2021/09/16

業界標準や、監督官庁の提示している基準・ガイドライン(転載)

セキュリティ診断だけでは不十分?アジャイル開発やDevOpsのセキュリティ対策 

Webアプリケーションの構成要素には、アプリケーション、プラットホーム、ネットワークなどの構成要素があります。アジャイル開発では、1〜2週間といった非常に短い単位で開発を進めていきます。このサイクルをアジャイル開発でよく使われる「スクラム」では、スプリントと呼びます。スプリントで開発する機能を優先度の高い順から選択して、選択した機能の開発とリリースを繰り返していきます。しかし、以下表のような非機能要件は、ある程度事前に検討して環境を準備していく必要があります。

大項目中項目説明
可用性継続性、耐障害性、災害対策、回復性システムサービスを継続的に利用可能とするための要求
性能・拡張性業務処理量、性能目標値、リソース拡張性、性能品質保証システムの性能、および将来のシステム拡張に関する要求
運用・保守性通常運用、保守運用、障害時運用、運用環境、サポート体制、その他の運用管理方針システムの運用と保守のサービスに関する要求
移行性移行時期、移行方式、移行対象(機器)、移行対象(データ)、移行計画現行システム資産の移行に関する要求
セキュリティ前提条件・制約条件、セキュリティリスク分析、セキュリティ診断、セキュリティリスク管理、アクセス・利用制限、データの秘匿、不正追跡・監視、ネットワーク対策、マルウェア対策、Web対策、セキュリティインシデント対応/復旧情報システムの安全性の確保に関する要求
システム環境・
エコロジー
システム制約/前提条件、システム特性、適合規格、機材設置環境条件、環境マネージメントシステムの設置環境やエコロジーに関する要求

非機能要件定義として挙げた例は、情報処理推進機構(IPA)が公開している「非機能要求グレード2018」から抜粋したものです。ラックのシステムセキュリティデザインサービスでは、このうちセキュリティに関わる範囲をセキュリティ要件として整理しています。

セキュリティ要件の作成においては、開発アプリケーションの特性に応じて、次表のような業界標準や、監督官庁の提示している基準やガイドラインを参考にする必要もあります。

適用例要求仕様刊行特徴
金融業界向け金融機関等コンピュータシステムの安全対策基準・解説書 第9版​金融情報システムセンター​(FISC)金融業界向け対策基準で、主に銀行が広く利用される対策基準
金融分野における個人情報保護に関するガイドライン金融庁金融業界向け対策基準で、金融業界全般で利用されるガイドライン
Webアプリのセキュリティ対策安全なウェブサイトの作り方情報処理推進機構(IPA)官公庁、公共のシステム構築案件に多く用いられるセキュリティ対策の要求仕様
認証、認可NIST Special Publication 800-63-3: Digital Authentication Guideline米国立標準技術研究所ダイレクトバンキング等でも用いられる、サービス利用ユーザのライフサイクルに関する要求仕様
ネイティブアプリ
(スマホアプリ)
OWASP Mobile Application Security Verification StandardOpenWebApplicationSecurityProjectスマホネイティブアプリ開発時に、多く用いられる要求仕様
アプリケーションのセキュリティ対策OWASP ASVS(アプリケーションセキュリティ検証標準)OpenWebApplicationSecurityProject金銭取引が行われるシステム構築時に、多く用いられる要求仕様
クラウド運用ISO27017日本品質保証機構クラウドの利用/提供に関するセキュリティ要求事項を定めた規格
システム非機能要求事項全般非機能要求グレード2018情報処理推進機構(IPA)機密性、可用性、完全性等の観点でシステムの非機能要求事項を定めたガイドライン
データの秘匿化や暗号化電子政府推奨暗号リストCRYPTREC総務省、及び経済産業省が推奨する暗号技術の評価

参照すべきガイドラインや基準は多岐に渡り、随時更新されていきます。こうしたガイドラインや基準には、具体的な実装方式などは記載されていないこともあるので、ガイドラインや基準を満たす実装方式についても情報収集と判断が必要になります。ラックのセキュリティコンサルティングサービスは、様々な業界のお客様を支援していますので、常に最新の業界動向に応じた要件と、具体的な実装方法を提示することが可能です。

2021/09/15

2021年7月16日~31日 サイバー攻撃のタイムライン / 16-31 July Cyber Attacks Timeline(転載)


16-31 July Cyber Attacks Timeline:

少し休んでから、7月2回目のサイバー攻撃の年表がようやく出ました。休暇期間中は、脅威の状況にも少し変化があったようです。この2週間で収集したイベントは82件で、前の期間に比べてかなり減少しました。

82件のうち21件(25%)がランサムウェアによるもので、直接的または間接的にランサムウェアの影響を受けていますが、特定できない障害が多数発生していることから、実際の件数はもっと多いかもしれません。Kaseyaを襲った事件のような有名な事件は起きていないようですが、発生率は依然としてかなり高いといえます。

この夏は、新たな大規模暗号ハッキングも発生しました。特にTHORChainは2回攻撃を受け、理論上の盗難総額は約1,500万ドル相当になりました(ただし、作者とされる人物が10%の懸賞金を要求したケースもあります)。

サイバー・エスピオナージの分野では、APT29(新しいキャンペーンが発見され、そのインフラは停止されました)、APT31(フランスの組織を標的としています)、Mustang Panda(東南アジアの組織を標的としています)、Tortoiseshell(防衛および航空宇宙産業に従事する従業員および請負業者を標的としています)などの旧知の企業による新しいキャンペーンに加え、Praying Mantis、GhostEmperor、Ekipa(ロシア人および親ロシア派の個人を標的としたクリミア発の新しいキャンペーン)などの新しい脅威アクターも登場し、非常に混雑した状態が続いています。


【LINK URL】

JNSAのインシデント損害額調査レポート(転載)


JNSAのインシデント損害額調査レポート 

JNSA(特定非営利活動法人日本ネットワークセキュリティ協会)からインシデント発生時にかかるコスト調査のレポートが出ていました。

国内外のセキュリティベンダーを中心に、サイバー攻撃損害コストの調査データはいくつも出ていますが、関係者アンケート回答からの”雰囲気”集計した様にも思えるモノも多い気がします。

そんな中、このレポートはインシデントで実際に発生する可能性がある損害コストが、見落としがちな部分も含めて書かれているので、例えばサイバー保険加入の稟議資料(費用対効果)を作成する場合や、インシデントレスポンスプランを策定(改訂)する際に役立つのではないかと思います。

費用が想像しにくいフォレンジック調査費用も書かれており、業者によってばらつきはあるものの、といったイメージが付きやすいのではないでしょうか。


(個人情報漏えい対象者等への)おわび状の費用や、新聞掲載の費用などが掲載されています。事業内容やインシデントの規模によって費用が変わるものの、「最大リスク」を試算する上で、参考値となるかと思います。


 サイバー保険やセキュリティ対策費用(あるいは情報システム部門の増員)の妥当性を検討する上で、こうした費用試算をしておく事は、経営陣への説明という意味でも有効かと思います。

JNSAが出したレポートという事でも客観性が出てくるかと思いますので、こうした業務に携わる方は、レポートを一読される事を強くお勧めします。

DarkWebの調査費用が意外と高いと感じましたが、DarkWeb接続に(やや)専門的な知識が必要で、調査すべき対象サイトの把握が難しい(どこに出てくるか分からない)点、そして継続調査や、サンプルデータの購入費用などを考えると仕方が無いのかも知れません。

2021/09/14

SeatSpy社がスクリーン・スクレイピングの被害者であると主張 - 非常に斬新な証拠を入手 / SeatSpy claims it is the victim of screen scraping(転載)


SeatSpy claims it is the victim of screen scraping – and has very novel evidence:

普段は穏やかな航空会社の特典航空券提供ツールの世界で、興味深いスパイ活動の主張がなされている。

SeatSpyは、ブリティッシュ・エアウェイズやヴァージン・アトランティック航空の特典航空券を探している人にとって、とても便利なウェブサイトです。ワンクリックで1年間のあらゆるルートの空席状況を確認することができます。さらに、Eメールアラートを設定することで、ご希望のルートに空席が出た場合に連絡を受けることができます。

ブリティッシュ・エアウェイズのAviosの空席状況を追跡するのは、必要以上に複雑です。ほとんどの航空会社は、特典用の座席を特定の「チケットバケット」に分類し、AmadeusまたはSabreにアクセスできる人なら誰でも見ることができます。Aviosはこのような仕組みではないため、空席状況を簡単に確認する方法はありません。

BAが自社用に作成したフィードを介して、このデータにアクセスすることが可能でした。これにより、2017年には「Reward Flight Finder」が、2019年には「SeatSpy」が発売されました。

ある時点で、ブリティッシュ・エアウェイズはこのデータへの第三者のアクセスをブロックすることを決定しました。これにより、SeatSpyとReward Flight Finderの両方に深刻な問題が発生しました。

SeatSpy社はこの問題を解決し、現在は少なくとも1時間に1回はデータが更新されているとしています。

先日、SeatSpyは、自社のデータがスクリーン・スクレイピングされていると主張するブログ記事をウェブサイトに掲載しました。この記事では、第三者に代わって自動検索を実行している偽のSeatSpyアカウントが「数百」見つかったとしています。

興味深いのは、SeatSpyがどのようにしてその証拠を見つけたかだ。

これは、BA Southampton - Nice間のビジネスクラスの「リアル」リワードデータを削除したもので、このルートはSeatSpyユーザーが積極的に追跡していないルートでした。

SeatSpyは、そのデータを偽のデータに置き換え、特定の日付に偽の座席を表示しました。

これは、しばらくしてReward Flight Finderのサイトに掲載されたものです。


残念ながら、このデータはReward Flight Finderから削除されていますが、私はそこで見たことを確認しています。

2021/09/13

婚姻届製作所からのカード情報漏えい(転載)~想定損害賠償額は3,000万円程度か?~


【限定記事】婚姻届製作所からのカード情報漏えい:


デザイン婚姻届のECサイト「婚姻届製作所」を運営するユナイテッド(山形県米沢市)は9月7日、同サイトが不正アクセスを受け、利用者のクレジットカード情報1131件が流出した可能性があると発表した。システムの脆弱性を突かれ、顧客がWebブラウザで入力した決済情報を不正ファイルに転送するよう改ざんされたのが原因。同社内でカード情報は保持していないという。

流出した可能性があるのは、2020年12月13日から2021年3月21日に同サイトを利用した顧客1131人分のクレジットカード番号、カード名義人名、有効期限、セキュリティコード。対象の顧客には連絡済みで、クレジットカード会社と連携して不正取引を防止するとしているが、一部のカード情報はすでに不正利用された可能性もあるという。

4月2日に、カード会社から情報流出の懸念があると指摘を受けたことで事態が発覚。同日中にカード決済機能を停止した。公表が遅れた理由は「不確定な情報の公開はいたずらに混乱を招き、お客さまへのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠」と判断したためという。

再発防止策としてセキュリティ対策と監視体制を強化するという。改修後のECサイトの再開日は未定。

今、注目すべき次世代のセキュリティ対策(転載)~EDRとEPP(NGEPP)はプロダクト的に一本化されないのだろうか?~


 今、注目すべき次世代のセキュリティ対策――XDRとEDRの違いとは?

EDR(Endpoint Detection and Response)

年々、高度化・巧妙化が進むサイバー攻撃に対して、クライアント(エンドポイント)の防御を目指すソリューションが大きな転機を迎えている。ウイルス対策ソフトに代表される、ウイルスなどのマルウェアを検出して「侵入を未然に防ぐ」ことを基本思想とするソリューションだけでは、新たな脆弱性が公表される前に攻撃を仕掛けるゼロデイ攻撃などに対抗しきれなくなってきている。

従来の対策に加えて進化型エンドポイントセキュリティとして普及が進んでいるのが、EDR(Endpoint Detection and Response)である。EDRはシステムに侵入されることを前提に、その後の対応・復旧を中心にサポートすることが特徴だ。EDRはエンドポイントでマルウェアによる不審な動きがないかどうか常時監視を行い、ログを取得する。ログデータはサーバー上に集められ、まとめて分析処理が行われる。ここで疑わしい挙動の痕跡が検出されると、すぐに管理者に通知し、対象物を速やかに隔離する。

EDRはサイバー攻撃によってマルウェアに侵入された場合でも、その存在をいち早く検知・隔離することで、事後対応を効率的かつ迅速に行えるものだ。すなわち、被害の最小化を目指すソリューションであり、侵入されることを前提としている点で、従来のウイルス対策ソフトよりも一歩進んだ対策と言えるだろう。

NGEPP(Next Generation Endpoint Protection Platform)

エンドポイントの新しいセキュリティ手法として、EDRの他にNGEPP(Next Generation Endpoint Protection Platform)と呼ばれる製品も登場しており、注目されている。常時監視でマルウェアの早期検知・対応・復旧を可能にするEDRに対し、NGEPPは従来のウイルス対策ソフトのようなEPP(Endpoint Protection Platform)製品と同様に、侵入を防ぐことに特化しているセキュリティソリューションである。NGEPPを日本語訳すると「次世代型エンドポイントセキュリティ」となり、「振る舞い検知」や「機械学習」などの比較的新しいテクノロジーを採用していることが特徴だ。

振る舞い検知は、従来の定義ファイルとのパターンマッチングによる検知ではなく、プログラムの動作を監視し、怪しげな振る舞いをしたプログラムをマルウェアとして隔離する。機械学習では、既知のマルウェアのパターンを学習し、類似度を分析することで、マルウェアの可能性が高いプログラムを検出する。こうした技術により、ゼロデイ攻撃などの従来型エンドポイントセキュリティでは対処しにくい攻撃から、システムを守ることができるのだ。

サイバー攻撃が高度化している中、従来のEPP製品では防御しきれない攻撃に対しても、NGEPPは効力を発揮できる場合がある。また、EDRとNGEPPでは、着目しているポイントが異なるため、より堅固なセキュリティを実現するために、EDRとNGEPPを併せて導入する動きも広がっている。

NDR(Network Detection and Response)

先述のようなセキュリティソリューション進化の潮流で出てきたのが、NDRやXDRといった新しいセキュリティソリューションだ。NDR(Network Detection and Response)は、社内のネットワークを流れるトラフィックを包括的に監視することで、既知・未知のリスクにリアルタイムで対応するという次世代型のセキュリティ概念をもとにしている。

NDRは主に、専用のハードウェアをネットワークに組み込むことで導入が可能であり、ネットワーク全体を常時監視して異常を検知するため、リスクへの対応が迅速化できる。その結果、ネットワークが不正な侵入を受けた場合でも、セキュリティ被害を最小限に抑制できる。また、NDRでは内部の従業員からの意図的なリークなども検出するため、内部不正を未然に防げる可能性も高まる。

XDR(Extended Detection and Response)

最近では、先述のEDRやNDRに加えてXDR(Extended Detection and Response)と呼ばれるソリューションも登場している。XDRとはすなわち、EDRやNDRといった検知・対応タイプのセキュリティ手法を発展させたものである。XDRの「X」は「Cross(横断した)」あるいは「Extended(拡張した)」という意味を指すとの解釈が一般的であり、EDRのようにエンドポイント対象、NDRのようにネットワーク対象と限定するのではなく、複数の領域のセキュリティソリューションを統合して集中管理することで企業全体のリスクを監視、可視化する。単独のセキュリティソリューションでは検知が難しい、高度なサイバー攻撃をも可視化することで、防御や対策を可能にしている。

XDRという新たなセキュリティ手法が生み出された背景には、企業に対するサイバー攻撃の激化・高度化がある。さまざまな手法の攻撃に対処するために、セキュリティ対策のための製品・サービスも進化したことで関連するアラートも増加し、それらの事象を正確に把握することが難しくなってきている。さらに、慢性的なセキュリティ人材の不足なども重なり、セキュリティ担当者の負担が増大し、疲弊している状況が垣間見れる。

XDRでは、企業や組織全体に影響を与えるリスクの要素を正確に把握するために、エンドポイント、ネットワーク、クラウドなど全体で収集したデータを統合管理・分析し、セキュリティアラートの最適化を実現する。その結果、アラートのノイズをフィルタリングでき、ひいてはセキュリティ運用にかかる時間、人的リソースの削減につながることが期待できるのだ。このように、高度化したサイバー攻撃への効率的な対処を可能にするセキュリティ手法がXDRである。

2021/09/12

ファンダメンタル1やるだけでも、基本的なこと、理解できるのでお勧めですよー(転載)


@NSTJ14 無料のコース、ファンダメンタル1やるだけでも、基本的なこと、理解できるのでお勧めですよー。そのほかもいろいろフリーであるのでお勧めです!ここから難しいことやっていけばいいのでは? education.splunk.com/catalog: 無料のコース、ファンダメンタル1やるだけでも、基本的なこと、理解できるのでお勧めですよー。そのほかもいろいろフリーであるのでお勧めです!ここから難しいことやっていけばいいのでは?
education.splunk.com/catalog

コース概要

この無料コースでは、Splunk での検索とナビゲート、フィールドの使用、データからの統計情報の取得、レポート、ダッシュボード、ルックアップ、アラートの作成方法を学びます。シナリオベースの例やハンズオン形式の課題により、堅牢な検索、レポート、チャートを作成できるようになります。また、Splunk のデータセット機能や Pivot インターフェースについても紹介します。このコースのラボワークでは、ローカルシステムまたはサーバーにSplunk Enterpriseをダウンロードしてインストールする必要があります。

時間

4時間

2021/09/11

CISAのランサムウェア対策のガイドライン / Protecting Sensitive and Personal Information from Ransomware-Caused Data Breaches (転載)



OVERVIEW

ここ数年、CISA(Cybersecurity and Infrastructure SecurityAgency)とそのパートナーは、かなりの数のランサムウェア事件に対応してきました。最近では、米国のパイプライン会社と米国のソフトウェア会社に対する攻撃があり、マネージドサービスプロバイダー(MSP)とその下流の顧客に影響を与えました。

ランサムウェアは、デバイス上のファイルを暗号化し、ファイルやファイルに依存するシステムを使用不能にするよう設計されたマルウェアです。従来、悪意のある者は、復号化と引き換えに身代金を要求していました。しかし、悪意のある者は、時間の経過とともに、ランサムウェアの戦術をより破壊的でインパクトのあるものに変えてきました。悪意のあるアクターは、身代金を支払わないと、データを流出させ、機密情報や個人情報を含むデータを売却または漏洩すると脅すケースが増えています。このようなデータ侵害は、被害を受けた企業に金銭的な損失をもたらし、顧客の信頼を損ないます。

すべての組織は、ランサムウェアの被害に遭う可能性があり、システムに保存されている機密情報や個人情報を保護する責任があります。このファクトシートは、重要インフラ組織を含むすべての政府機関および民間企業を対象に、ランサムウェアによるデータ漏えいの防止と対応に関する情報を提供します。CISAは、組織が意識を高め、以下の推奨事項を実施することを推奨します。以下の推奨事項を実施することを推奨します。

PREVENTING RANSOMWARE ATTACKS

1.データのオフラインでの暗号化されたバックアップを維持し、定期的にバックアップをテストすること。バックアップの手順は定期的に行う必要があります。多くのランサムウェアの亜種は、アクセス可能なバックアップを見つけて削除または暗号化しようとするため、バックアップをオフラインで維持することが重要です。

2.基本的なサイバー・インシデント対応計画、回復力計画、および関連する通信計画を作成、維持、および実施する。

  • サイバー・インシデント対応計画には、ランサムウェアのインシデントに対する対応と通知の手順を含める必要があります。サイバーインシデント対応計画の作成に関する詳細は、「CISA and Multi-State Information and Sharing Center (MS-ISAC) Joint Ransomware Guide」を参照してください。

  • レジリエンス計画では、重要な機能へのアクセスや制御ができなくなった場合に、どのように運用するかを規定する必要があります。CISAは、組織が運用の回復力とサイバーセキュリティの実践を評価するために、技術的ではない無料のサイバー回復力評価を提供しています。
3.インターネット上の脆弱性や設定ミスを緩和し、アクターがこの攻撃対象を悪用するリスクを低減する。

a.リモート・デスクトップ・プロトコル(RDP)やその他のリモート・デスクトップ・サービスの使用に関するベストプラクティスを採用すること。脅威となる人物は、露出した安全性の低いリモートサービスを通じてネットワークに最初にアクセスし、その後ランサムウェアを拡散させることがよくあります。

i.RDPを使用しているシステムのネットワーク監査、未使用のRDPポートの閉鎖、指定回数の試行後のアカウントロックアウトの実施、多要素認証(MFA)の適用、RDPのログイン試行のログ取得。

b.定期的に脆弱性スキャンを実施し、特にインターネットに接続する機器の脆弱性を特定して対処する。CISAは、重要インフラ組織がランサムウェアなどのサイバー脅威にさらされている状況を評価、特定、軽減するために、脆弱性スキャンを含むさまざまなサイバー衛生サービスを無料で提供しています。これらのサービスを利用することで、組織の規模を問わず、リスクを低減し、攻撃のベクトルを緩和する方法についての提案を受けることができます。

c.オペレーティングシステム、アプリケーション、ファームウェアなどのソフトウェアをタイムリーに更新する。インターネットに面したサーバや、ウェブブラウザ、ブラウザ・プラグイン、ドキュメント・リーダーなど、インターネット上のデータを処理するソフトウェアに存在する重要な脆弱性や脆弱性に対して、タイムリーにパッチを当てることを優先してください。迅速なパッチ適用が不可能な場合は、ベンダーが提供する緩和策を実施する。

d.デバイスが適切に設定され、セキュリティ機能が有効になっていることを確認する。例えば、ビジネス目的で使用されていないポートやプロトコルを無効にする。

e.SMB(Server Message Block)プロトコルのインバウンドおよびアウトバウンドを無効化またはブロックし、SMBの古いバージョンを削除または無効化する。

4.フィッシングメールがエンドユーザーに到達するリスクを以下の方法で低減します。

a.強力なスパムフィルターを実現

b.不審な活動(例:フィッシング)やインシデントを特定して報告する方法に関するガイダンスを含む、サイバーセキュリティのユーザ意識向上およびトレーニングプログラムを実施すること。CISAは、ユーザー意識向上トレーニングの効果をサポートし、測定するために、組織向けに無料のPhishing Campaign Assessmentを提供しています。 

5.以下の方法で、優れたサイバー・ハイジーンを実践してください。

a.アンチウイルス、アンチマルウェアのソフトウェアとシグネチャが最新であることを確認する。

b.アプリケーションのallowlistingを実装する。

c.アカウント使用ポリシー、ユーザーアカウント制御、および特権アカウント管理により、ユーザーおよび特権アカウントが確実に制限されていること。 

d.可能な限りすべてのサービスにMFAを採用し、特にウェブメール、仮想プライベートネットワーク(VPN)、重要なシステムにアクセスするアカウントにMFAを採用する。

e.CISAの「Cyber Essentials」や「CISA-MS-ISAC Joint Ransomware Guide」からサイバーセキュリティのベストプラクティスを導入する。 

PROTECTING SENSITIVE AND PERSONAL INFORMATION

顧客や従業員の機密情報や個人情報を保管している組織は、悪意のあるサイバーアクターによるアクセスや流出から情報を保護する責任があります。CISAは、組織に対して以下を推奨しています。

1.システムにどのような個人情報や機密情報が保存されているか、誰がその情報にアクセスできるかを把握する。事業運営に必要な情報のみを保存することで、データを制限する。不要になったデータは、確実に適切に廃棄する。

2.米連邦取引委員会(FTC)の物理的セキュリティのベストプラクティスを導入する。「Protecting Personal Information: A Guide For Business」および「FTC: Cybersecurity for Small Business

3.サイバーセキュリティのベスト・プラクティスを以下のように実施する。

a.機密性の高い個人情報が保存されているコンピューターまたはサーバーを特定すること。注:業務上不可欠な場合を除き、インターネットに面したシステムやラップトップに機密データや個人データを保存しない。ラップトップに機密データが含まれている場合は、暗号化し、デバイスの適切な物理的セキュリティについて従業員を教育する。

b.静止画や転送中の機密情報を暗号化する。

c.ファイアウォールを導入し、悪意のある、あるいは不要なネットワークトラフィックからネットワークやシステムを保護する。

d.機密情報や個人情報を保管するシステムをさらに保護するために、ネットワークセグメンテーションの適用を検討している。  

 4.サイバー・インシデント対応および通信計画に、データ侵害インシデントに対する対応および通知手順が含まれていることを確認する。通知手順が適用される州法に準拠していることを確認する。(各州のデータ漏洩通知法については、National Conference of State Legislatures, Security Breach Notification Lawsを参照してください。各州のデータ漏洩通知法に関する情報は、「National Conference of State Legislatures: Security Breach Notification Laws」を参照してください)。 

RESPONDING TO RANSOMWARE-CAUSED DATA BREACHES

万が一、組織がランサムウェアの被害に遭い、それに伴うデータ漏洩が発生した場合、CISAはサイバーインシデント対応計画を実施し、以下の行動をとることを強く推奨します。

1.以下のチェックリストを使用して、最初の3つのステップを順に進めていくことで、ネットワーク運用の安全性を確保し、さらなるデータ損失を防ぐことができます。注:CISAでは、このチェックリストをランサムウェアに特化した附属書として、サイバーインシデント対応計画に含めることを推奨しています。ランサムウェア対応の完全なチェックリストについては、「CISA-MS-ISAC Joint Ransomware Guide」を参照してください。

a.どのシステムが影響を受けたかを判断し、直ちに隔離します。複数のシステムに影響があると思われる場合は、スイッチレベルでネットワークをオフラインにします。ネットワークを一時的にオフラインにすることがすぐにできない場合は、ネットワーク(イーサネットなど)のケーブルを探し、感染した機器をネットワークから外すか、Wi-Fiから外すことで感染を食い止めます。

b.影響を受けたデバイスをネットワークから削除できない場合や、ネットワークを一時的にシャットダウンできない場合に限り、ランサムウェアの感染がさらに広がるのを防ぐために、感染したデバイスの電源を落とします。注意:この手順は、揮発性メモリに保存されている感染成果物や潜在的な証拠が失われる可能性があるため、必要な場合にのみ実行してください。 

c.影響を受けたシステムをトリアージして復旧・回復させる。重要度に応じて優先順位をつける。

d.チームと相談して、予備的な分析に基づいて、何が起こったのかを最初に理解し、文書化します。 

e.社内外のチームや利害関係者を巻き込み、インシデントの緩和、対応、回復に向けてどのような支援ができるかを伝える。データ漏洩の経験を持つ、信頼できる第三者のインシデント対応プロバイダーに支援を依頼することを強く検討する。

2.初期の緩和策がないと判断された場合は、影響を受けたデバイスのサンプルのシステムイメージとメモリキャプチャを行います。さらに、関連するログや、「前兆」となるマルウェアのバイナリのサンプル、関連する観測値や侵害の指標を収集します。注:フォレンジックの証拠を破壊してはいけません。また、紛失や改ざんを防ぐために、揮発性の高い証拠や保存期間が限定されている証拠の保存には注意が必要です。

3.サイバーインシデント対応計画に記載されている通知要件に従う。

他の企業に代わって保管されている個人情報が盗まれた場合は、これらの企業に侵害の事実を通知します。

個人を特定できる情報が侵害された場合は、被害を受けた個人に通知して、自分の情報が悪用される可能性を減らすための手段を講じられるようにします。漏洩した情報の種類、推奨される行動、関連する連絡先を伝える。

電子的な健康情報が侵害された場合は、FTCや米国保健社会福祉省、場合によってはメディアへの通知が必要になることもあります。詳細は、Federal Trade Commission's Health Breach Notification RuleおよびU.S. Department of Health and Human Services.Breach Notification Ruleを参照してください。

2021/09/10

新型ウィキリークス!? / "post-WikiLeaks era" suggests "what, JTM, era?" Or, "DDoSecrets" "Distributed Denial of Secrets" era which cannot be tweeted but leaked is ok? Weird dookie.


"post-WikiLeaks era" suggests "what, JTM, era?" Or, "DDoSecrets" "Distributed Denial of Secrets" era which cannot be tweeted but leaked is ok? Weird dookie.:

nitter.bcow.xyz/NatSecGeek/status/1427955665268613124#m

The New WikiLeaks

フレディ・マルティネスは、ドナルド・トランプに対する弾劾手続きの最新状況をツイッターで追跡していたとき、CNNの放送のスクリーンショットを見て、奇妙な印象を受けた。彼のフィードには、議事堂の暴徒のひとりが撮影した手ぶれのある電話の映像が映っていたのだ。CNNはこの映像を、マルティネスが出会ったばかりの人物の仕業としている。比較的無名のハクティビストであるドンクエンビーが、右派のソーシャルネットワークであるパーラーからデータをスクレイピングしたのだ。彼らはそのデータを、マルティネスが顧問を務める「Distributed Denial of Secrets」に提供した。この集団は、32テラバイトにおよぶ暴動時の投稿やビデオのアーカイブを共有可能なアーカイブとして公開し、事実上誰でも利用できるようにした。その中には、報道機関や議会の調査官も含まれ、弾劾公聴会でビデオの一部を流した。

マルティネスにとって、捜査官が何百万人ものアメリカ人のためにビデオを再生するのを見るのは「超現実的」であり、「サイバーパンクの瞬間」とマルティネスは誰かが呼ぶのを聞いた。Distributed Denial of Secrets(DDoSecrets)は、2018年末に設立されて以来、秘密主義の政府、腐敗した企業、強力な法律事務所の悩みの種となっていました。2020年6月、「BlueLeaks」として知られるリリースで、同グループは269ギガバイトの法執行機関のデータを公開し、米国全土の警察の不正行為や監視の行き過ぎを暴露しました。また、DDoSecretsは、海外のタックスシェルターやソーシャルメディアサイト「Gab」、極右勢力がよく利用するキリスト教系クラウドファンディングサイトの証拠となる記録を公開しました。また、ウクライナにおけるロシア政府の計画や、ミャンマー政府のビジネス取引を明らかにするなど、独裁者にも影響を与えています。これらの情報は、世間の関心を引く多くのニュース記事を生み出し、DDoSecretsはジャーナリストにとって貴重な情報源となっているが、同時に標的にもなっている:2020年7月、ドイツ当局は組織のサーバーの1つを押収した。昨年8月には、米国国土安全保障省がDDoSecretsを「犯罪的ハッカー集団」とする公報を出したという不吉なニュースもありました。しかし、2月になると、議会は上院議場でパーラーのビデオについて議論していた。

WikiLeaks後の時代に、ジャーナリスティックな透明性を求める動きの先頭に立つことは、このような矛盾をはらんでいます。米国政府のある部分はグループメンバーの作品を利用し、別の部分は彼らを犯罪者と表現する。

WikiLeaksが2018年12月にデータの公開を停止してから、透明性を追求する組織、ハッカー、内部告発者、リーク者の中でも、DDoSecretsは、その協調的な規律、技術的な洗練性、幅広い情報源のネットワークだけでなく、エゴのなさと透明性への積極的なコミットメントにおいても、際立っています。このような錬金術的な組み合わせは、グループ内での意見の相違や世間からの批判がないことを意味しているわけではありません。実際、グループの知名度の高まりや、公開する情報の限界を超えようとする姿勢は、行く先々で組織を敵に回しているように見えます。

DDoSecretsは、個人情報や機密情報を含むハッキングやリークされた情報の濁った世界で、厄介な問題に取り組まなければなりませんでした。何を公開すべきか?誰を信用できるのか?また、ハイテク企業が政府の調査機関と協力して公的な秘密を守り、調査報道を犯罪化する準備ができている中で、透明性を確保する活動はどのようにして生き残ることができるのか?今もそれを解明し続けている。

超党派であることを公言しているDDoSecretsは、無政府主義的な政治と、禁断の知識に対するハッカーの好奇心、そして抑圧された人々への一般的な共感を融合させたような倫理観を持っています。ラテン語で書かれた「Veritatem cognoscere ruat caelum et pereat mundus」というスローガンは、「天が落ちても、世界が滅びても、真実を知ること」という意味になります。これは、「情報は自由でありたい」という言葉の、より大胆で、より変革的なバージョンと言えるでしょう。

フリーランスのジャーナリストとして国家安全保障を取材し、情報公開法の要求を積極的に提出していたBestは、2018年12月に "The Architect "というペンネームでしか知られていない人物と一緒にDDoSecretsを立ち上げました。彼らは、ジュリアン・アサンジのエゴのための手段に変化したと感じていたWikiLeaksと、自分たちのグループを区別することを目指しました。

2018年7月、BestはWikiLeaksの11,000以上の内部メッセージを公開しました。このメッセージには、グループがどのように運営されているかが、下品な行動とともに示されていました。Bestはそれ以来、WikiLeaksが透明性に欠けていること、陰謀論を支持していること、主要なリリースの前後に論説を展開する傾向があることなどを批判している。Bestは、"彼らの情報源やデータさえも欺いている "と表現しました。

WikiLeaksがアサンジというカルト的な人物を中心に反帝国主義的な神秘性を醸成していたのに対し、DDoSecretsはもっと地味なものを公言している。それは、ジャーナリストや関心のある市民に有用な情報を提供するという純粋なコミットメントである。DDoSecretsのウェブサイトによると、データは2つの基準を満たさなければならないとされている。それは、「公共の利益になるか」と「その内容の真実性を一応証明できるか」というものだ。このテストに合格し、現在約10名のメンバーに加え、諮問委員会やボランティアの貢献者が集まり、情報源を保護できると判断した場合、アーカイブを公開します。簡単にダウンロードできるtorrentとして公開することもあれば、少しアクセスしにくいオニオンサイトから公開することもあります。多くのアーカイブは広く公開されているが、中には非公開で、ジャーナリストの要求があった場合にのみ提供されるものもある。また、内容を公開せずに受け取ったデータを記事にするケースもある。

DDoSecretsの活動は、最高の状態で、公式の透明性の限界を明らかにしています。公認された政府のリーク情報や、段階的に行われるビートレポート、何ページにもわたって無駄な編集が行われる情報公開請求などです。このことは、BlueLeaksほど顕著ではありません。「訂正されていないハッキングされた文書を読むと、公開記録担当者から得られる選択情報とはまったく異なる印象が得られます」と、現代の監視国家について書かれた『Pacifying the Homeland』の著者、ブレンダン・マクウェイド氏は言います。ブレンダン・マクウェイドは、BlueLeaksの情報をもとに、警察の不正行為を暴く記事を書き、メイン州情報分析センター(MIAC)に対する連邦内部告発訴訟に注目を集めました。その後、メイン州議会はこのサイトの閉鎖を決議しました(ただし、この法案は上院を通過しませんでした)。マクウェイドやDDoSecretsのメンバーにとって、ハッキングされたデータは、公式のチャンネルでは得られない、真実と説明責任の可能性を提供してくれます。

DDoSecretsは、数年前に不倫相手との出会い系サイト「Ashley Madison」からハッキングしたアーカイブを公開し、撤回したことで批判を浴びましたが、この経験から学んだとしています。BlueLeaksのアーカイブには、約70万人の法執行官の電子メールや自宅の住所などの個人情報も含まれていた(ただし、このデータダンプからは何も生まれていないようだ)。DDoSecretsは、自分たちが法律に違反したり、ハッキングされた情報を求めたりすることはないと断言している。しかし、DDoSecretsのメンバーはハクティビストのアンダーグラウンドに紛れ込んでおり、そこには潜在的な犯罪行為に従事している人々も含まれている。多くのジャーナリズム団体と同様に、この団体もハッキングされた素材や盗まれた素材を公開していますが、これは長年にわたって、報道の自由のために法的に保護されてきた行為です。最近では、ジャーナリストは、内部告発者やリーク者の告発から逃れるために、スパイのように振る舞わなければならないことが多いのです。DDoSecretsの活動に不正のにおいがするとすれば、それは公的な秘密主義、大量の監視、訴追の脅威、そして検閲当局へのビッグテックの協力が、ジャーナリストとリークデータのパブリッシャーの活動能力を同様に妨げているからだ。

フレディ・マルティネスは、DDoSecretsを生み出した民主的な説明責任のシステムの崩壊をなんとか修復できないかと考えました。「私たちは無用の長物になるかもしれませんが、それもいいかもしれませんね。今のところ、このグループは少額の寄付を募っています。また、ハーバード大学の定量的社会科学研究所と提携し、連邦捜査の主な標的とされているジャーナリスト、Best氏のための弁護基金を設立しました。

Best氏は、米国当局の要請を受けたスイスの司法当局が、巨大な商用監視カメラネットワークのセキュリティ脆弱性をジャーナリストに警告したハッカー、ティリー・コトマンを逮捕した後、「真実は影響力を持つ」と書きました。「世界はもはや、ハッカーやリークティビストを排除することはできない。人々が喜んでいる限り、そうはならない」。

2021/09/09

米Miles日本上陸へ 徒歩でも電車でも“マイル”がたまる(転載)~貯まった”マイル”が航空会社のマイレージに変換できるかが個人的なポイント~


飛行機だけではなく、徒歩や自転車、自動車、電車などの移動手段を自動判別し、“マイル”を付与するアプリ「Miles(マイルズ)」。運営する米コネクトIQラボは2021年8月、海外初進出となる日本でティザーサイトをオープンした。

18年から米国で展開されている「Miles(マイルズ)」アプリは、100万人以上の登録ユーザーを獲得してきた。“マイル”と交換する特典(リワード)を提供するパートナー企業は、ウォルマートやスターバックス、アマゾン・ドット・コム、フードデリバリーのドアダッシュなど、実に200以上の有名ブランドがそろう。

これまでMilesのユーザーは累計40億マイル(約64億キロメートル)を移動し、120億マイルを獲得。そのうち35億マイルが700万件以上のリワードと交換された。「ユーザーは5000万ドル(約55億円)以上の節約に役立っており、リワードを提供するパートナー企業には2億ドル(約220億円)以上の収益をもたらしている」という。こうしたユーザーの移動を軸として巨大な経済効果を生む有力プラットフォームが、ついに本格上陸する。

Milesのユーザーメリットは実に明快だ。スマホにアプリをダウンロードし、常時GPSの取得を許可する設定にしておけば、ユーザーの移動手段をAI(人工知能)が自動で判別し、それぞれに応じた“マイル”が勝手にたまっていく。マイルが一定数たまると、映画やレンタカーの割引チケット、コーヒーショップの無料チケット、ネット通販のギフトカードなど、用意されたリワードへの交換が可能となる。

on 9月 09, 2021 by B-SON |  

2021/09/08

WAFとは何か(転載)


 WAF(Web Application Firewall)とは、その名の通りサイバー攻撃からWebサイトを防御するセキュリティソフトウェアの一種だ。ただ、他のセキュリティ対策であるファイアウォールやIPS/IDS(不正侵入検知・防御システム)と混同しやすく、わかりにくい面もある。本稿では、WAFで防御できるサイバー攻撃の種類やWAFの種類について解説する。

WAFとは何か

WAF(Web Application Firewall)とは、Webアプリケーションの脆弱性を狙ったサイバー攻撃からWebサイトを防御する有効なセキュリティ対策の一つ。ネットワークからWebサイトへ送られてくる通信を解析、「攻撃」と判断した場合はその通信を遮断する。Webサイトの中でも、ユーザーからの入力を受け付けたり、リクエストに応じて動的にページを生成したりするサイトの保護に適した対策方法として知られる。

Webアプリケーションの脆弱性は、サイバー攻撃を受けやすい。Webアプリケーションの開発時に脆弱性対策を行い、脆弱性診断も実施して問題部分の洗い出しと対策を確実に行うことで、サイバー攻撃を防御できる。しかし、Webアプリケーションを支えるミドルウェア(ApacheやStrutsなど)に脆弱性が発見された場合や、何らかの事情ですぐに脆弱性対策を行えないWebアプリケーションがある場合など、脆弱性を突かれる「スキ」は100%防げるとは言い切れない。ECサイトなどのようにユーザーからの入力を受け付けるWebサイトを運営する場合、WAFは有効なセキュリティ対策の1つである。

ファイアウォールやIPS/IDSとの違い

ファイアウォールは、ネットワーク層でのセキュリティ対策だ。送信元のIPアドレスやポート番号などを確認して不正な通信を遮断する。しかし、正常なポート番号を通過した通信の内容までは確認しない。

一方、IPS/IDSは、プラットフォームレベルのサイバー攻撃に対応するセキュリティ対策だ。OSやミドルウェアの脆弱性を悪用した攻撃やファイル共有サービスへの攻撃などはIPS/IDSの対応範囲である。

そしてWAFは、ネットワーク層やプラットフォームレベルのセキュリティ対策をくぐり抜け、アプリケーション層にまで達したサイバー攻撃に対処。Webアプリケーションの通信内容をチェックして、整合性の取れたデータが送信されているかどうかチェックする。

このように、ファイアウォール・IPS/IDS・WAFはそれぞれに守備範囲が異なる。攻撃の種類が多様化・巧妙化する昨今、セキュリティを高めるためには多層防御が求められることから、それぞれの対策を組み合わせる必要がある。

WAFの導入メリット4点

1.Webアプリケーションへの攻撃を防御できる

Webサイトは、常に外部に公開されているためサイバー攻撃にさらされやすい。ECサイトやインターネットバンキングなど、特にお金に絡むWebサイトは、常に攻撃の危険が付きまとう。

Webアプリケーションの脆弱性に対する攻撃を防御するセキュリティ製品は、WAFが適している。ファイアウォールやIDS/IPSなど他のセキュリティ対策では防御できない部分をガードできる点は、WAFを導入する最大のメリットだ。

2.脆弱性の修正が困難な場合の暫定対策

Webアプリケーションの脆弱性と対策方法は、そもそも開発時に脆弱性対策を行うことがもっとも重要である。しかし、脆弱性が残ってしまう場合は、脆弱性発見後に修正モジュールを組み入れるなどして対応する。しかし、状況によっては、Webアプリケーションの脆弱性をすぐに修正できない場合もある。そのような場合の暫定対策としてもWAFは利用可能だ。

「自社のWebサイトは、常に脆弱性対策をしているから大丈夫」と思っていても、油断はできない。現在は脆弱性がなくても、ミドルウェアに未知の脆弱性が見つかるリスクをゼロにすることは難しい。発見されたミドルウェアの脆弱性はすぐに拡散され、「ゼロデイ攻撃」の標的になり得る。

3.脆弱性対策の均質化による運用負荷の軽減

複数のWebサイトを運営している場合や、複数の会社がWebアプリケーションを開発している場合、各Webサイトで脆弱性対策の品質にばらつきが出る可能性がある。WAFを導入すれば、脆弱性対策にばらつきがあっても、関係なく同じレベルで複数のWebサイトをある程度防御することは可能だ。ただ、WAFでも防御できない脆弱性もあるため、本来はセキュアなWebアプリケーションを開発するための基準や手順を整備し、開発会社による品質のばらつきを防ぐよう留意したい。

4.サイバー攻撃を受けた際の緊急対応にも使える場合がある

サイバー攻撃を受けた場合の緊急対策としてもWAFは役に立つ。サイバー攻撃を受けてから改修が完了するまでWebサイトを停止していると、販売機会の喪失など、さまざまな弊害が起こりかねない。しかし、その脆弱性に対する攻撃がWAFで防げることが確実な場合は、WAFを暫定対策として導入することで、被害の拡大を防ぎ、より早いWebサイト復旧をサポートすることができる。

2021/09/07

DevOpsとMLOps~GitHubもDevOpsを支える支援ツール~


 とあるオンラインセミナーを聞いていて、機械学習からDevOps、更にはMLOpsと話が展開し、DevOpsとMLOpsについていったん整理しておく。

DevOpsとは

開発 (Development) と運用 (Operations) を組み合わせた語。開発手法やツールを使って 開発者(Development)と運用者(Operations)が密接に連携することで、 より柔軟かつスピーディーに システムを開発すること。

開発者と運用者が効率的に連携するためのソフトウェア開発手法・活動・ツールの総称。文化のようなもので、明確な定義はない。

狭義には,システムへの変更をコミットしてから通常の運用に移るまでの時間を短縮することを目的とした一連のプラクティスのこと


DevOpsの有無をまとめたみた、極端な一覧

項目DevOpsのない世界ある世界
バージョン管理フォルダ名にバージョン名や作成日時を記入することでバージョン管理する.
複数人が同じコードを編集することがあり,競合がしばしば発生している.
Gitを使用し,問題がある場合には適切にロールバックする.
明確なブランチ戦略のもとでコミットやプルリクエストが小まめに行われており,競合はほとんど発生しない.
環境構築サービスが依存するアプリケーションはインストール手順書を見ながらサーバー上に直接インストールする.長大な手順書のメンテナンスに工数がかかっている.サービスはコンテナ上で動作する複数のマイクロサービスからなる.プロビジョニングもInfrastructure as Codeで自動化されており,手順書は簡潔.
テスト・ビルド手動でコマンドを実行する.GitプッシュをトリガーとしてCIツールが自動的に実行する.
デプロイデプロイ時はサーバーの一般公開を一旦止めて,本番サーバーでデプロイ・テストを行い,問題なければサーバーを公開する.stagingブランチへのマージと同時にステージング環境へのデプロイが開始され,masterブランチへのマージと同時に自動で本番環境のローリングアップデートが実施される.
チーム体制開発チームと運用チームが独立しており,コードの引き継ぎの機会を除いて連携はほとんどない.どのチームのメンバーもフルサイクルエンジニアとして開発運用両方の知見を有している.
文化運用チームは開発チームの頻繁な仕様変更にうんざりしている.変更が原因の不具合によってサービスが停止するたびに非難の応酬が起きている.自動テストとステージング環境での検証により,本番環境で不具合が発生する頻度は非常に低い.定期的に開かれる成果報告会では互いの成果を発表し,今後の改善点を話し合う.

MLOpsとは

MLOps = ML + DevOps

※ML=Mailing Listではない!

MLOpsとは、「機械学習チーム(Machine Learning)/開発チーム」と「運用チーム(Operations)」がお互いに協調し合うことで、機械学習モデルの実装から運用までのライフサイクルを円滑に進めるための管理体制(機械学習基盤)を築くこと、またはその概念全体を指す。類義語にDevOpsがあるが、まさにそのDevOpsから発展して生まれた考え方である。DevOpsに詳しければ、その機械学習版だと考えるとよい。

 DevOpsの考え方と同様に、機械学習チーム/開発チームは、最終的なソリューションの一機能となる機械学習モデルの作成とデリバリー(もしくはデプロイ)を自動化し、リリースサイクルを早める。運用チームは、刻々と変化するビジネス要求を捉えて、機械学習チームにフィードバックしながら、より付加価値の高いソリューションをエンドユーザーに届ける。これら一連のライフサイクルをシームレスにつなげるための基盤を作成する必要があるということらしい。

MLOpsの有無をまとめたみた、極端な一覧

項目MLOpsのない世界ある世界
データの管理全データは社内のサーバーに保存されており,分析に用いるデータは一度ハードディスクに移して開発チームに郵送する.全データはクラウドに保存されており,分析時には必要なサブセットをSQLで取得する.
ハイパーパラメータチューニングハイパーパラメータやデータの組み合わせを手動で書き換えながら,MLモデルを学習・評価する.実験管理ツールを用いてモデル開発を行う.ハイパーパラメータの探索には数理最適化を使用している.
MLプロセス分析メンバーはパラメータを変更するごとに,jupyter notebookに記述された前処理・学習・評価の一連のMLテストを順番に実行する.MLプロセスは統合・自動化されており,学習・テストのイテレーションは高速に実行される.
デプロイ推論モデルの実装時には,学習に用いるノートブックとrequirements.txtを実装メンバーに渡し,実装メンバーは推論コードを抽出した上で,Flaskなどを用いて推論用web APIサーバーを構成する.推論用web APIサーバーへのデプロイは CI/CD ツールを通じて自動化されており,GCPのAI Platform predictionにより推論エンドポイントを作成するため,メンバーは機械学習モデルの作成に集中することができる.
継続的学習モデル開発には月単位の時間がかかるため,モデルの再トレーニングはほとんど行わない.常に環境の変化に対応するため,定期的に最新のデータを用いて再学習が行われる.
CI/CDモデルの更新はほとんどないため,CI, CDは考慮されない.新しいデータでトレーニングされたモデルは自動的に精度検証・テスト・デプロイ対象となる.
監視モデルのパフォーマンス低下などを検出するためのモニタリングは行わないため,環境のダイナミクスの変化に対して脆弱.ライブデータに基づいてモデルのパフォーマンスに関する統計情報を収集する.パフォーマンスが一定の水準に満たない場合,再学習パイプラインが自動的に実行される.


Posted in  on 9月 07, 2021 by B-SON |  

2021/09/06

友達や仲間が増えると、資本主義的な成功から遠のく(転載)


 友達や仲間が増えると、資本主義的な成功から遠のく

実は友達や仲間がたくさんいる人ほど、成功から遠のくんです。

もしみなさんが、成功したいのであれば、友達や仲間を少なくすることをおすすめします。

お金持ちになりたいなら、友達ゼロでもいい

仲間や友達が多いほうが成功しそう! と思う人も多いかもしれません。

「そもそも成功とは何か?」を最初に定義しておくと、資本主義的な意味での成功です。要するにお金持ちになるということですね。

お金持ちという観点で成功をつかみたければ、友達や仲間はできるだけ少ないほうがいいです。

個人的にはゼロでもいいと思いますが、さすがに社会で生きている以上、ゼロはむずかしいかもしれません。ゼロにできなくても、なるべく少なくする意識が大切です。

なぜかというと、友達や仲間が多ければ多いほど、様々なコストが上がるから。

まずコミュニケーションコストが上がります。LINEがたくさん来たり、週末飲みに行かないかと誘われたり、今度このカフェに朝活しに行かないか、という話になります。

非情に聞こえるかもしれませんが、その時間がもったいないとぼくは思いますね。

2021/09/05

マリオットのポイント購入増量セール(2021年8月12日~2021年9月25日)~ミステリーボーナスなので、増量率は人によって異なる模様~


 Marriott Bonvoy Buy & Gift Points Mystery Bonus September 25, 2021

マリオットのポイント購入セールが開始

マリオットは増量セールと割引セールがあり、今回は増量セール。

増量率はミステリーボーナスの形になっている模様。

自分は5〇%だったが、引用元の記事は45%であった。

過去のセールでの最高増量率は60%だが、今回のセールは増量率としては高い部類に入ると思う。

今回1万ポイント分調達するとした際の費用感は下記となる。


日本円に換算すると↓の感じ


前回はちょうど1万ポイント購入で87.5USDだったのに対し、今回は10,500ポイント購入で同額の87.5USDなので、微妙に得と言えば得かも。。。

ただ、現時点、マイルは溜まる一方で消化の目途が立たないことから、買うにしても、ポイント失効防止の観点で、下限で買う感じになりそう。。。

2021/09/04

私は普段何も分かっていないけど、ずっと笑顔で「うんうん!」ととにかく頷いていたら、15年もなんとか日本語ミーティングを乗り切ってます!(転載)~英語で外人とやり取りするときにかなり重要~


過去イチでしょうもない記事書いた
knqyf263.hatenablog.com/entry/2021/08/…


英語がさっぱり分からない状態のまま日本人が0の会社に入ってあっという間に2年以上経ちました。未だに日本人は自分一人ですし英語もさっぱり分からないのですが、そんな状態でよくやれてるなと最近色々な人から言われたので苦戦する中で身につけたバッドノウハウを書いておきます。バッドノウハウは以下のような定義で使っています。

バッドノウハウとは、本質的には生産性はないものの、問題解決のために必要になってしまうようなノウハウのこと。


つまり、英語力をあげようとかそういう本質的なことは一切言わず小手先なことを書いています。自分でもバッドノウハウと言ってますし「そんな小手先のことやってるから英語力が伸びないんだ」みたいなマジレスをされると死に至るのでやめてください。

冗談半分みたいな内容なのでネタ記事だと思って読んでください。学校や本で教わるような内容ではなく生き抜くための知恵みたいなやつです。参考にはしないでください。

出来ないとか言ってるくせに海外住んでるし何やかんやうまくやれてるんだろうみたいな疑惑をかけられることがあるのですが、「こいつマジだわ」と思ってもらえる内容だと思います。

誤解のないように強調しておきますが、出来なくて良いと言っているわけでは決してないです。急にそういうチャンスが転がってきた時に「今はまだ英語出来ないから今回は見送って次の機会までに勉強しよう」となるともったいないので、飛び込んでみて成長するまで何とか気合いでしがみついていこうという内容です。

前提

英語は全体的に不得意な方ですが、典型的日本人なので読み書きは最低限できます。ただスピーキング・リスニングは壊滅的です。特にリスニングはもう10年以上前になりますがセンター試験ではずっと平均点を切っていました。50点満点で26-28点ぐらい。つまり平均的高校生より出来ないということです。大学進学を目指している周りの人は平気で48-50点をとっている中で、自分は30点の壁が破れない...などと言っていました。もし自分は平均ぐらいはあると思う、という方は少なくとも自分よりは優秀です。

予備校の英語講師には自分の長い講師歴でこんなに模試で低い点数をとった人は初めて見た、と言われました。120点満点中42点で偏差値も同じ42だったのをよく覚えてます。長年有名予備校の講師をやっている人の最低を更新するのは逆に凄いんじゃないか?とも思いましたが、普通に落ち込みました。さすがに一人ぐらい自分より低い人いただろ、と思いましたが偏差値42だったので優秀なクラスを担当している講師だとあり得るかもなという感じです。

そこからTOEICなどは全く受けずに生きてきて、院試でTOEFLを受けさせられたのですが苦手とか言ってた周りの人間より自分が一番低い点数を叩き出しました。他にもTOEIC勉強せずに受けたからやばかったわーとか言って満点近く取ったりするような人間が周りに多かったので、英語関連の試験からはひたすら逃げ続けました。

脱線しましたが、英語本当にできないんだなというのが理解できてもらえたかと思います。読み書きは最低限できるので底辺だとは思っていませんが、海外で働くために必要なスキルは全く持ち合わせていません。

バッドノウハウ

では全く本質的ではない方法について話します。本当はもっとたくさんあるはずなので思い出したら追記します。

質問編

まず前提として質問は多くの場合聞き取れません。そういうときの対策です。

聞き取れなかった時にSorry?と聞き直さない

聞き取れなかった時に"Pardon?"と言うと学校では習いましたが実際には自分は聞いたことがありません。もちろん使われるシーンはあると思うのですが、"Sorry?"と聞き直されることのほうが多いです。あとはある程度関係性がある場合は"What?"と言われたり、"ちょっと分からなかった”とか"もう一度言って"みたいに言われることが多いです。

特に多いのは"Sorry?"だったので、自分も何となく使っていたのですがとある弱点に気付きました。それは、何となくこなれた感じを出してしまうことで相手は同じスピードでもう一度言うということです。日本語だと「え?」と聞き直すときは大抵ちょっと聞き逃したぐらいのノリなのでもう一度言ってもらえれば理解できますが、英語においてはその限りではありません。

つまり同じスピードでもう一度言われても同じぐらい聞き取れないということです。何なら自分は3回ぐらい聞き直しても全く同じように聞き取れないです。日本語で「昨日の夜さー」「え?」と聞き直されて「きーのーうーのーよーるーさー」とゆっくり言い直さないと思います。それと同じで"Sorry?"と聞くと「え?(ごめんちょっと集中してなくて聞き逃してしまった)」ぐらいのニュアンスになっているように感じます。

同じスピードでもう一度言ってもらうのは完全に時間の無駄なので、"もう一度ゆっくり言ってくれない?"とか次で説明するように聞こえたところを繰り返すほうが良いと思います。

日本語で「スミマセン、モウイチドオネガイシマス」と言われたら次はゆっくり言おうと思うはずなので、"モウイチドオネガイシマス"と英語で聞き返すことで「あ、こいつ得意じゃないんだな」と初手で理解してもらいましょう。

聞こえたところまで繰り返す

上の話と関連するのですが、仮に "Do you know XXX?"と聞かれてXXXが聞き取れなかったとします。この時に"Sorry?"と聞くと"Do you know XXX?"と言われて同じことの繰り返しになります。では自分がどうするかと言うと"Do you know...what?"のように聞き取れなかった部分を明確にして返します。そうするとXXXの部分だけ強調して言い直してくれる確率が高いです。ネイティブだと"Do I know...what?"みたいにyouをIにきちんと置き換えたりしてきますが、英語弱者にそんな余裕はないので聞き取れたところをオウム返しでも良いと思ってます。余裕があれば気をつけましょう。

基本的に英語は音が繋がるので文章だと聞き取れないけど単語だと聞き取れることが発生します。つまり聞き取れる確率が少し上がります。そこだけ強調されても分からない時は知らない単語だったり音を間違えて覚えているので、今度は"XXX?"と聞くと言い換えて説明してくれます。それでも分からなければ諦めましょう。

可能性のある質問全てに答える

質問をされた時に何個か単語は聞き取れて何となく聞きたいことの方向性は分かった。しかし可能性が複数あって一つに絞り込めない、という場合は上のように聞き直す方法もありますが、候補が2-3個まで絞れているなら全てに回答してしまうという手があります。クイズの早押しみたいな感覚です。

「2019年に新たにポルトガルで世界遺産に登録された...」ぐらいまで問題が読み上げられたら「ブラガのボン・ジェズス・ド・モンテ聖域」と「マフラの王家の建物」!!と答えてしまうイメージです。クイズでは正解は一つですが会話では複数答えて一つがヒットすればOKです。問題文は実際には「2019年に新たにポルトガルで世界遺産に登録されたもののうちブラガにあるのは?」だったかもしれませんがそこまでは聞き取れなかったので両方カバーしておきます。

ちなみに3パターンぐらい回答しても全て見当違いで"お前は何を言ってるんだ?"状態になることもよくあるので気をつけてください。諸刃の剣です。

Do you mean ~ ? で可能性を潰していく

日本語で「つまり〜ということ?」みたいに聞く時は齟齬がないように最終確認のような意味合いだと思いますが、英語における自分の使い方は違います。全然聞きとれず候補も絞り込めない、しかし何となく単語はいくつか聞こえた、という時に自分の中で仮設を立てて一か八か"Do you mean XXX?"のように聞きます。ほぼ間違っているわけですが稀にヒットすることもあり、そうなればギャンブルに勝利です。仮に間違っていても"No, no, no, YYY~"と間違っている部分を強調して話してくれるので聞き取れる確率が上がります。あとはそれも聞き取れなかったとしても、少なくともXXXの可能性はなくなったわけで、次は "Do you mean ZZZ?" と聞いていくことで次々に可能性を潰していけます。もちろんそうやっていって最後"Yes"の回答が貰えれば理解をより確実に出来るメリットもあります。

これがなぜ必要になるかと言うと、何度も"もう一度言ってくれない?"と聞き返すと気まずくなるからです。もう一度言って?は1,2回が限界なので残機を使い果たしてしまったら上の方法やこちらに切り替えるイメージです。

うかつにYES/NOで答えない

自分は良く分からない時は大体YES!!と答えています。

それを逆手に取られると困るという話をツイートしていますが、実際にはそもそもYES/NOで回答できる質問ではない場合もあります。そういう時にうっかりYES!!と言うと"いやいや..."となるので気をつけましょう。最初に5W1Hがついている場合はYES/NOの質問ではない可能性が高いので、最初の一単語目に注意しましょう。

他人に振ってみる

質問を受けたものの内容が全く聞き取れなかったとします。そういう時の新たな手法として他人に丸投げするというのがあります。"今の質問についてあなたはどう思う?"と全然関係ない人に振ります。そしてその人が回答している間に情報をひろ集めて元の質問を推測していきます。つまり質問者に聞き直すことで情報量を増やすのではなく、他人に転送することで情報量を増やす高等テクニックです。

良い質問ですねぇを使う

これも質問が分からなかった時の話です。"良い質問ですねぇ"と言った上で"今は回答を持ち合わせていない"等と適当なことを言ってお茶を濁します。

何か言いそうな雰囲気を出して時間を稼ぐ

これはもはや質問に答えない方法です。質問も分からないし打つ手なしとなった時に何か言いそうな雰囲気を出してひたすら無言で耐えます。単に無言だと聞こえてる?となりますが、何か言いそうな雰囲気を出すことで待ってもらえます。「しづる池田 インタビュー」で調べると分かりやすい動画が出ると思います。無言で顔芸で頑張ってもいいですし、"well..."とかそれっぽいことを言っても良いです。

このテクニックの何が嬉しいのかというと、自分の他に詳しい人がいたら回答してもらえる可能性があります。つまり"俺が答えるよ"という人が現れるまで時間を稼ぐテクニックです。質問者は自分に聞いたけど他の英語強者が答えてくれるというやつですね。日本語の研究発表で質問が難しすぎて大学の教授に代わりに答えてもらうやつはかなり辛いですが、英語の場合はそもそも質問すら聞き取れてないので潔く諦めましょう。

そしてもう一つ大きいのは、何か言いたそうだけど言わない姿勢を見せることで質問者側も"答えづらいのかな?"と思ってくれます。そして"ちょっと聞き方を変えるね"と言って別の切り口で質問してくれたりします。実際はただ何も聞き取れていないだけなのですが、もう一度相手がボールを持ってくれるのでチャンスが広がります。

発言編

先程までは聞かれるなど受け身の話でしたが、自分から何か発言する場合についてのテクニックを書いておきます。

How are you?を速攻でキメる

"How are you doing?"や"How’s it going?"など何でも良いのですが、ミーティング開始と同時に速攻で挨拶をします。これで無事にミーティング中に一言話すという目的を達成したのでやるべきことの8割は終わりです。

自分は中島 聡さんの「なぜ、あなたの仕事は終わらないのか スピードは最強の武器である」という本が好きなのですが、その中で「ロケットスタート時間術」という仕事術が出てきます。

これは10日で仕上げるタスクであれば、2割に当たる2日間で8割終わらせるつもりで取り掛かるというものです。仕事が終わらない原因の9割を占める「締め切り間際のラストスパート」を防ぐため、最初からスタートダッシュをかけることで時間の見積もりを正確に行います。この2日間で仕事が8割終わっていれば予定通り終わりそうということで残りの8日間は流しつつ2割を仕上げますし、8割終わっていなければスケジュールの変更を早い段階で決断できます。

開幕How are you?も同じです。ミーティング中に一言も話さないと何も仕事をしなかった感じになりますが、少しでも話すだけで何かやった感じがあります。つまり初手にその目的を達してしまうことでミーティングの残りは流せます。自分はこれを「ロケットスタート英語ミーティング術」と読んでいます。

冗談半分で書いてますが、実際最初に何か少し挨拶でも良いから発言しておくことでその後話しやすくなります。ずっと無言だったのに急に発言するのは勇気がいりますし、周りも「あいつ急に話し出したぞ」と驚かずに済みます。

Can you hear me? Can you see my screen? に率先して答える

上で述べたように最初にミーティングにおける仕事の8割を終わらせているため、あとは2割です。そんな時、最近はリモート会議も多いと思うので最適な場面があります。それが"Can you hear me?"と"Can you see my screen?"です。大体1度か2度は聞かれます。その隙さえ見つければこちらのものです。率先して答えることで10割を達成できます。

話す隙があれば少しでも話すということです。そしてミュートのまま話し続けている人がいれば"ミュートになってるよ”と言えばもう勝ち確定です。もはやオーバーワークです。

How are you?にHow are you?で返す

万が一先手を取られて"How are you?"を相手に出されてしまった時の対策です。"I'm fine"とかより"I'm good"とか"I'm doing good"の方が多いわけですが、いつも同じ感じになってしまってそこそこ返しに困ります。そういう時は逆に"Hey! How are you?"とオウム返ししてしまうテクニックが使えます。もちろん"How's it going?"とか"What's up?"とか少し変えても良いです。"What' up?"と聞かれると"Nothing much"などと答えるべきなのかいつも悩むのですが、最近は"What's up?"返しで乗り切っています。

実際上で述べたように初手"How are you?"を出すようになってから、カウンター"How are you?"を食らうことが多いことに気付きました。「いやこっちが先に聞いてるんだけど...」みたいな気持ちになるわけですが、恐らく"Hi"ぐらいの意味しかないのでいちいち"good!"とか答えないのだろうと思います。

どちらが先に"How are you?"を繰り出してどうカウンターするか、というのは一瞬の駆け引きなので自分から攻めるべきか、はたまた相手からの攻撃を待ってカウンターを決めるべきかはよく見極めましょう。

発表編

ミーティングなどでは時に自分がメインで話さなければならない場合もあります。その場合の対処法です。

話し続ける

「攻撃は最大の防御」というやつです。スピーキングももちろん簡単ではないですが、適当な中学英語を話し続けるだけなら何とかなります。その結果、時間をうまく使い切ることができれば勝ちです。

質問が出ないぐらい丁寧に説明する

とにかく質問が出ないように、事前に質問を想定して全てについてこちらから説明しきります。そうすることで上で述べたように時間を使い切って質問を受ける時間を削ることができますし、そもそも丁寧に説明しているため質問も全く出ずに完封勝利を収めることができます。バッドノウハウではなく普通に良い話を書いてしまいました。

画面共有しまくる

スピーキングの話になりますが、英語のみで全てを説明するのは大変です。ですが、画面共有をして"This!"とか言っておけば一発で伝わります。これは日本語でも有用だと思いますが百聞は一見にしかずなので英語でも見せるのが早いと思います。

資料を準備する

他の人が準備無しでミーティングに臨むような場合でも、英語で説明するのは大変なので図を事前に書いたり話したいWebサイトを開いていったり準備をしっかりしていくと良いです。日本語でももちろんしたほうが良いのですが、口で説明すれば分かるだろうと油断しがちなので英語では特に意識してやるほうが良いです。

リアクション編

実際には何も理解していないのに分かっている感じを出すための方法です。

多彩な相槌を繰り出す

良く分からない時に相槌を打つときが多くあるわけですが、そのバリエーションは持っておきましょう。"I see"とか"OK"に始まり、"wow!"とか"Cool!"とか"That's nice"とか"Absolutely"とか言っておくと実際には何もわかっていなくても分かっている感じが出ます。

笑顔でいる

少しでも聞き取らなくては、とリスニングに集中していると怖い顔になります。自分もめっちゃ集中してて余裕ゼロだったので"どうした...?"と聞かれました。笑顔でいる方が分かっている感じも出ますし雰囲気も良いので頭と耳は集中させつつも外見はリラックスした感じを出す練習をしておきましょう。

笑うタイミングに気をつける

真面目な話の時はまだ良いのですが、雑談系の話になると笑いどころはかなり重要になってきます。何を言ってるか分からなくても話者の表情や抑揚などから面白いことを言っていそうという気配を察し、絶妙なタイミングで笑ってみせる必要があります。真面目な話のときは聞き返しますが、ジョークを聞き返すのは結構申し訳ない気持ちになります。雰囲気で乗り切りましょう。

シュール系ジョークに気をつける

ややこしいのはシュール系のジョークが好きな人です。真顔でボケて来られると笑うタイミングが掴めません。初見殺しです。

同僚「ジョーク(真顔)」

自分「え...?」

同僚「いやジョークだよー」

みたいなやり取りを何度もしたことがあります。滑らせた感じになってすまないと思うわけですが、もう少し分かりやすくしてくれという気持ちもあります。日本人でも自分で話して自分で笑っちゃう人がいますが、笑いどころを知る上では非常にありがたいなと最近思うようになりました。その人の性格がわかってくればジョークを言いそうなタイミングも分かってきて察することが出来るようになるため、最初はボケられても笑えない微妙な空気に耐えましょう。

メンタル編

上のように微妙な空気になっても耐えられるメンタルが必要になります。その対策です。

なぜ日本語を話さないのか?と思っておく

英語ネイティブと話す時、お互いのメイン言語が異なるという条件は同じわけで相手が日本語を話しても良いはずです。何で日本語じゃないのだろう?と内心思っておきます。そして仕方ないので自分が相手に合わせて英語を話すかという心構えでいます。そうすると相手に貸しがあるわけで、自分の英語で至らないことがあっても「これで貸し借りなしな」という気持ちになれます。

これはあくまでメンタルを強く保つための方法なので内心に留めておいて表に出すのはやめておきましょう。

でも自分めっちゃ日本語話せるしなと思っておく

英語でまくしたてられて全然聞き取れなかったとします。そんな時は「でもこれがもし日本語だったら余裕で聞き取れるな。何ならもっと速く話せるぜ」と思っておきましょう。

分からなくても死なないと思っておく

車の運転時とかミサイルが撃ち込まれた時とか命に関わるような話はちゃんと理解しないとダメですが、普通の会社のミーティングで何か分からないことがあっても生きていけます。「さっぱりわからん!!!」ぐらいのテンションでいましょう。

強めの"は?“に備える

自分が何か発言した時に結構強めに“は?“と言われて精神がやられる時があります。恐らく"Huh?"なので強い意味はなく日本語の「え?」ぐらいのニュアンスだと思います。あちらも心を折りに来ているわけではない(多分)ので、事前に備えておけば耐えられます。

その他編

ペース配分を考える

ミーティングが一時間もあったら英語弱者にとってそんな長時間集中し続けるのはまず不可能です。ここぞの時に集中するためにペース配分を考えて試合を進める必要があります。時には大胆に集中力をオフにしてボケーッとしていきましょう。

最後に名前を呼ぶタイプの人に気をつける

質問をする時、"Hey (あなたの名前), I think ~"のように最初に注意をひきつけてくれる人は良いのですが、中には "I think xxx yyy zzz~, what do you think? (あなたの名前)" のように話の最後に急に振ってくる人もいます。こちらとしては何か長めに話し始めた時点でオフになって集中力が0になっていることも多く急に振られても何も話を聞いておらず詰みます。

これは対策が難しいのですが、最初の何文かを集中して聞いて関係なさそうと分かったらオフになりましょう。あとはよくそういう振り方をしてくる人をマークしておいて、その人が話し始めたら感度を上げるのも大事です。

初対面の人と大事なミーティングをしない

やはりある程度慣れというものがあると感じています。何回か話した人は多少は聞き取りやすくなります。一方で初対面だと絶望的に聞き取れない場合があります。そのような状況で何か大事なミーティングをしていると何も分からないまま大事な決定がなされていきます。

自分は恐ろしいほど聞き取れなかったので適当に返していたのですが、あとで聞いたら全然自分の想定と違う決定になっていて急いで謝りました。どうしても初対面の人と大事なミーティングをする場合は議事録残しましょうと最初に提案しましょう。

真面目編

今まではしょうもない内容でしたが、最後に少し真面目なことも書いておきます。

事前に議題を聞く

カレンダーにある程度要点を書いてくれる人はいいのですが、"Discussion" ぐらいのタイトルで詳細なしにミーティングをセットしてくる人もたまにいます(実際にはもう少しちゃんと書いてますがいずれにせよ詳細がわからないレベル)。そういう時はチャットなどで事前に"今日ミーティングセットしてたけど何について話すの?"と聞いておきましょう。何ならそのチャットだけで用件が済むこともありミーティングを未然に防ぐことが出来る場合もあります。

あとで要点を送ってもらうよう依頼する

これは社外の人から説明を受けた場合などによく使う方法です。例えば税理士から丁寧に説明してもらっても大体単語も難しいのでさっぱり分かりません。そういう場合はミーティングの最後に"要点だけ後で送ってもらえますか?"と依頼します。OKと言いつつ送ってくれないことも多いですが、送ってくれた場合はDeepL使えば何とかなります。

ボディランゲージを駆使する

これはあたり前のことなのですがやはり重要なので一応書いておきます。困ったら大体身振り手振りしておけば伝わります。

大きな声ではっきりと話す

これもよく言われることですが、小さい声でモゴモゴ言うと余計に伝わらないので下手でも大きな声ではっきりと話しましょう。

否定疑問文にYES/NOで答えない

"Don’t you like sushi?"と聞かれた場合、日本語だと「はい、好きではないです」となるのでYESと言いたくなりますが実際はNOです。食事の好みぐらいなら間違ってもいいですが、重要な質問で逆の回答をしてしまうと非常に困ります。これは中学で習うような話なので全員知っていることだとは思いますが、いざ会話中に使われると間違うことも多いです。頭の中で"Don't you"を"Do you"に置き換えて回答するなどの手もありますが、それでも自分は混乱するのでYES/NOで答えずに "I like it" のように文章で答えるようにしています。それなら確実に伝わります。

Posted in ,  on 9月 04, 2021 by B-SON |  

2021/09/03

「鶴丸のはっぴ」、JALショッピングで販売~みんなでアラスカ航空のセーフティーダンスを踊ろう~


「鶴丸のはっぴ」、JALショッピングで販売 4,950円:

アラスカ航空のセーフティビデオで赤坂社長が来ていた「鶴丸のはっぴ」が販売されるらしい。

--

JALUXは、運営する通販サイト「JALショッピング」で、鶴丸ロゴ入りの法被(はっぴ)の販売を開始した。

カラーは赤のみ、サイズは着丈約87センチ、身幅約67センチ、袖丈35センチのフリーサイズ。素材はコットン100%で日本製。「催事・イベントなど年間を通して着用可能!ユニセックスのはっぴです。胸元とバックデザインにはJALロゴが大胆に配置されており、会場を一層明るく盛り上げてくれます。ハリのあるしっかりとした素材感で、さまざまなシーンで大活躍してくれるハッピです」としている。

価格は4,950円、送料815円(いずれも税込)。JALの90マイルもしくはJALショッピングポイント45ポイントも獲得できる。

--



お問合せ管理システムへの不正アクセスで個人情報が流出、白崎コーポレーションを騙る不審メールも確認(転載)~想定損害賠償額は6億円程度か~


お問合せ管理システムへの不正アクセスで個人情報が流出、白崎コーポレーションを騙る不審メールも確認:

雑草対策のショップを運営する株式会社白崎コーポレーションは8月30日、不正アクセスによる個人情報流出の可能性について発表した。

これは8月17日午前8時30分頃に、同社グリーンナップ事業で使用するお問合せ管理システムに対し、第三者から意図的な不正アクセスがあり調査したところ、不正アクセスのあったシステム内の個人情報が流出した可能性を確認したというもの。

流出した可能性があるのは、同社が取り扱う住所、氏名、電話番号、FAX番号、メールアドレス、問合せ履歴、購入履歴を含む最大10万件の個人情報。

同社では8月17日に、不正アクセスされたシステムを外部ネットワークから切り離し、その他の被害の有無等をシステムログにて調査、翌8月18日には不正アクセスされたシステムのセキュリティ強化改修を行っている。

また同社では8月18日に警察署へ通報を、8月23日には個人情報保護委員会に報告を行っている。

同社では8月30日に、同社の名前を騙る悪質なメールを確認しており、顧客に対し不審メールが届いた場合は、文面に記載されたファイルのダウンロードなどは行わず、即刻削除するよう注意を呼びかけている。

同社では再発防止策として、セキュリティ会社によるお問合せ管理システムのセキュリティ審査を実施、外部の専門家による社内の個人情報保護体制の強化に取り組むとのこと。

2021/09/02

お客様が航空券詐欺に遭いすぎていて辛い(転載)~kiwi.comは詐欺サイトらしい。ちなみにExpediaも個人的には詐欺サイトです。~


RT by @kkt_witte_r: お客様が航空券詐欺に遭いすぎていて辛い:

privatter.net/p/7752778

私は航空会社の地上係員です。これから書くのは「kiwi.com」というオンライン旅行予約サイトについてです。一言でいうと詐欺サイトです。利用は絶対にお勧めしません。

初めて航空券詐欺被害者の対応をしたのは7月の中旬でした。

カウンターに来られたお客様は予約を照会できる番号は一切持っておらず、提示されたのは、6月下旬に需要減退により欠航が決まっていた便の旅程表のみでした。欠航の旨伝えると、非常に驚かれた様子で「決済をしたのは3日前だ」とおっしゃるのです。既に欠航が決まっている便に対して、航空会社が決済をさせることはシステム上絶対にできません。しかしお客様は支払いは済んでいるというのです。こんなこと公式サイトからの予約では起こりえないと思い、利用されたサイトを聞けば「kiwi.com」というサイトでした。

前後の便や来月の同じ便で検索してもお客様の予約情報はヒットしません。お客様は最後まで最初に払った金額で飛行機に乗れないことに納得されていない様子でした。しかし入金が確認できる情報は、お客様が受け取ったメール等を含めても一切ありませんから、我々でできることも一切ありません。結局そのお客様は、他社の同区間の便を当日予約の運賃で買われていきました。約4万円。お客様が正しく支払ったと思っていた航空券代の3倍以上の金額でした。

次にkiwi.comで予約をされた方の対応をしたのはそれから数日後でした。

やはりその方も、予約を照会できる番号は一切お持ちではありませんでした。提示された旅程とお名前で検索したところ、キャンセル済の予約がヒットしました。お客様に確認してもそのような操作はしていないとのことでしたが、キャンセルされているのをシステム上で確認した以上は、その予約で飛行機にお乗りいただくことはできませんので、新規に当日の金額で航空券を買いなおしていただきました。しかし飛行機の出発直前に、別の係員が同じ搭乗者名の決済済み予約情報を発見しました。当日運賃と早割の運賃だと相当な差額が出ますから、急いで新規にご購入いただいた航空券代をお客様にお返しし、決済済みの予約で飛行機にお乗りいただきました。後で詳しく見てみれば、同じ搭乗者名のキャンセル済の予約が他にも数件ヒットしました。その時は自分のサーチ不足でお客様や他の係員に迷惑をかけしまったことに対しすっかり落ち込んでいて、キャンセル済の予約が複数あることに深く疑問を抱けませんでした。

そしてつい先日、このサイトが第三者のクレジットカードを不正利用していることが判明しました。カードを不正利用されていることに気が付いた方からカード会社に連絡をされたようで、その連絡がカード会社からそのまま私の会社にも来ました。

①お客様がkiwi.comに対して金銭を支払う

②kiwi.comは第三者のカードを利用して航空会社から直接チケットを買う

③不正に入手した航空券をお客様に渡す

という手口です。kiwi.comは一銭も払わずお客様からの利益を得られますね。1件目に関してはそもそも存在しない航空券を売り付けているわけですが。

2件目のお客様のキャンセル済の予約情報が複数ヒットしたのは、

予約を不正に決済する→不正利用を検知したカード会社が決済を取り消す→決済の取り消しに気づいたkiwi.com側が他のカード情報を使ってまた新規に不正な予約を作る……を繰り返したためです。予約照会番号をお客様に渡せないのは予約が直前まで確約しないからですかね。

空港カウンターでは、カードの持ち主本人がその場にいないと決済にご利用いただけません。ですが今や航空券はネットから誰でも予約できてしまう時代ですから、不正利用があっても決済された時点では航空会社側で気づくことはできません。

そんなこんなで不正利用されたカードにより決済された予約は私の会社だけで100件以上です。これからカウンターに来られる100名以上の方に「貴方が使ったサイトは詐欺サイトなので決済は無効です。新しく航空券を購入してください」という旨お伝えしなければいけないと思うと気が遠くなります。他社を含めたらもう十数倍はあるのでしょう。

その他も手数料の不正受領などいろいろあるみたいです。下記URLはレビューサイトです。

https://jp.trustpilot.com/review/kiwi.com

これから会社でどういう措置をとるのか、どういう発表をするのかは、フロントラインの端くれにはわかりません。何も発表しない可能性も多分にあると思います。ただ直接詐欺にあったお客様と接した身として、これ以上騙される人が増えるのは駄目だと思い散文認めた次第です。ごく個人的なものです。

ここまでお目通しいただきありがとうございました。これ以上の被害者が増えないことを祈っています。

個人利用クラウドへのアップロードも行われた再委託先従業員による情報持ち出し事件(転載)~クラウド利用時に考慮しないといけないリスクの一つだな。~

個人利用クラウドへのアップロードも行われた再委託先従業員による情報持ち出しについてまとめてみた
再委託先社員による不適切なデータの取り扱いについてのお知らせとお詫び 

株式会社村田製作所(以下、当社)は、外部委託先企業(委託先:日本アイ・ビー・エム株式会社)の再委託先(中国法人IBM Dalian Global Delivery Co., Ltd.、以下「再委託先」)社員が当社取引先情報および個人情報を含むプロジェクト管理データを業務用パソコンへ許可なくダウンロードし、中国国内の外部クラウドサービスの個人アカウントへアップロードしたことを2021年7月20日に確認しました。

委託先の調査によると、持ち出された情報について当該再委託先社員以外の者がアクセス・取得した事実やその情報が悪用された事実は認められておりません。また、外部クラウドサービス事業者の調査でも、持ち出された情報を第三者がコピー・ダウンロードした事実のないことが確認されたと報告を受けておりますが、当社としてデータ対象範囲の広さと取引先情報および個人情報が含まれているという事実に鑑み、本件の発表に至りました。

お客さまをはじめ多くのご関係先にご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。


1.本件の概要

当社の会計システム更新プロジェクトに関わる当該再委託先の社員によって、業務用パソコンへ取引先情報および個人情報を含むプロジェクト管理データが許可なくダウンロードされました。また、同データを中国国内のクラウドストレージサービスの個人アカウントへアップロードしたことが確認されました。アップロードされたデータはすでに業務用パソコンおよび、外部クラウドストレージサービスから削除されています。

なお、本件に関してウィルス感染やサイバー攻撃などは確認されていません。


2.経緯

・ 6月28日 再委託先の社員がプロジェクト管理データを業務用パソコンにダウンロード。

・ 6月30日 再委託先の社内監視システムによりセキュリティアラートを検知。

・ 7月4日  調査の結果、再委託先の社員による取引先情報および個人情報を含むプロジェクト管理データのダウンロードを確認。

・ 7月8日 再委託先の社員への聞き取り中に、上記データのダウンロード後に外部クラウドサービスの個人アカウントへのアップロードが行われたことが判明。同日、再委託先の監視のもと、アップロードされたデータを削除。

・ 7月20日 外部委託先企業から当社へ報告。

・ 8月3日 外部クラウドサービス事業者の調査により、第三者がそれらのデータをコピーしたり、ダウンロードした形跡がないことを確認。

・ 8月5日 外部委託先企業から順次開示される解析データに基づき提供される情報を当社側でも内容を分析・検証し、影響のある範囲の特定やリスクを確認。当社プレスリリースを実施。


3.対象範囲

以下72,460件の情報が含まれていました。情報については対象国ごとに異なります。

・ 取引先情報:30,555件※1(会社名・住所・氏名・電話番号・メールアドレス・銀行口座)

・ 当社従業員関連情報:41,905件※2(従業員番号・所属会社名・氏名・メールアドレス・銀行口座)


※1 取引先情報の対象となる国・地域:日本、中国、フィリピン、マレーシア、シンガポール、アメリカ、EU

ただし、顧客情報の対象となる国は中国、フィリピンのみとなります。

※2 当社従業員関連情報の対象となる国・地域:日本、中国、フィリピン、シンガポール、アメリカ、EU


4.再発防止策と今後の対応

当社グループでは、本件の発生を厳粛に受けとめ、再び同様の事態が発生しないよう、原因の究明を進め、外部委託先を含めたセキュリティ強化および情報管理の徹底を図ってまいります。

on 9月 02, 2021 by B-SON |  

2021/09/01

2FA(多要素認証)を使っていない?それはハッキングされることを求めていることを意味します。 / Not using 2FA? You’re asking to be hacked(転載)


Not using 2FA? You’re asking to be hacked:

ここ数年、サイバー犯罪の舞台裏では、膨大な量の個人情報が流出するデータ漏えい事件が急増しています。このようなデータがオンラインで入手できることで、脅威の主体は、フィッシング・キャンペーンから個人情報の窃盗まで、幅広い攻撃を行うことができます。

現在、最も一般的な認証形態は、ログイン認証(ユーザー名とパスワード)に基づいていますが、脆弱なパスワードの採用や、異なるWebサービス間でパスワードを再利用する悪習慣により、ユーザーは複数の攻撃にさらされています。

ただし、セキュリティを高めるためには、ご本人であることを証明するために複数の認証要素を必要とする認証プロセスを使用する必要があります。

多要素認証とは何ですか?

多要素認証方式では、以下の要素を使用することが可能です。

  • セキュリティトークンやスマートカードのように、あなたが持っているもの。
  • パスワードやPINコードのように、あなたが知っているもの。
  • あなたが持っているもの、例えば、あなたのバイオメトリック特性など。

多要素認証(2FA)とは、上記の2つの要素を組み合わせた認証方式です。2FAの例としては、ATMでの認証の際に、暗証番号(知っているもの)と支払いカード(持っているもの)の提示を求められることが挙げられます。

幸いなことに、一般的なオンラインサービスではすでに2FA認証が実装されていますが、ユーザーはそれを有効にする必要があります。

2FAを採用することで、上記の要因の1つが侵害された場合でも、リソースを保護することができます。パスワードを所持している攻撃者は、支払いカードなどの第2の要素を提供できなければ、アカウントにアクセスできません。

2FAの種類

ここで重要なのは、2FAの方法の中には、他の方法よりも安全性が高いものがあるということです。

例えば、SMSメッセージとパスワードに基づく2FA認証は、携帯電話上で動作する認証アプリで生成されたコードとパスワードを使用するスキームよりも安全性が低いと考えられています。

SMS メッセージは、被害者のデバイスにインストールされたマルウェアによって簡単に傍受されたり、被害者に対して SIM スワップ攻撃を行うことができる攻撃者によって入手されたりする可能性があります。2FA のタイプの選択は、効率性、使いやすさ、コストなど、複数の要素に影響されます。

Duo Security社が行った調査によると、政府機関の19%が、管理しているデータの機密性が高いことから、ハードウェア認証トークンを使用しているという。

2FAの代替案として、ユーザーのモバイル機器を利用する方法があります。このオプションは、ソリューション全体のコストを大幅に削減します。例えば、Google社によると、同社の認証機能を使用することで、自動化された攻撃から最大100%アカウントを保護することができます。

また、ユーザーに電話をかけて認証コードを伝えるソリューションもあります。このような理由から、この認証は音声ベースの2FAと呼ばれています。このソリューションは、クライアントがモバイルアプリケーションに対応していない古い電話機を使用している場合に提案されます。残念ながら、音声ベースの2FAで実現されるセキュリティレベルは非常に低い。

オンラインでは、バイオメトリック2FAやプッシュ通知を利用した2FAなど、他の2FA認証形式も利用できます。前者は、ユーザーの身体的な特徴を認証要素として使用するものです。指紋、静脈や網膜のパターン、顔認識などがある。後者は、ユーザーがシステムにアクセスしようとしたときに送られるプッシュ通知を利用します。この場合、ユーザーはモバイルデバイスから操作を承認する必要があります。

2FAの使用に関する悲しい統計

Duo Security社の研究者によると、2019年に最も一般的だった認証方法はモバイルプッシュ通知で、利用率は68%に達した。

残念ながら、民間企業内での多要素認証の利用率はまだ低く、LastPass社が行った調査によると、2019年の米国では多要素認証を利用している企業はわずか26%でした。民間企業はサイバー攻撃にさらされやすいため、このデータは不愉快なものです。

このような状況は、Twitter社の透明性報告書でも確認されています。

ソーシャルネットワークプラットフォームは、2020年下半期に、少なくとも1つの2FAメソッドを有効にしていたアクティブなTwitterアカウントは、わずか2.3%であったことを明らかにしました。良いニュースとしては、2020年7月から12月の間に、少なくとも1つの2FA方式を有効にしていたユーザー数が9.1%増加したことを観測したことです。

「一般的に、SMSベースの2FAは、SIMハイジャックやフィッシング攻撃の影響を受けやすいため、最も安全性が低いと言われています。認証アプリは、SIMハイジャックのリスクを回避することができますが、フィッシング攻撃を受ける可能性があります。セキュリティキーは、フィッシング攻撃に対する防御機能が組み込まれているため、最新かつ最も安全な2FAの形態です」とTwitter社は述べています。

Twitterユーザーの多くは、認証要素としてSMSで送られてくる認証コードを好んでいました。

これは、2FA を有効にしているアカウントの 79% 以上が選択している方法です。セキュリティキーに基づく最も安全な2FA方式を利用しているのは、わずか0.5%です。

「これらの数字は、2FAの普及を促進すると同時に、アカウントが2FAを使用する際の利便性を向上させる必要性があることを示しています。2FAの方法をよりシンプルで使いやすいものにすることで、Twitterでの導入を促進し、セキュリティを高めることができます」とTwitter社は述べています。

そうは言っても、2FA認証を実装しているサービスはすべて有効にすることをお勧めします。また、複数の選択肢がある場合には、ソフトウェアベースの2FA認証を利用することで、高いレベルのセキュリティを確保することができます。