていたと推測されます。

軍でBYODが認められている可能性はあまり考えられないので、おそらく軍用の端末(PCかスマホ)だったのかと思うのですが、だとすれば、支給端末を使っての「SNSの私的利用」をしていた事になります。この辺りに、他の企業/組織の方への気づきがある気がします。

 

 

余談ですが、Twitter上では、

 

「Horny」(スケベ)な奴にはTwitterアカウントを任せるべきではない

 

と言った「気づき」が、(正確に言うとそうした投稿ばかりが)ツイートされていました。正論かと思います。

 

【ハリウッドスラング003】若者は「horny」な人ばかり? | Hollywood News - ハリウッドニュース

AWSで障害--多数のサービスに影響(転載)~クラウドサービス使うときは、年1回程度の大規模障害を受け入れる覚悟が必要~


AWSで障害--多数のサービスに影響

 Amazon Web Services(AWS)のデータセンターで米国時間11月25日、大規模な障害が発生している。これにより、同社のサービスの稼働が不安定になり、インターネットで提供されている多数のオンラインサービスに大きな影響が及んでいる。

 影響を受けているその他のサービスには、スマートデバイスや、暗号資産(仮想通貨)ポータル(トランザクション処理で障害が発生している)、ストリーミングおよびポッドキャストサービス(ユーザーによるアカウントへのアクセスが制限されている)などがある。

 また、DownDetectorのページで問題が報告されたサイトには、「Ring」「Prime Music」「Pokemon Go」「Roku」「MeetUp.com」「League of Legends」「Anchestry.com」「Chime」などのサービスがあった。

 同社のステータスページによると、今回の障害はリアルタイムで大容量のデータを集積、分析するために用いられる「AWS Kinesis」を中心に発生しているという。

 この障害による影響で、ステータスページの上部に表示される小さなメッセージ領域を除き、ページ自体の更新もままならないと同社のエンジニアらは述べている。

 現在のところ、大半の問題は主にAWSの北米のリージョンに限定されているようだ。AWSによると、北米ではKinesisのほか、下記のAWSのサービスなどに影響がみられる。また、アジア太平洋、南米、欧州、アフリカ、中東のリージョンでは現在、「Amazon CloudFront」のみに問題があるようだ。

  • ACM
  • Amplify Console
  • AppStream2
  • AppSync
  • Athena
  • AutoScaling
  • Batch
  • CloudFormation
  • CloudTrail
  • CloudWatch
  • Cognito
  • Connect
  • DynamoDB
  • EventBridge
  • IoT Services
  • Lambda
  • LEX
  • Managed Blockchain
  • Marketplace
  • Personalize
  • Rekognition
  • SageMaker
  • Workspaces

 AWSは、米国東部(US-EAST-1)リージョンにおけるKinesis Data Streams APIに影響する問題のほか、影響を受けるすべてのサービスの全面的な復旧に向け作業を続けているなどとしている。

新潟ご当地グルメの通販ショップに不正アクセス(転載)~想定損害賠償額は1,200万円程度か~



新潟ご当地グルメの通販ショップに不正アクセス

新潟県発祥のファーストフードである「イタリアン」を展開するみかづきは、同社が運営するオンラインショップが不正アクセスを受け、顧客情報があ流出した可能性があることを明らかにした。

同社によると、「みかづきオンラインショップ」に脆弱性があり、外部より不正アクセスを受けて顧客が利用したクレジットカード情報が流出し、一部が不正に利用された可能性があることが判明したという。

流出した可能性があるのは、2019年9月30日から2020年5月25日にかけて同サイトでクレジットカード決済を利用した顧客最大464人分の個人情報で、クレジットカードの名義、番号、有効期限、セキュリティコードが含まれる。

6月29日にクレジットカード会社より情報流出の可能性について指摘があり、問題が発覚した。外部事業者による調査を実施し、9月30日に完了。10月5日に警察へ被害を申告、同月12日に個人情報保護委員会へ報告した。

個人情報が流出した可能性のある顧客に対しては、11月25日よりメールで経緯を報告し、謝罪するとしており、心当たりのない請求が行われていないか確認するよう求める。

6月29日より停止している同サイトについては、セキュリティ対策や監視体制を強化し、再開する予定。

「PPAPは無意味」中央官庁でパスワード付zipファイル送信廃止議論(転載)


「PPAPは無意味」中央官庁でパスワード付zipファイル送信廃止議論:


平井卓也デジタル改革担当相は2020年11月17日に開かれた定例会見にて、パスワード付きZIPファイルの送信ルールを廃止する方向で検討を進めると明らかにしました。

問題となっているのは「PPAP」と呼ばれるセキュリティ対策ルールで、プライバシーマークが求める暗号化ルールに適合するために広まったとされる手法です。具体的には、第1段階として送信したいファイルをZIP形式に暗号化したのち、解凍パスワードを別送するというものです。

平井デジタル改革担当相は定例会見にて、このPPAP方式について「セキュリティレベルを担保するための暗号化ではない」と発表。政府の意見募集サービス「デジタル改革アイデアボックス」からも批判する指摘が相次ぎ、河野太郎行政・規制改革担当相らとの対話の末に検討が決定したとしています。

PPAP採用国は先進国で日本だけ?なぜこのようなことになったのか

PPAP方式は日本政府だけでなく、日本国内の民間企業においても広く利用されている方式です。事務担当者であれば、一度は見たことのある人も多いでしょう。

そんなPPAP方式ですが、実は諸外国に目を向けますと、ビジネスレベルで導入されているケースは日本だけで、少なくとも先進各国はPPAP方式など導入していないのが実情です。当然セキュリティ的に無意味との判断で、具体的な理由としては「攻撃者が仮にZIPファイルが入手できるなら、同じ通信方式で送るパスワードも流出している」などの批判が存在します。

では、なぜPPAP方式が日本国内で広まったか。これは、ウェブサービスの安全性を証明するために多くの企業が取得している「プライバシーマーク」が影響していると言われています。プライバシーマークはその監査基準の一つとして通信ファイルの暗号化を求めていますが、外見上はこれに適合できる、PPAPが広まったものと見られています。

“Pマーク”認証団体が見解 パスワード付きファイルのメール送信は「以前から推奨していない」(転載)~JIPDECもPPAP撲滅に向けて前進か!?~

  一般財団法人日本情報経済社会推進協会(JIPDEC)は11月18日、パスワード付きファイルのメール送信について、誤送信した場合に情報の漏えいを防げないなどとして「以前から推奨していない」とする公式見解を発表した。

プレスリリース

 パスワード付きファイルをメールに添付する場合、ファイルとパスワードをそれぞれ別メールで送る場合がある。こうした慣習を「Password付きzipファイルを送ります、Passwordを送ります、An号化(暗号化)Protocol(プロトコル)」の頭文字を短縮し、セキュリティの世界ではPPAPと揶揄(やゆ)することが多い。

 17日に平井卓也デジタル改革担当相が、霞が関でいわゆるPPAPを廃止する方針を示したことを受け、JIPDECに「zipファイルがダメなのか」などの問い合わせが複数寄せられたという。

 JIPDECは事業者の個人情報の取り扱い体制について評価・認証する「プライバシーマーク制度」(Pマーク制度)を運営する団体。JIPDECは通商産業省(現経済産業省)の指導を受け、1998年からPマーク制度を創設した。

「PPAPの総本山ではなかったのか?」ネットの声にJIPDECが回答

 JIPDECの公式発表を受け、ネット上では歓迎する声がある一方、「パスワード付きzip業界の総本山だと思われていたプライバシーマークがそんなことは推奨してないと熱い手のひら返し…!」と驚きの声も上がっている。

 こうした反応について、JIPDECはITmedia NEWS編集部の取材に「ネット上でさまざまなご意見があることは存じている」としつつ、「個人情報を含むファイルをパスワード設定により暗号化してメールに添付し、パスワードを別メールで送信することは以前から推奨していない」と明確に否定した。

 他方、ネット上の反応を見ると、PPAPが社内ルールになっている企業もあるようだ。こうした企業に対する取り組みについて「プライバシーマーク制度は、事業者の自主的な取り組みを促し、状況や場面に合わせて適切な対策を講じていただくことを求めており、その運用状況を確認するものだ」と制度趣旨を説明した上で「特定の手法や手段を推奨、指導することはない」とコメント。具体的な方法は示さなかった。

 JIPDECは「(プライバシーマークの)付与事業者には、個人情報を含むファイルなどをメールで送信する場合は、送信先や取り扱う情報などを踏まえ、リスク分析を行った上で必要かつ適切な安全管理措置を講じていただく事を今後も継続してお伝えしていく」とコメントした。

【転載】Avaddon (まとめ)

f:id:tanigawa:20200928094953p:plain
Avaddon (まとめ):

【要点】

◎RaaSサービスで使用される Ransomware。盗み出したファイルを利用した二重恐喝も開始した。開発者はロシア人の可能性が高い

【ニュース】

◆Phorpiexボットネット用いた攻撃が再び急増 - 6月マルウェアランキング (マイナビニュース, 2020/07/14 10:28)
https://news.biglobe.ne.jp/it/0714/mnn_200714_2411409590.html
https://malware-log.hatenablog.com/entry/2020/07/14/000000_2

◆Avaddon ransomware launches data leak site to extort victims (BleepingComputer, 2020/08/10 14:40)
[Avaddonランサムウェア、被害者を恐喝するデータ流出サイトを立ち上げる]
https://www.bleepingcomputer.com/news/security/avaddon-ransomware-launches-data-leak-site-to-extort-victims/
https://malware-log.hatenablog.com/entry/2020/08/10/000000

◆This Ransomware Comes With Its Own Affiliate Program (Cointelegraph, 2020/08/13)

Crypto crime joins the gig economy.
[暗号犯罪がギグ経済に加わる]

https://cointelegraph.com/news/this-ransomware-comes-with-its-own-affiliate-program
https://malware-log.hatenablog.com/entry/2020/08/13/000000_8

◆The Week in Ransomware - August 14th 2020 - Crime made easy (BleepingComputer, 2020/08/14 11:42)
https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-14th-2020-crime-made-easy/
https://malware-log.hatenablog.com/entry/2020/08/14/000000_8

◆ESET、「Avaddon」ランサムウェアの解析レポートを公開 (ASCII.jp, 2020/10/27 11:00)
https://ascii.jp/elem/000/004/031/4031777/
https://malware-log.hatenablog.com/entry/2020/10/27/000000_1


【ブログ】

◆2020年上半期ランサムウェア動向拾遺:「Avaddon」、新たな回避手法、業界別被害事例、など (Trendmicro, 2020/09/11)
https://blog.trendmicro.co.jp/archives/26021
https://malware-log.hatenablog.com/entry/2020/09/11/000000_12


【資料】

◆Avaddon ランサムウェアの解析 (ESET, 2020/10/27)
https://eset-info.canon-its.jp/files/user/malware_info/images/threat/201027/Malware_Report_Avaddon_202010.pdf


【図表】

f:id:tanigawa:20200829153607j:plain
f:id:tanigawa:20200829153620j:plain
出典: https://www.bleepingcomputer.com/news/security/avaddon-ransomware-launches-data-leak-site-to-extort-victims/


【脅迫サイト】

  • avaddonbotrxmuyl.onion


【関連まとめ記事】

全体まとめ
 ◆マルウェア / Malware (まとめ)

◆ランサムウェア (まとめ)
https://malware-log.hatenablog.com/entry/Ransomware