2021/05/31

スキンケア用ソルトのオンラインショップに不正アクセス(転載)~想定損害賠償額は約5200万円か~


 「Rモール」もEC-CUBE

スキンケア用ソルトのオンラインショップに不正アクセス

スキンケア用ソルトなどを扱うオンラインショップ「Rモール」が不正アクセスを受け、利用者のクレジットカード情報が外部に流出し、不正に利用された可能性があることが判明した。

同サイトを運営する黎明によれば、外部より脆弱性を突く不正アクセスを受けたもので、2019年11月5日から2020年10月20日にかけて、購入時に利用されたクレジットカード情報が外部に流出し、一部が不正利用された可能性があるという。

対象となる顧客は2032人で、クレジットカードの名義、番号、有効期限、セキュリティコードなどを窃取された可能性がある。2020年10月20日にクレジットカード会社からクレジットカード情報が流出している可能性があるとの指摘があり、問題が判明した。

2021年1月27日に外部事業者による調査が完了。個人情報保護委員会に2月5日に報告し、同日警察へ被害を届けた。対象となる顧客に対しては、5月27日より書面で経緯の報告と謝罪を行っている。

米連邦通信委員会が国家安全保障の脅威となる通信機器及びサービスのリストを公表(転載)


SttyK (してぃーきっず) retweeted: 「経済安全保障関連動向」ページ(2021年3月)を更新しました ●米商務省が新たに14企業等をEntityListに追加 ●米連邦通信委員会が国家安全保障の脅威となる通信機器及びサービスのリストを公表 続きはこちらからご覧ください→moj.go.jp/psia/keizaianp… #公安調査庁 #経済安全保障 #経済安保 #技術流出:
「経済安全保障関連動向」ページ(2021年3月)を更新しました
●米商務省が新たに14企業等をEntityListに追加
●米連邦通信委員会が国家安全保障の脅威となる通信機器及びサービスのリストを公表
続きはこちらからご覧ください→moj.go.jp/psia/keizaianp…
#公安調査庁 #経済安全保障 #経済安保 #技術流出

  • 2021年3月5日から3月11日まで開催された中国の全国人民代表大会において「第14次5カ年計画」が審議され,同月12日に公表された。同計画では,先端分野における科学技術力の向上などが示されている。

  • 米連邦通信委員会(FCC)は,国家安全保障上の脅威となる通信機器及びサービスのリストを公表した。リストにはファーウェイ(Huawei / 華為)ZTE(中興通訊)ハイテラ(Hytera / 海能達通信)ハイクビジョン(Hikvision / 杭州海康威视数字技术)ダーファ(Dahua / 大華技術)が記載されている。

  • 米商務省産業安全保障局は,ミャンマーに対する輸出管理を強化するとともに,ミャンマー国防省などをEntity Listに追加したことを発表した。

  • 米サイバーセキュリティ・インフラセキュリティ庁は,Microsoft製品のゼロデイ脆弱性が利用されたサイバー攻撃について緊急指令を発出し,米連邦政府機関に対して,同製品の使用について早急に対策を講じるよう求めた。

  • ホワイトハウスは,国際社会との関わり方に関するバイデン米大統領のビジョンを示すとともに,政権が公式な安全保障戦略を策定するまでの政府機関の指針として,暫定版国家安全保障戦略を発表した。

  • 米商務省産業安全保障局は,ロシアの大量破壊兵器開発プログラム及び化学兵器に関連する活動を支援していたとして14の企業等をEntity Listに追加することを発表した。

  • 米人工知能国家安全保障委員会は,2025年までに米国が人工知能(AI)に対応するための戦略を示した最終報告書を米国議会及び大統領に提出した。

2021/05/30

セキュリティ関連資格チャート表(vol2)


 以前、コチラでセキュリティ関連資格のチャート表を紹介したが、別のセキュリティ関連資格のチャート表を発見したので紹介したい。

pauljerimy.com

日本でセキュリティ関連資格というと、情報処理安全確保支援士がもっとも有名で、マネジメント系でISACAやISC2の資格を見聞きする。エンジニア系だとCISCOやSANSの資格といったところだろうか。

ところが、世界には370を超えるセキュリティ関連資格が存在する。

この中には情報処理安全確保支援士等は無いだろうから、こういったローカル資格を加えると400は超えるだろう。

この表、恐らく縦軸は成熟度を表していて、上に行くほどレベルが上がるということを指していると思う。

横軸は資格のカテゴリを分類していて、左から下記のようになっている

・Communication and Network Security

・IAM

・Security Archtecture and Engineering

 -Cloud/SysOps

 -*nix

 -ICS/IoT

・Asset Security

・Security and Risk Management

 -GRC

・Security Assesment and Testing

・Software Security

・Security Operations

 -Forensics

 -Incident Handling

 -Penetration Testing

 -Exploitation

さすがに海外はこういった整理や分担の考え方が進んでいる。

ちなみに、先日とあるセミナーにて、事業会社におけるセキュリティ人材育成の話を聞いてきた。

セキュリティ関連の資格は、それを持っているだけで、セキュリティベンダーやコンサルでは活躍できるが、事業会社では不足になる。

事業会社でセキュリティ担当としていくには大きく下記3ステップが必要になる。

Step1:基礎知識(業務知識/事業会社のお作法)の習得

-中途で来るベンダー上がりやコンサル上りは特に不足。ここをすっ飛ばして前職での専門知識や経験を発揮しようとして浮いてしまうケースも。

-自社育成の場合、該当する資格としては、IPAの情報セキュリティマネジメント試験辺りが該当する 

Step2:専門スキルの習得

-リスク分析、情報セキュリティ理論、ネットワークや暗号技術等の専門知識等、ベンダー上がりやコンサル上りが特に強い領域。Step1をクリアしたベンダー/コンサル出身者はここから本領発揮。 

-自社育成の場合、該当する資格としては、IPAの情報処理安全確保支援士辺りが該当する 

Step3:応用スキルの習得

-組織のセキュリティプログラム策定と管理、個別事象への対応。Step1、Step2での経験に加えて、実業務を通じての経験値アップ。

-該当する資格としては、ISACAのCISAやCISM、ISC2のCISSP辺りが該当か

2021/05/29

「事故物件買取センター」とは?(転載)


 全国から問い合わせ殺到 事故物件買取センターの勢い止まらず。関西から東京に出店

事故物件と聞くと関わりたくないと思う人が大半だろう。だが、そんな物件ばかりを買い取り、残置物を処理、改装して市場に出している会社がある。株式会社あきんどが手掛ける事故物件買取センターである。

5年前にスタート、ここ1年で急成長


同社は大阪府守口市に本社を置く不動産買取再販を行う株式会社なにわ工務店の関係会社で、事故物件を専門に扱う別会社を始めたのは約5年前のこと。

「なにわ工務店経営者の家族への、知人からの相談がきっかけでした。親が自宅で亡くなり、その家を処分したいと考えているが引き受けてくれる不動産会社がなくて困っているとのこと。

それまでの買取物件の中にもそうした物件はあったのでしょうが、相談を受けて改めてそうした問題で困っている人がいること、さらにこれからも増えるだろうことに気づいたのです。

それで株式会社あきんどを立ち上げ、事故物件を専門に扱うことになりました。2021年7月で立ち上げからちょうど5年になります」。

最初は地元である京阪エリアを中心にチラシを撒く程度で、問い合わせも周辺からだけ。月に数件くらいだったというが、1年ほど前にホームページをリニューアルしたことで徐々に問い合わせが増加。エリアを全国に広げたことで月に100件を超える個人や業者からの問い合わせが届くようになったという。

そのうちから買い取れるものがあれば月に15~20軒は買い取っているという。

この間で少しずつ競合と思われる会社も出てくるようにもなったが、全国に無料で査定に行って積み上げてきた実績は強く、今現在では日本で一番事故物件を扱っているのではないかと思われる。

生死に関わることから建物、地域に瑕疵のある物件も


事故の内容としては孤独死、自殺、殺人や心中などのように人の生き死にに関わるもののほか、火事にあった、傾きがある、再建築不可、シロアリ問題がある、長屋・連棟、狭小地、借地などといった建物、土地に瑕疵や売りにくい条件がある、近隣とトラブル、もめごとがある、クレーマーがいる、ごみ屋敷になっているなど人の問題まで幅広い。

多くの人は最初、地元の不動産会社に相談するものの、そこで敬遠されてこの会社に、ということも少なくない。

事故物件という言葉だけで特殊なイメージを持ち、扱いたくない、扱いづらいと思ったり、残置物や清掃などの手間をかけたくない、そうしたノウハウがないなどが敬遠される理由だろう。地元だけに風評被害を懸念するということもあろう。

だが、同社の場合には残置物の処理から始まる改装、地元の不動産会社に依頼しての売却活動に至る一連の作業は事故物件以外でも同じ。つまり、ノウハウがあるのである。

査定に独自のノウハウ、売れなくても仕方ないという覚悟


さらに近畿圏から始まり、東海、九州などへ広がって全国で査定経験を積み重ねてきたこともノウハウとしては大きい。

「事故の影響性は物件、地域、居住者などによって違います。駅前の利便性優先のマンションならそれほどの瑕疵と思われないものが、新築の住宅での事故だと大きなダメージになりますし、高齢のご夫婦が住んでいたなら気にならないところが、若い夫婦で事故があったとなると売りにくい。

またその街の人口構成、購買層がいるかどうか、過去の成約事例に加えて人の流れや地域柄などを考えます。もちろん、必ず現地は見ます。従来の査定よりも検討することが多いです」

相場はあってないようなもの。一般的な相場に比べれば安いのは確かだが、場所により、需要と供給によって異なるという。それは同社の急いで売ろうとしていないという同社の姿勢とも重なる。

「不動産には賞味期限がなく、適切に手を入れておけば腐りません。私たちの改装では床から壁、ユニットバスその他の水回りまで徹底的にリフォームするので事柄は残るとしても面影はなくなります。

そして、安ければ問い合わせはきます。とはいえ、反響が多くすぐに決まる物件もあれば、1年以上動かない物件も。必ず、すぐ売れるというわけではありません」。

物件としては父が亡くなるなどして相続した物件の売却依頼が多く、全体の半分くらいを占める。

その家で生まれ育った人もいるにはいるが、自分が使う家ではないという意識があるようで、感傷的になるよりは早く処分したいという気持ちが強い場合が多いそうだ。ちなみに人が亡くなった家のうちの7~8割は相続で取得したものだという。

プライバシーには細心の注意


事故物件の場合、特に注意すべきはプライバシーの問題。

「買取依頼を寄せてくる方々はネガティブな事情に直面された方が多いので、誰にも知られることなく、売却を済ませたいという要望をお持ちです。

今の時代、プライバシー保護は当たり前に言われていますが、事故物件を扱う場合にはそれ以上に最大級の配慮が必要だと感じています」。

その点から考えると事故物件で地元に事情を知られたくないと考えた場合、実は地元の不動産会社以外に依頼するほうが情報の流出を抑えられるという考え方もあり得るのではなかろうか。

ごみ屋敷居住者は複数のトラブルを抱えている


数は多くはないが、事故、事件があった物件の相談もある。本人以外にも士業を経由しての相談もある。近隣トラブル、近所のクレーマー、ごみ屋敷が理由の物件もあり、実に幅広い相談が持ちかけられる。

「ごみ屋敷の所有者の多くは債務を抱えています。問題をひとつ抱えているひとは、聞いてみると他の問題も抱えているものです。

そこで今のままで買い取りではなく、経済状況によっては自己破産を勧めることなどもあり、最良の解決が提案できるようにいつもなにかしらの勉強をしている感じです」。

こうした相談に応じ、全国に無料で査定に行き、すぐ売れるわけでもない、融資のつかない物件を現金で買い取れるのはなにわ工務店本体の資力があるから。あらかじめ、買い先を見つけてから購入という会社はあるが、出口を考えずに買えるのはそのためだ。

それでも買わない物件の条件とは?


他社が買わない物件を積極的に買っているとはいえ、買わない物件もある。それが過去に地域での売買履歴がなく、賃貸ニーズもなく、修復が困難なほど老朽化した物件で、仮に解体しても利益が全く見込めないものだ。

「流通性がなくても家がしっかりしていれば賃貸用に買う人がいるでしょうし、買取金額が安ければ残置物があって、建物が多少傷んでいても賃貸ニーズがあれば買うこともあり得ます。どれかひとつの条件をクリアしていれば考えますが、3つの条件が重なっている物件はダメ。買いません」。

この3条件が重なる物件は投資すべき物件ではなく、再度流通させるのは難しいというわけだ。

現状では同社物件を知る手立てはないが……


さて、様々な地域でワケありとはいえ、相場より安い物件が供給されているのであれば買いたいと考える人も多いはず。だが、現状では同社が手がけた物件を探すのは難しい。

「買うまでは他社には見せず、購入後もしばらくはどうリフォームするかを考えて寝かせていたりします。その後、リフォームしたら販売は地元の不動産会社に任せており、自社でレインズに載せることはあるにしても売るところにはあまり関与しません。

弊社が事故物件を扱っていることを知ったいろいろな地域の方から買いたい、賃貸に使えるような物件はないかなどお問い合わせは受けますが、将来的にホームページに載せることはあるかもしれませんが、現状では地元の会社さんにお任せしています」。

物件はきれいに改装され、地元の不動産会社が販売を担当。もちろん、過去の事情はきちんと説明した上で売られているが、そこでは同社の存在は見えなくなっているのである。

東京に支店、その次は九州、愛知にも


ただ、今後の展開次第ではもしかしたらという期待もある。なにしろ、同社の事業は現在急成長を見せている。手始めに首都圏に拠点を持つそうで、すでに御徒町にオフィスを手配済み。知事免許を大臣免許に書き換え、7月下旬からは本格的に業務を開始。同時に首都圏で流すTVCMも作成中。

さらに今年、来年くらいには福岡、愛知への出店を考えているとも。5年前にこれからニーズがあると読んだ通りの展開になっているのだ。

ちなみに関西から始めたビジネスながら現在の取り扱いでは東京23区を除く首都圏の千葉県、埼玉県、神奈川県を含めた関東エリアが多く、ついで福岡をトップに熊本、佐賀など九州エリアなどとなっているとか。

「これまで本当に大阪から無料で査定に来てくれるんですか?あとで多額を請求されたりしませんか?と不安がられていましたが、今後はそれが無くなります(笑)」。事故物件がきちんと流通するようになる日も近い。

2021/05/28

被害者急増中~Amazonギフト券の買取詐欺にあった体験談(転載)


被害者急増中~Amazonギフト券の買取詐欺にあった体験談:

先日、何かのタイミングで知人に“Amazonギフト券”を貰いました。

特に欲しい商品や使う予定などもありませんでしたので、どこかに買取してもらおうと思い、ネットで検索した業者に依頼することに。

しかし、その買取依頼した業者がとんでもない詐欺業者だったため今回、他に被害が起きないように私の体験談をご紹介いたします。

依頼した業者は“買取〇〇〇95”。 

ホー厶ページの申込フォームから“Amazonギフト券コード番号”を入力して送信をクリックしました。

しかし、待てど暮らせど入金なし。

いつまで経っても入金がないので仕方なく“お問い合わせフォー厶”から連絡しましたが、返答はなし。 

ホー厶ページには“60分”で入金と記載されていましたが、申込からすでに“1週間”音沙汰ありません。

改めて業者名で調べてみたところ“口コミ投稿”が悪評だらけでした。

やたらと“買取率”を高く記載する業者は“詐欺”の可能性があるため買取を依頼する際には要注意です。

上記以外の業者であったとしても“Amazonギフト券”の買取詐欺はかなり多く、被害者が急増中です。 

事前に買取業者の”口コミ投稿”をチェックするなどして、下調べを怠らないよう気を付けてください。

日本の政府機関が富士通のツールを足掛かりにデータ漏洩の被害を受ける / Japanese government agencies suffer data breaches after Fujitsu hack(転載)~ソリトンの次は富士通かぁ~

Japanese government agencies suffer data breaches after Fujitsu hack

富士通の情報共有ツール「ProjectWEB」を介して、日本の複数の省庁が不正アクセスを受けました。

富士通の発表によると、ProjectWEBを利用したプロジェクトへの不正アクセスが行われ、一部の顧客情報が盗まれたとのことです。

なお、今回の不正アクセスが、脆弱性を狙ったものなのか、サプライチェーンを狙ったものなのかは明らかになっておらず、現在調査を進めています。

攻撃者は、少なくとも76,000件のメールアドレスにアクセス

昨日、国土交通省と内閣サイバーセキュリティセンター(NISC)は、富士通の情報共有ツールを介して攻撃者が内部情報を入手できたことを発表しました。

また、富士通は、攻撃者がProjectWEBを利用したプロジェクトに不正にアクセスし、独自のデータを盗み出したと発表しました。

富士通のProjectWEBは、企業や組織が、プロジェクトマネージャーやステークホルダーなどと、社内で情報を交換することを可能にします。

ProjectWEBログイン画面

ProjectWEBを経由して政府機関のシステムに不正にアクセスすることで、少なくとも76,000件のメールアドレスや、メールシステムの設定などの専有情報を取得することができたことが、国土交通省によって確認されています。

富士通の資料によると、2009年の時点で、このツールは約7,800のプロジェクトで広く使用されていたとのことです。

情報共有ツールの活用例を示す富士通ProjectWEBの概要  

なお、流出した電子メールアドレスには、専門家会議のメンバーなど外部の関係者のものも含まれており、個別に通知を受けています。

成田空港でも、航空管制データやフライトスケジュール、業務に関する情報が盗まれ、影響を受けました。

また、日本の外務省では、情報漏えいにより、一部の研修資料が流出しました。

内閣サイバーセキュリティセンター(NISC)は、富士通のツールを利用している政府機関や重要インフラ組織に対し、不正アクセスや情報漏えいの兆候がないか確認するよう、複数の注意喚起を行いました。

富士通、オンラインポータル「ProjectWEB」を一時停止

富士通は、この問題の範囲と原因を完全に調査している間、ProjectWEBポータルを停止しているとのことです。

ログインポータルへのURLにアクセスしようとするとタイムアウトしてしまいます。


ProjectWEBポータルは「soln.jp」ドメインでホストされていたため、自分の組織が影響を受けているか、あるいはかつて顧客であったかどうかを確認する一つの方法は、ネットワークログにこのドメインや前述のURLの痕跡を探すことです。

富士通は、プレスリリースの中で、関係当局に通知するとともに、顧客と協力して侵害の原因を特定すると述べています。

現在、富士通はこの事件を徹底的に調査しており、日本の当局と緊密に協議しています。富士通の広報担当者は、「予防措置として、このツールの使用を停止し、影響を受ける可能性のあるお客様にはその旨をお伝えしています」と述べています。

この攻撃の技術的な詳細については未定ですが、この事件は、何百もの顧客組織に影響を与えたファイル共有ツール「Accellion」のハッキング事件と似ています。

2021/05/27

YouTubeの再生回数を意図的に購入できるサービス(転載)~個人的には実現のための仕組みが気になる~


YouTubeの再生回数を意図的に購入できるサービス:

今では”将来のなりたい職業”にも殿堂入りする勢いの“YouTuber”

バラつきはありますが、再生回数“10回”“1円”と試算されておりメディアでも取り上げられている“1億回再生”は、正に億り人手前。

ただ、現実世界はそう甘くはなくヒエラルキー階層は雲の上だけが儲かっている仕組み、今後参入を考えられている方にとって、この再生回数は、大きな鍵となります。

そんな中、この再生回数を簡単に稼げるサービスが話題のようです。

 SNS-MALL.TOKYO

こちらのサービス、“YouTube”再生回数やチャンネル登録数などを意図的に購入できるというもの。

サービスには”評価”や”広告収入”も販売されており”YouTube”をこちらだけで網羅できてしまえる現代のサクラシステムといえます。

 実際は、投稿する動画そのものに魅力がなければ長続きしませんが新しい店に行列があれば、後ろに並びたくなるのが日本の特性です。

今後、始める方にとって足掛かり程度には、なるのかも知れません。

また、”YouTube”以外であっても“Twitter”“インスタグラム”などSNSの“フォロワー”なども販売中。 

これらは”フォロワー”を集めた後“アカウント”をそのまま転売して利益を得ようとる輩のためですが健全にSNSを楽しむ方にとっては関係ないサービスかも知れません。

2021/05/26

不動産が下がるとしても、投資した方が儲かる理由(転載)~不動産はエブリデイ買い時~


不動産が下がるとしても、投資した方が儲かる理由:

今月更に東京23区に不動産を購入しようと、金融機関に融資の打診をしています。もし借りられれば、いよいよ2ケタ億円の借入残高になります。お金は借りられるだけ借りておいた方が良いというのが私の投資の考え方です。

しかし、東京の不動産は上昇を続けており、今から購入すると高値掴みになるのではないかという、「不動産評論家」の意見もあるようです。

まず、私は不動産の価格に関しては大きく下がる可能性は低いと考えています。また、もし不動産価格が下がったとしても、投資した方が儲かる可能性も充分にあります。それは、借入金利と不動産賃貸利回りの差(イールドギャップ)が時間と共に収益を積み上げていくからです。

具体的な数字で考えてみましょう。

賃貸利回りが4.0%(管理費などを差し引いたネット利回り)の中古ワンルームマンションを2000万円の全額借入で購入するとします。借入金利が1.5%(金利差2.5%)であれば、35年借入で61,236円となります。

家賃は手取りで66,666円で、元利均等ローンの返済額は毎月61,236円ですから、毎月5000円程度のキャッシュフローを得ることができます(これは年に1回の固定資産税の支払いに充当できます)。

ローン返済の初月の内訳は36,236円が元本返済、25,000円が利息分となります。元本が減っていくと、毎月の元本返済部分の比率が高くなっていき、借入残高が減少していきます。返済を続けていくと

5年後には、借入残高17,743,664円(2,256,336円の返済)
10年後には、借入残高15,311,709円(4,688,291円の返済)

となります。

つまり、10年後であれば、2割以上物件価格が下がっていても、売却すれば利益が出るということです。

上記例のように、金利差が2.5%程度あれば、35年ローンで毎月のキャッシュフローが得られ、年間で50万円弱の含み益を蓄積することができます。それが物件価格の下落よりも大きければ、物件価格が下がっても投資した方が有利となるのです。

これは、株式投資で、値上がりするかしないかというキャピタルゲインに賭ける投資をしている人には、なかなか理解できない不動産投資の醍醐味です。自分が返済するのではなく、賃借人の家賃で勝手に返済が進むのです。

金融資産への投資で、毎日消耗している人は、是非不動産投資への投資対象の拡大を実践するきっかけにしてみてください。

※内藤忍、及び株式会社資産デザイン研究所、株式会社資産デザイン・ソリューションズは、国内外の不動産、実物資産のご紹介、資産配分などの投資アドバイスは行いますが、金融商品の個別銘柄の勧誘・推奨などの投資助言行為は一切行っておりません。また、投資の最終判断はご自身の責任でお願いいたします。

メルカリがインシデントを公表(転載)~GitHubに個人情報保存するなよ😡~


メルカリがインシデントを公表、開発プロセス自動化のリスクに注意を:


 メルカリは2021年5月21日、コードカバレッジツール「Codecov」に対する不正アクセスにより、同社保有のプログラムソースコードの一部と一部顧客情報が外部流出したと公表した。

 流出したのは、フリマアプリ「メルカリ」で2013年8月5日〜2014年1月20日に実行された売上金の顧客口座への振込みに関連した情報1万7,085件、2015年11月〜2018年1月の間でカスタマーサービス対応に関連した情報217件、2013年5月に実施したイベントに関連した情報6件、「メルカリ」および「メルペイ」の一部取引先などに関する情報7966件、同社子会社を含む一部従業員に関する情報2615件としている。稼働中のサービスへの不正アクセスは確認されておらず、サービス運営への影響はないとしている。

 情報流出に該当する顧客には個別に案内を進め、専用の問い合わせ窓口を設置する。

 メルカリの報告によると、Codecovの運営元であるCodecov LLCが不正アクセスの被害に遭った際、同社が利用していた「Bash Uploader」が「定期的に不正に変更される事象が発生」したことで、Codecovのサービスに接続していた顧客の認証情報やトークンなどが流出したことが発端とされる。Codecov LLCの調査では2021年1月31日から不正アクセスが発生していたという。

 Codecov LLCがこの情報を公表したのが2021年4月15日で、その翌日の4月16日にはメルカリも対策を開始し、認証情報の初期化を進めていたという。

 ここで、ソースコードリポジトリを置くGitHubもこの問題を独自に調査しており、2021年4月23日に不正アクセスの可能性があることをメルカリに報告したという。これを受けてメルカリが本格的な調査を進めた結果、同日の内にソースコードの一部に不正アクセスが判明したという。

 メルカリは即日、全社横断的な対策本部を設置し、関連当局等への報告を実施した。同時に、不正アクセスされたソースコードに認証情報などが含まれていないかを調査し、認証情報等の初期化作業を開始したとしている。

 不正アクセスされたソースコード上に一部顧客情報があったことが判明したのは4月27日だったという。同社は事実の公表による追加被害のリスクを回避する目的で、不正アクセスへの対策と調査を先行して実施したため、情報の開示が2021年5月21日になったとしている。

 メルカリが公表した情報によれば今回の漏えいの全貌は下図のようになる。


 アプリケーションの開発やテスト、運用を自動化する目的で、各ツールやシステムを連携する際、認証情報やトークンを使うことになるが、ソースコードに直接認証情報を記入する方法はリスクとなる場合があるため、原則として禁止されることが多い。また、開発環境で扱うテストデータなどの取り扱いにも慎重さが求められる。開発環境やテスト環境で本番データを使う場合も、直接センシティブデータを扱うのではなく匿名化やマスク処理を施すなどの対策が必要だ。利用したデータは確実かつ速やかな削除も徹底する必要がある。特に、プロジェクトオーナーが不在になるなどの理由でライフサイクルを管理しきれないまま残されたリソースがある場合、リスクにつながるデータが残ったままとなっている可能性があるため、過去のプロジェクトを含め、組織としてチェックできる体制を確立することが重要だ。

化粧品通販サイトに不正アクセス(転載)~想定損害賠償額は4800万円程度か~


化粧品通販サイトに不正アクセス - クレカ情報流出の可能性

「ブルークレールWebサイト」もEC-CUBE

化粧品を扱うオンライン通販サイト「ブルークレールWebサイト」が不正アクセスを受け、利用者のクレジットカード情報が外部に流出し、不正に利用された可能性があることがわかった。

ブルークレールによれば、脆弱性を突かれて決済アプリケーションが改ざんされ、クレジットカード情報が外部に流出し、不正に利用された可能性があることが判明したもの。

対象となるのは、2020年3月30日から2021年1月29日にかけて同サイトでクレジットカード決済を利用した1863人。クレジットカードの名義、番号、有効期限、セキュリティコードが流出した可能性がある。

1月29日にクレジットカード会社より漏洩の可能性について指摘があり、調査を実施。3月30日に外部事業者より調査報告を受けていた。

同社は、4月19日に警察へ被害を申告し、個人情報保護委員会には4月22日に報告した。対象となる顧客に対しては、5月24日よりメールで通知し、謝罪している。

2021/05/25

東京23区からの転出者はどこに行ったのか?


 武漢ウイルスの蔓延でリモートワークが常態化し、その結果東京23区の人口が減っているらしい。

では、東京23区を去った人はどこに行っているのだろうか。

以前「熱海に引っ越しました」みたいなニュースを見たことがあるが、ウラケン先生がトップ30をまとめてくれていた。

ポイントは都内へのアクセス(電車でも新幹線でも)が1時間というのがポイントになっている模様。

武漢ウイルスが落ち着いた後、働き方がどうなるか見えない部分もあるが、毎日電車痛勤するようなケースはなくなっていくと思われる。(個人的には全体の半分を上限にテレワークが容認されるような気が何となくしている)

そう考えると、都内まで1時間でアクセスできる今回のリストはいろいろ参考になる点があると思う。

個人的には川崎に興味があり、今回リストに上がった川崎エリアは是非今後の投資戦略に活用していきたい。

■ホット!?な川崎エリア
・宮前区
・高津区
・多摩区
・麻生区




2021/05/24

不正アクセスによる会員様情報流出に関するお詫びとお知らせ(転載)~想定損害賠償額は200億円程度か?~


不正アクセスによる会員様情報流出に関するお詫びとお知らせ net-marketing.co.jp/news/5873/: 不正アクセスによる会員様情報流出に関するお詫びとお知らせ
net-marketing.co.jp/news/5873/

この度、当社が提供する恋活・婚活マッチングアプリ「Omiai」を管理するサーバーに対し、外部からの不正アクセスを受け、会員様情報の一部が流出した可能性が高い事が判明しました。

本件に関して、現時点で判明している概要と対応につきまして、下記の通りご報告いたしますとともに、会員様および関係各位の皆様にご心配、ご迷惑をおかけすることとなり、深くお詫び申し上げます。なお、現時点におきまして、今回の事案に関わる個人情報の不正流用等の事実は確認されておりません。

今後当社は、会員様情報の不正流用の発生防止に努めるとともに、本件に誠意を持って全力で対応させていただく所存でございます。皆様にご心配をおかけすることを重ねてお詫び申し上げます。

今回の対象のお客様におかれましては、万が一身に覚えのない連絡や、心当たりのないコンタクトがあった場合、念のためご注意をお願いいたします。また、何かお気づきの点がございましたら、下記≪お客様相談センター≫までご連絡いただきますようお願い申し上げます。

当社は、本件を厳粛に受け止め、社会に信頼される企業としての責務を再認識し、個人情報保護の強化を改めて誓います。また、今後の再発防止策の徹底と万全なセキュリティ体制の再構築を目指し、会員様の信頼回復に向けて努めていく所存です。

 


1. 概要について
2021年4月28日15時頃、当社が提供する「Omiai」サービスの会員様情報を管理するサーバーにおいて、意図されていない挙動が観測されたため、直ちに社内点検を行なった結果、法令で確認を義務付けられているお客様の年齢確認書類の画像データに対する不正アクセスの痕跡を発見いたしました。その時点での緊急処置として、特定可能な不正アクセス者のIPを速やかに遮断し、ネットワーク制限を強化するなどの対処を行いました。また、同時に影響範囲の調査を開始しましたが、社内調査のみでは時間がかかることが判明したため、外部専門会社の協力の下、フォレンジック調査および、更なる監視体制の強化を図りました。さらに、システム全般面における第三者検証も同時に開始し、サービス内で利用されている他の情報についてもアクセス制限を強化いたしました。

その後、不正送信の可能性がある通信ログを解析した結果、一部会員様(既に退会された旧会員様も含む)の年齢確認書類の画像データが4月20日~4月26日の間、数回にわたって外部に流出した可能性が高いことが判明しました。

2. 対象となる情報
対象:2018年1月31日~2021年4月20日の期間に、当社へ年齢確認審査書類をご提出いただいた171万1千756件分(アカウント数)の年齢確認書類の画像データ。

年齢確認審査書類の主な種別:
運転免許証、健康保険証、パスポート、マイナンバーカード(表面)等
そのうち、全体の過半数となる約6割を運転免許証画像データが占めております。
※今回の対象データに個人番号(マイナンバー)1件が含まれている事を確認しております。これは、本来年齢確認審査書類として禁止しているマイナンバーカード裏面画像データが誤って当社へ提出された事によるものです。

情報項目:氏名・住所・生年月日・顔写真・年齢確認書類毎の登録番号の全5種
※年齢確認書類の種別により、含まれる情報項目は異なります。
※クレジットカード情報は、全て金融機関に決済業務を委託しており、当社では一切保有しておりませんのでご心配はございません。

3. お客様対応について
年齢確認書類の画像データが流出した可能性がある対象者の皆様には、本日よりアプリ上のお知らせ配信による、お詫びと状況の説明を開始させていただき、万が一のご注意情報をお送りしております。
・当社ホームページ上での「お知らせ&お詫び文」を掲示いたしました。
・本日よりお客様相談センターを設置し、お電話とお問い合わせフォームでの受付を開始しました。

【お客様相談室】
■お電話でのお問い合わせ
お客様相談センター TEL:0120-535-850 対応時間AM9~PM6時

■お問い合わせフォーム
https://www.omiai-jp.com/inquiry/question

 

4. 当面の対応策および再発防止策について
・特定可能な不正アクセス者のIPを速やかに遮断し、ネットワーク制限を強化。
・外部セキュリティ専門家と社内システム部の協力作業による徹底したシステムチェックと原因調査。
・システムセキュリティの高度化作業とシステム全般の監視強化。
・システム全般における第三者検証の開始と、サービス内の他情報についてもアクセス制限を強化。
・緊急対策委員会を速やかに設置し、お客様情報の不正使用による二次被害防止を最優先とする対処方法と会員様への個別連絡と注意喚起のための施策検討開始。

5. 業績への影響
当社業績への影響は現時点では不明であり、2021年6月期の業績予想につきましては、今後精査して、開示すべき事由が発生した際には、速やかに開示いたします。

以 上

米国の重要インフラ領域における内部脅威の軽減: インテリジェンスの観点からのガイドライン / Insider Threat Mitigation for U.S. Critical Infrastructure Entities(転載)



米国の重要インフラ領域における内部脅威の軽減: インテリジェンスの観点からのガイドライン [PDF] dni.gov/files/NCSC/doc…: 米国の重要インフラ領域における内部脅威の軽減: インテリジェンスの観点からのガイドライン
[PDF] dni.gov/files/NCSC/doc…

Overview

米国の国家防諜戦略、2020-2022」は、米国の重要インフラ組織に対する外国の国家および非国家主体からの脅威が拡大し、進化していることを強調しています。
外国の敵対者は、冷戦時代によく見られたように、もはや単に米国政府を標的としているのではなく、今日では、米国の重要インフラやその他の民間企業、学術団体を含む、より広範な標的に対して高度なインテリジェンス能力を使用しています。
これらの米国の産業界や学術機関は、今や地政学的な戦場の真っ只中にあります。

外国の脅威となる企業は、これらの組織とその従業員に関する大量の公開・非公開データを、かつてないレベルで収集しています。
これらの情報を高度なデータ分析能力やその他のツールと組み合わせることで、外国の敵対者は、米国の地政学的利益を促進するために、米国の労働力の中から脆弱な人々を特定し、標的とし、利用する膨大な機会を得ています。
彼らの強みは、私たちの弱点を見極めることであり、私たちの脅威は彼らのチャンスなのです。

このような脅威の状況を考えると、重要インフラ企業は、インサイダーの脅威を事前に防ぎ、軽減するためのリソースを優先的に投入することが不可欠です。
インサイダー脅威とは、組織内で信頼されている人物で、意図的か否かにかかわらず、施設、人員、情報への許可されたアクセスを利用して、組織に損害を与える可能性があるものです。

National Insider Threat Task Force(NITTF)は、組織が効果的なインサイダー脅威プログラムを構築するための基準、勧告、ガイド、公報を豊富に作成しています。
NITTFは、機密情報の漏洩に対応するために設立されましたが、NITTFは、従業員のプライバシーと市民的自由を保護しつつ、あらゆるインサイダー脅威に積極的に対応する組織運営を推進しています。
NITTFのモデルは、人間の行動に焦点を当てており、異常な行動を特定し、従業員、組織、ミッションに重大なダメージが及ぶ前に対処することを目指している。
NITTFのモデルは、すべての組織資源を保護するためのベストプラクティスとして、政府や産業界で広く認識されています。

国家防諜・セキュリティセンター(NCSC)は、脅威に対する認識を高め、外国の諜報活動の脅威から国を守るために設計された実務を推進しています。
正式な防諜プログラムではありませんが、インサイダー脅威に対抗するために設計されたプログラムと実務は、国の全体的な防諜態勢の強化に役立ちます。

本報告書の目的は、重要インフラに対する人間の脅威に対する認識を高め、この脅威のベクトルを組織のリスク管理に組み込む方法についての情報を提供し、インサイダーの脅威を軽減する方法についてのベストプラクティスを提供することである。
本報告書は、重要インフラ事業体が人間の行動に焦点を当てた内部脅威プログラムを利用することで、重要な脆弱性に対処し、敵に悪用されるのを防ぐ方法について幅広く考察し、既存のNITTFガイダンスを補完するものである。

Insider Threat(内部脅威)


「インサイダーの脅威」は、文明の起源から人類の歴史の一部となっています。
ほとんどの文化圏では、インサイダーの脅威に関する歴史的な物語があります。
米国の歴史には、信頼できる仲間が寝返ったときに直面する脅威を浮き彫りにする逸話がたくさんあります。
ベネディクト・アーノルドから最近の大惨事となった機密情報の不正開示に至るまで、共通の物語があります。
信頼された有能な人間が、人生の課題に直面して進路を変更し、最終的に危害を加えるというものです。

外国の敵対者が、侵入しようとする組織内のインサイダーを悪用したり、利用したりするために費やしているリソースを考えると、インサイダーの脅威は、今後数年間にわたり、ほとんどの重要インフラ事業体の脅威とリスクの状況の中で永続的な部分となるでしょう。

解決策は?インサイダー脅威は人間の問題であるため、人間による解決策が必要です。
テクノロジーを利用すれば、特にバーチャルな領域での従業員の行動を把握することができますが、インサイダー脅威に対抗するために組織が持つ最も重要なリソースは、従業員自身です。
このような脅威を軽減するために、組織は最低限、次の2つのことを実現しなければなりません。

  1. 個人の異常な行動を特定するプログラムと、それに対応するためのリソースを用意する。

  2. 信頼を醸成し、パートナーとしての従業員を活用する方法で、異常な行動に対応する。
重要インフラ事業体とは、大統領政策指令21(Critical Infrastructure Security and Resilience)で定義された、米国の電力網、通信ネットワーク、金融機関、製造施設、輸送施設、病院などの16セクターを指します。
これらのセクターには、道路や繊維などの物理的な資産だけでなく、それらを支える知的資本、すなわち医療、エネルギー研究、食糧生産、グリーンテクノロジーなどに携わる人々が含まれています。
これらの人々は、悪意のある目的のために重要な資源へのアクセスを求める外国の敵対者の主要なターゲットの一つです。

米国の重要インフラ事業体におけるインサイダーの脅威は、故意であるか否かにかかわらず、国家安全保障や公共の安全、さらには個々の企業や州・地方自治体に重大な損害を与える可能性があります。
このような脅威を軽減する方法を改善することは、国益と個々の組織の利益につながります。

NCSCとNITTFは、国土安全保障省、財務省、エネルギー省、国防省などと協力して、米国の民間企業、州・市・地方自治体、学界などの重要インフラ事業体をよりよく支援するために活動しています。
重要インフラ事業体には、従来のセキュリティ対策を強化・補完し、それぞれの環境や固有の脅威・リスクに合わせた、人間の行動に焦点を当てたインサイダー脅威対策プログラムに投資することをお勧めします。

How the Risk and Threat Environment is Changing(リスクと脅威の環境はどのように変化するか)


米国の脅威環境は、新たな種類とレベルの注意を必要とする形で変化しています。米国の重要なインフラは、地政学的な戦いの場であると同時に、大規模な犯罪活動の標的でもあります。


米国に対する外国のインテリジェンスの脅威は、今日ほど複雑でダイナミックなものはありません。
外国の脅威主体は、ますます洗練されたインテリジェンス能力を持ち、それらを新たな方法で米国を標的にしています。
さらに、これらの脅威主体は、自らの利益を追求するために利用すべきターゲットと脆弱性を拡大しています。敵対者は日常的に学習し、米国のセキュリティ対策に適応しています。

米国の重要インフラを破壊することは、外国の敵対者にとって、米国の国家安全保障、経済安全保障、国民の健康と安全に深刻な損害を与える手段の一つです。米国の国家防諜戦略、2020-2022年によると、

外国の諜報機関は、世界中の重要インフラを悪用し、破壊し、劣化させる能力を開発しています。外国の情報機関は、重要インフラを危険にさらすことで、危機的状況にある米国の意思決定者に影響を与えたり、強要したりすることを目的としている可能性が高い。世界各地の重要インフラは分散化され、デジタル化されているため、外国の情報機関が利用できる脆弱性があり、世界のエネルギー、金融市場、通信サービス、政府機能、防衛能力を支える施設やネットワークも標的となっています。

このように進化する脅威の状況と、米国の重要インフラの多くが民間企業に所有されているという事実を考慮すると、重要インフラの安全確保は、米国の情報コミュニティや連邦政府だけの機能ではありません。
解決策には、民間企業やその他のステークホルダーが関与する必要があります。米国の重要インフラを守るためには、官民一体となって「ゲームを盛り上げる」ことがこれまでになく求められています。

Insider Threats Pose New Kinds of Challenges(インサイダーの脅威がもたらす新たな課題)


重要インフラ企業に対するインサイダーの脅威は増大しています。これらの脅威は、リモートアクセスによるサイバー脅威に比べて評価が低く、緩和が困難な場合があります。


インサイダーの脅威は、サイバーセキュリティやサプライチェーンのリスクの観点からも、また、セキュリティに対する広範なリスクの観点からも、重要インフラに対する脅威のベクトルとしてますます重要になっています。

インサイダーの脅威は、経済スパイ、サボタージュ、職場での暴力、詐欺、その他の企業資源の悪用などによって被害をもたらす可能性があります。
インサイダー脅威活動には、外国の情報機関と連携したインサイダーによる意図的な行動や、悪意や犯罪の動機を持ったインサイダーによるその他の行動が含まれることがあります。
最後に、インサイダーは単純な過失や不注意によっても被害を引き起こす可能性があります。
現在の米国における緊迫した思想・イデオロギーの状況は、これらのリスクを悪化させ、一部の人々にはより多くの動機を与え、他の人々には高レベルのストレスに対してより脆弱にさせています。

米国の重要インフラ事業体に対するインサイダーの脅威は、一般的に目立ちがちなリモートアクセス型のサイバー脅威(フィッシング・キャンペーンなど)との関連で考えることが重要です。
重要インフラ保護の議論は、しばしばサイバーセキュリティの議論と同義となり、脅威の主体(人間)ではなく、主に戦場(サイバー)に焦点が当てられています。
しかし、多くの場合、アクセス権を持つ人間が我々のリソースの完全性を危うくしています。

重要なインフラは、今後も情報通信技術(ICT)への依存度を高めていくでしょう。
また、ICT要素間の相互依存性が高まり、その結果、脆弱性が増加する可能性があります。
遠隔地からのサイバー脅威は、重要インフラ事業体にとって継続的かつ深刻な脅威となります。
しかし、内部の人間は、インターネットを介して遠隔地からアクセスしなくても、ICTの脆弱性を悪用することができます。
リモートアクセスによるサイバープロテクションが非常に効果的であっても、敵対者は、組織に侵入するための最も実行可能な手段がインサイダーであると考えるかもしれません。

How the Covid-19 Crisis Affects the Threat/Risk Landscape(武漢ウイルスが脅威/リスクの状況に与える影響)


武漢ウイルスのパンデミックは、公衆の健康、安全、経済的不安を伴い、インサイダー脅威を含む脅威環境を悪化させる可能性があります。


武漢ウイルスのパンデミックは、米国および世界各国の公衆衛生、公衆安全、経済安全保障にかつてない危機をもたらしています。
米国の多くの州や地方の団体、企業、そしてそれらに勤める個人にとって、パンデミックは信じられないほどの新しいストレスをもたらしました。
このようなストレスを、外国の情報機関はチャンスと捉えています。

遠隔地や自宅で仕事をする人が増え、パンデミックの影響で、敵に悪用される可能性のある安全性の低い情報通信技術への依存度が高まり、これらの技術の要素間の相互依存性も高まっています。
同時に、雇用の確保や健康などに関する個人や家族の不安も増大する可能性があります。
緊迫した国家の経済、社会、政治情勢は、これらの緊張をさらに悪化させるかもしれない。
要するに、社会人の多くは、家庭でかつてないストレスに直面し、組織から孤立し、仕事をする上で安全性の低い情報技術への依存度を高めているのである。

このような環境では、強固で適応性のある内部脅威プログラムがより必要とされ、より困難になります。
インサイダー脅威プログラムは、インサイダー脅威の動機、行動、ストレスがより顕著になっているため、必要性が増しています。
このような環境下では、危機がセキュリティプログラムを含む企業や政府のリソースにストレスを与えるため、インサイダー脅威プログラムはますます困難になります。

Security as an Evolving Cycle(進化するセキュリティサイクル)


現在の環境では、企業は、進化する脅威やリスクの状況に合わせて、自社のセキュリティ態勢を見直すことが新たな課題となっています。


インサイダーの脅威に対抗するには、情報に精通し、意識が高く、献身的な従業員を基盤とした、組織全体の取り組みが必要です。
インサイダーの脅威に対処するためには、組織の市民意識を育み、セキュリティ文化を促進することが重要です。
真の組織的セキュリティは、国家安全保障とビジネスの両方の意味で、組織内の全員が責任を負うべきものです。

効果的な内部脅威プログラムは、単なる「セキュリティプログラム」ではなく、組織と従業員の保護に対する責任の共有を促進するための、従業員への継続的な働きかけと意識向上の取り組みです。

米国政府は半世紀以上にわたり、「オペレーション・セキュリティ」(OPSEC)という概念を推進してきました。
OPSECの核となるのは、敵対的な脅威(意図と能力)を考慮して組織の脆弱性を評価し、適切な緩和策を実施するというリスク管理サイクルです。

外国の国家および非国家の脅威主体が米国の産業や重要なインフラをますます標的としている中、産業界は外国の敵対的な脅威をリスクマネジメントやビジネスプラクティスに取り入れ、自社の従業員が問題ではなく解決策の一部であることを確認することが不可欠です。

進化する脅威環境の中で、企業は、今日の脅威に対して自社のセキュリティ態勢がどの程度適合しているかについて疑問を持つべきである。
外部からの物理的なアクセスや遠隔地からのサイバー脅威に対する対策は、インサイダーの脅威に対する対策よりも進んでいることが多い。
自社のセキュリティ態勢を把握することは、新たな脅威に対処するための第一歩です。

  • 多くの企業にとって、潜在的な脅威やリスクの数や範囲が非常に多いため、どれを優先すべきかが不明確になっています。多くの場合、物理的なアクセスや遠隔地からのサイバー攻撃など、一見すると最も重要なリスクに固執することになります。
  • ほとんどの組織は、リスクや脅威に対して何らかの形でセキュリティを構築していますが、これらのセキュリティ対策は、最新の脅威の状況にマッチしていない可能性があります。脅威やリスクへの対策は、専門的な「縦割り」で行われる傾向があり、企業としての見解を持つことは困難です。
  • 組織によっては、「チェック・ザ・ボックス症候群」に陥ることがあります。名ばかりのセキュリティプログラムは、何もしないよりはましだと考えてしまうのです。このようなリスクフレーミングは、深刻なセキュリティの欠陥を引き起こす可能性があります。
  • 既存のセキュリティ体制を強化したり、新しいセキュリティプログラムを作成したりすることは、リソース的に難しい場合が多い。従来のセキュリティ体制を維持する場合でも、その体制を見直し、評価して、現在の脅威や新たな脅威に対応しているかどうかを確認することが重要です。
進化する脅威環境の中で、企業や政府のリーダーは、次のような質問に答えられる必要があります。
組織の全体的なセキュリティ対策はどうなっているのか?
企業全体のセキュリティ体制はどうなっているのか?
セキュリティに対する最近の投資や組織変更はどうなっているのか?
現在および新たに出現する脅威環境との不一致はどのようなものか?
そのようなミスマッチがあるかどうかを知る立場にあるのは経営陣の誰か?
インサイダー脅威のインシデント、対応、あるいはより大きなセキュリティ態勢のミスマッチについて責任を負うのは誰か?
このような質問に、既存のポリシーとプラクティスに基づいて答えられない場合、セキュリティ態勢の見直しと評価の必要性がさらに高まる可能性があります。

セキュリティ態勢の評価は、組織が「インテリジェンスに似た」機能(組織のセキュリティに関連する情報を収集し、処理する能力)を果たしているかどうかを判断するのに役立ちます。深刻なセキュリティイベントは、組織のインテリジェンスが機能していないことが原因となる場合があります。


脅威に効果的に対応するためには、多くの重要インフラ企業がセキュリティの「インテリジェンス」機能を構築するか、既存の機能を強化する必要があります。
米国の情報コミュニティにおけるインテリジェンスとは、米国の政策決定に関連する質問、洞察、仮説、データ、証拠などの情報を指します。
重要インフラ組織におけるインテリジェンスとは、組織の目標を成功裏に達成し、脅威やリスクから身を守るために必要な情報のことである。
重要インフラのセキュリティを強化するためのインテリジェンス機能の主な要素は以下の通りです。

  • 人的、物理的、情報的な分野における脅威と脆弱性を分析するセキュリティ・インテリジェンス・プログラムの構築

  • 頻発するセキュリティ違反や「危機一髪」事件のパターンの傾向分析の実施

  • セキュリティに関する懸念事項を従業員に伝えるためのコミュニケーションプランの策定

  • 複数の組織的専門分野(人事、福利厚生、情報技術など)をセキュリティの計画と運用に統合すること

  • 内部および外部の脅威について常に最新の情報を得る(また、将来を見据える)

  • 組織横断的な学習のためのリソースを確保すること

  • 市民の自由とプライバシーの保護を、セキュリティおよびインテリジェンスに類似したプログラムに完全に組み込むこと
米国政府のインサイダー脅威プログラムでは、「防諜」情報へのアクセスが一つの最低基準となっています。
正式な防諜プログラムは、企業の多くにとって実現可能ではないと思われますが、意図や能力を含む外国の敵対的脅威に関する情報を組織のリスク管理に組み込んで、決意の固い、組織化された、資金力のある敵対者から保護することは必須です。
このようなプログラムは、組織とその従業員を守り、重要なインフラが危険にさらされている場合には、米国の国家安全保障と公共の安全を守ることにつながります。
インサイダー脅威プログラムは防諜プログラムではありませんが、敵対的な脅威を理解し、それをリスク管理の取り組みに組み込むことで、インサイダー脅威プログラムがその取り組みに集中し、脅威に対抗するために従業員をよりよく準備するのに役立ちます。

2021/05/23

Torは10月にv2オニオンサービスのサポートを終了します。 / Tor is Killing off Support for v2 Onion Services in October(転載)


Tor is Killing off Support for v2 Onion Services in October 

2020年7月、Tor Projectは、バージョン2のオニオンサービス(v2)を終了し、より安全性の高いバージョン3のオニオンサービス(v3)に移行するスケジュールを発表しました。2021年10月16日までに、短いオニオンサービスは機能的に存在しなくなる。

David Goulet氏からのtor talkメッセージによると、Tor Projectは安全性を唯一の目的として、v2オニオンサービスからオニオンサービスへの移行を強行しているという。

Onion service v2は、RSA1024と80ビットSHA1(切り捨て)のアドレスを使用しています。また、TAPハンドシェイクを使用していますが、これはv2のサービスを除き、何年も前からTorから完全に削除されています。その単純なディレクトリシステムは、様々な列挙攻撃や位置予測攻撃を引き起こし、HSDirリレーにv2サービスを列挙したりブロックしたりするための大きな力を与えています。最後に、v2サービスはもう開発もメンテナンスもされていません。最も深刻なセキュリティ問題にのみ対処しています。

Tor Projectのブログ記事にあるように、オニオンサービスの運営者は、ユーザーやインフラをv3のオニオンサービスに移行するのに何年もかかっています。しかし、Tor Projectは困難を予想しています。

今回のv3sへの移行は、Tor Projectが提唱するセキュリティの観点からも理にかなっていると言えます。しかし,多くのユーザーはこれに反対し,発表のコメント欄でこの変更の是非について議論しました。あるユーザーは、Tor Projectが、Torユーザーが古くて安全でないソフトウェアを使うのを防ぐことで、オープンソースソフトウェアの性質を「誤解」していると書きました。別のユーザーは、上述のコメント欄に反応して、そのようなとんでもない考え方を持つユーザーが技術的にはまだv2を使用できることを説明しました。

Torのソースコードをダウンロードして、v2の機能を再び追加することは歓迎されています。誰もあなたを止めることはできません。もしあなたのお気に入りのサイトがv2(パッチを当てたTor)をホストしていないなら、そうするように彼らを説得しなければなりません。もし彼らを説得できないのであれば、まあ、結局のところv2はそれほど重要ではないのかもしれません。

また、客観的に見ても、V2オニオンの方が美しいというのが一般的です。V3は見た目が汚いから抵抗があるのかもしれません。

とはいえ、10月のキルデートまであと数ヶ月。



2021/05/22

脆弱性診断士とは


経済産業省が出しているサイバーセキュリティ経営ガイドラインにも記載があることから、脆弱性診断というのは個人的には一般化してきているものと考えている。

一方で、脆弱性診断を取り扱う会社も多く、せっかく社内で脆弱性診断のルールの統一を図ったのに「他社が安いので他社でもよいか」みたいな話が出てきて閉口することがよくある。

それでも最近は同じく経産省が情報セキュリティサービス基準なるものを用意してくれ、IPAが一定の基準を満たした事業者を公開してくれているので、結構助かっている。

ところで、外部に脆弱性診断を依頼すると金額が高額であったり、リソース調整に難儀して診断着手までに時間がかかるようなことはないだろうか?

診断業務の一般化が進む一方、診断業務に必要な人材は不足していると想定され、この辺のスキルを身に着けると、自身の市場価値が上がるのではなかろうか?

そんなわけで、脆弱性診断を生業とする「脆弱性診断士」について調べてみた。

実は「脆弱性診断士」という資格自体は2020年に初めてベンダー資格として登場したもので意外にも新しい資格である。

一方で、このベンダー資格として誕生させるまでの様々な成果物はオープンソースで公開されているため、これらの情報を参考に必要な技術を習得できると、「脆弱性診断士」と同格になると考えることもできる。

 昨今診断ツールが充実しているので良いのではとの考え方もあるが、やはりツールだけでは簡易的な検査となってしまい、機密情報を扱う外部公開システムに対しては十分とは言い切れない。

そこでツールだけでは補いきれない部分をカバーするのが「脆弱性診断士」ということになる。

ちなみに個人的にはツール診断を使いこなすレベルの人材でも結構需要があると考えている。

最近、この辺は医者の種類のような感じなのではないかと思っている。

1.ツール診断のみでの簡易診断:所謂町医者や診療所。安価で多くの人が受診可

2.ツール診断+マニュアル診断:総合病院。それなりの設備と専門の勤務医がおり、金額もそれなりにかかる。

3.フルマニュアル診断:専門病院。業界的にも名の通ったスペシャリストが直々に診察するが、超高額。

セキュリティベンダー等で今後診断をメインで実施していくような方は、是非上記の3.を目指してほしいが、個人的には1.の町医者レベルをまずは目指したいと考えている。

自身はセキュリティエンジニアではなく、セキュリティマネージャーなので、特定の狭い領域を深掘るのではなく、幅広い領域を均等に抑えておく必要があると考えている。

いろいろ資料を探していたら、参考資料がたくさん見つかったので、残しておきます。

脆弱性診断士スキルマッププロジェクト
 -脆弱性診断士(Webアプリケーション)スキルマップ&シラバス(バックアップ)
 -脆弱性診断士(Webアプリケーション)スキルマップ&シラバスについて(バックアップ)
 -脆弱性診断士(プラットフォーム)スキルマップ&シラバス(バックアップ)
 -脆弱性診断士(プラットフォーム)スキルマップ&シラバスについて(バックアップ)

安全なウェブサイトの作り方

Webサイト開発者や運営者が適切なセキュリティを考慮したWebサイトを作成できることを目的としてIPAより公開されている資料。メジャーなWebアプリケーションの脆弱性に関する脆弱性の概要、発生しうる脅威、一般的な対策方法などが記載されています。また、ウェブサイト全体の安全性を向上させるための方策や具体的な実装例などを伴ったウェブアプリケーションに脆弱性を作りこんでしまった「失敗例」についても解説されています。

なぜ自社で脆弱性診断を行うべきなのかバックアップ

Webアプリケーションの脆弱性診断における自動診断と手動診断のそれぞれの特徴や、診断業務のやり方について記載されています。また、脆弱性診断を自社で行うことによるメリットについて、コストや品質の面から解説がされています。

星野君のWebアプリほのぼの改造計画 

会社の「Web担当」に配属された星野君が、Webアプリケーション開発業務の中で様々なセキュリティの問題に直面し、解決をしていく日常が対話形式で描かれています。Webアプリケーションの開発において、作りこまれやすい問題の原因や対策について学ぶことができます。

・Burp Suite関連
 -Burp Suite ハンズオントレーニング資料:1.HTTP基礎入門バックアップ) 
 -Burp Suite ハンズオントレーニング資料_2.Burp Suite導入・操作バックアップ
 -Burp Suite ハンズオントレーニング資料_3.Burp Suite実践編バックアップ
 -Burp Suite ハンズオントレーニング資料_4.Burp Suite回答編バックアップ

Burp Suite Japan User Groupより公開されているBurp Suiteを用いて脆弱性診断を学ぶことを目的として開催されたハンズオントレーニングの資料です。 HTTPに関する基礎知識やBurp Suiteの基本的な操作方法についても解説されており、Burp Suiteを用いてXSSやSQLインジェクションの脆弱性を検出する方法を学ぶことができるでしょう。

 -Burp Suite Startup マニュアルバックアップ

Burp Suite Japan User Groupにより公開されている資料です。Webアプリケーションのセキュリティ診断で活用されるプロキシツール「Burp Suite」における、インストール方法から診断をする上で必要な設定や各種機能の利用方法について、図や実際の画面キャプチャを用いて説明されています。初めて「Burp Suite」を使用される方におすすめの資料です。

・OWASP ZAP
 -OWASP ZAP マニュアル Ver.2.1.0版バックアップ
 -OWASP ZAP マニュアル Ver.2.10.0版
 -ZAP Handbook in Japanese

ZAP Evangelistとして活動されているYuhoKamedaさんが、OWASP ZAP関連の日本語資料について解説しているサイトです。ZAPを使って診断を行うための解説や、OWASP Top10の脆弱性をZAPを使って見つける診断方法を日本語で公開しています。

 -OWASP Testing Guideバックアップ

OWASPが提供するセキュリティテストに関するガイドラインです。セキュリティテストが備えるべき診断項目や手順などが紹介されています。

HTML5を利用したWebアプリケーションのセキュリティ問題に関する調査報告書バックアップ

JPCERT/CC発行のHTML5セキュリティに関する調査報告書です。HTML5特有のテスト観点の整理や、開発時に気をつけるべき事項が紹介されています。(一部古くなっている記述もあります。)

2021/05/21

液体窒素ダイエット(クライオセラピー / cryotherapy)とは


 液体窒素ダイエットってご存じだろうか?

以前見聞きして気になっていたのだが、記憶から消え去る前にこちらに残しておきたい。

液体窒素って冷たいイメージしかないが、その液体窒素を使って全身を冷却することで血管を収縮し、その後、血管が元に戻ろうと膨張することで、血流を促進、カラダの中の老廃物や疲労物質を流す、というもの。

液体窒素を利用して、-120℃~-196℃程度の超低温状態になったキャビン内に入って身体全体を急速に冷すのが概要で、1回につき、2~3分間程度入る。

これが、アンチエイジングや疲労回復、ダイエットの観点から注目されているらしい。

ダイエットの観点でいうとポイントは2つあるようで、

  1. アポトーシスによる脂肪細胞消滅
    全身ケアがわずか2分から3分で効率的にできるクライオセラピーでは、冷やされた脂肪細胞が、自ら消滅するというアポトーシスという状態に陥らせることができます。 アポトーシスは体が自らの体のために細胞を消滅させるという働きです。 これにより、脂肪細胞が体外へ排出されるため、脂肪細胞が元に戻らずリバウンドのリスクも減少できます。

  2. 脂肪細胞の燃焼
    自然環境では到底考えられない-196℃までの超低温環境に一気に引き込むことで、体は驚いて体の機能を保つために体温を保たせようとします。 そのために熱を一気に高め、エネルギーの量産を図ります。 この際、蓄積された脂肪細胞が熱エネルギーの量産のために使われ、わずか短時間のクライオセラピーで効果的に痩せることができる。

んー。ポジティブにとらえると、使わない脂肪細胞は死滅して減るし、生き残った細胞は燃焼して激やせって感じがするが、

一方で、脂肪細胞は「死ぬ」のか「燃やされる」のか、どっちやねんって感じ。

1回の施術が2~3分で完了するというのはあ非常に魅力的だが、このダイエット方法、分野的に日本より何歩も先行くアメリカでも認証や規制等はまだされていないようで、何をどう誤ったのか、キャビンで凍死した事件も起きている模様。

日本でも液体窒素ダイエットを提供している事業者はいるようだが、まぁ自己責任ということで。

【参考】
日本クライオ療法推進協会

香水通販サイトに不正アクセス(転載)~想定損害賠償額は1.1億円程度か~

香水通販サイトに不正アクセス - クレカ情報が流出

香水学園もEC-CUBE

香水を扱う通信販売サイト「香水学園」を運営するプラネットは、同サイトが不正アクセスを受け、顧客のクレジットカード情報が流出し、不正に利用された可能性があることを明らかにした。

同社によれば、システムの脆弱性を突く不正アクセスを受け、2020年2月24日から2021年1月8日にかけて、同サイトで新規に登録したり、変更した上で決済に利用された顧客2821人分のクレジットカード情報が外部に流出し、不正に利用された可能性があることが判明したもの。

同サイトの決済アプリケーションが改ざんされ、クレジットカードの名義や番号、有効期限、セキュリティコードなど、顧客のクレジットカード情報が窃取された。またクレジットカード以外の個人情報を格納するサーバについても、ログファイルなどの調査から不正アクセスを受けたことがわかっているという。

1月8日にクレジットカード会社から情報流出の可能性について連絡を受け、問題が判明。外部事業者による調査は2月28日に完了した。4月28日に個人情報保護委員会へ報告、警察に被害を申告した。

また対象となる顧客に対しては5月19日より順次メールや書面を通じて個別に連絡を取り、身に覚えのない請求などが行われていないか確認するよう注意喚起を行っている。

2021/05/20

Kali linux ツールリスト / Kali Linux Tools Listing ~不定期更新中~


 ■Information Gathering(情報収集)

  • ace-voip
  • Amap
  • APT2
  • arp-scan
  • Automater
  • bing-ip2hosts
  • braa
  • CaseFile
  • CDPSnarf
  • cisco-torch
  • copy-router-config
  • DMitry
  • dnmap
  • dnsenum
  • dnsmap
  • DNSRecon
  • dnstracer
  • dnswalk
  • DotDotPwn
  • enum4linux
  • enumIAX
  • EyeWitness
  • Faraday
  • Fierce
  • Firewalk
  • fragroute
  • fragrouter
  • Ghost Phisher
  • GoLismero
  • goofile
  • hping3
  • ident-user-enum
  • InSpy
  • InTrace
  • iSMTP
  • lbd
  • Maltego Teeth
  • masscan
  • Metagoofil
  • Miranda
  • nbtscan-unixwiz
  • Nikto
  • Nmap
  • ntop
  • OSRFramework
  • p0f
  • Parsero
  • Recon-ng
  • SET
  • SMBMap
  • smtp-user-enum
  • snmp-check
  • SPARTA
  • sslcaudit
  • SSLsplit
  • sslstrip
  • SSLyze
  • Sublist3r
  • THC-IPV6
  • theHarvester
  • TLSSLed
  • twofi
  • Unicornscan
  • URLCrazy
  • Wireshark
  • WOL-E
  • Xplico

■Vulnerability Analysis(脆弱性分析)

  • BBQSQL
  • BED
  • cisco-auditing-tool
  • cisco-global-exploiter
  • cisco-ocs
  • cisco-torch
  • copy-router-config
  • Doona
  • DotDotPwn
  • HexorBase
  • jSQL Injection
  • Lynis
  • Nmap
  • ohrwurm
  • openvas
  • Oscanner
  • Powerfuzzer
  • sfuzz
  • SidGuesser
  • SIPArmyKnife
  • sqlmap
  • Sqlninja
  • sqlsus
  • THC-IPV6
  • tnscmd10g
  • unix-privesc-check
  • Yersinia





SmilesでANAの特典航空券が!


 Smilesというブラジルのロイヤリティプログラムがある。

ここで獲得できるマイルは事実上GOL航空のマイルとなる。

どこのアライアンスにも加盟していないブラジルの航空会社のマイルをためてどうするんじゃいという突っ込みがあるが、このGOL航空、提携会社が非常に多い。

マイルをため始めた当初は、アジア圏の提携航空会社は大韓航空しかなかったが、韓国経由で世界に旅立てるので、それなりに使い道があるだろうと思って貯めていた。


先日、武漢ウイルスの蔓延が長期化しそうなので、マイルの定期購入を停止しようとサイトを見ていたら、提携航空会社にANAが追加されているのを確認した。

試しにHND-ITM間検索したら、ちゃんと出てきた。

が、異様に高い。

約40,000マイルだが、この分をマイルを購入すると2,800BRL≒60,000円となる。

仮にマイルをすでに持っていて、マイル+キャッシュで進めようとしても700BRL≒15,000円となり、まったくメリットがない。

しかし、Smilesの提携航空会社にはANAの表記があるものの、ANAのサイトにはGOL航空やsmilesの情報がないのは何故だろう?

ちなみにsmilesはいろいろクセが強く、個人的にはリスクテイクができるマイラー最上級者向けだと思う。

2021/05/19

ロシア対外情報庁(SVR)が行なっているサイバーオペレーションとネットワーク管理者向けのベストプラクティス / Russian Foreign Intelligence Service (SVR) Cyber Operations: Trends and Best Practices for Network Defenders


ロシア対外情報庁(SVR)が行なっているサイバーオペレーションとネットワーク管理者向けのベストプラクティス "Russian Foreign Intelligence Service (SVR) Cyber Operations: Trends and Best Practices for Network Defenders" [PDF] us-cert.cisa.gov/sites/default/…: ロシア対外情報庁(SVR)が行なっているサイバーオペレーションとネットワーク管理者向けのベストプラクティス
"Russian Foreign Intelligence Service (SVR) Cyber Operations: Trends and Best Practices for Network Defenders"
[PDF] us-cert.cisa.gov/sites/default/…

SUMMARY

米連邦捜査局(FBI)と米国土安全保障省(DHS)は、ロシア対外情報庁(SVR)のサイバーアクター(Advanced Persistent Threat 29(APT29)、Dukes、CozyBear、Yttriumとも呼ばれる)が、今後もサイバー搾取を通じて米国および外国の企業から情報を得ようとしていると評価しています。

このサイバー搾取では、洗練度の異なるさまざまな初期搾取技術と、侵害されたネットワークへのステルス侵入技術が用いられます。

SVRは主に、政府機関のネットワーク、シンクタンクや政策分析機関、情報技術企業などを標的としています。

2021年4月15日、ホワイトハウスはSolarWindsの不正アクセスに関する声明を発表し、この活動がSVRによるものであることを明らかにしました。

FBIとDHSは、SVRのサイバーツール、ターゲット、テクニック、能力などの情報を提供し、組織が独自に調査を行い、ネットワークを保護するのに役立てています。

THREAT OVERVIEW


SVRのサイバー活動は、米国にとって長年の脅威となっています。

2018年以前には、複数の民間サイバーセキュリティ企業が、被害者のネットワークにアクセスして情報を盗むAPT 29の活動に関するレポートを発表しており、被害者のネットワーク内でステルス性を最大限に高めるためにカスタマイズされたツールを使用していることや、APT 29のアクターが検知されずに被害者の環境内を移動できることが強調されていました。

2018年以降、FBIは、SVRが被害者のネットワーク上でマルウェアを使用することから、クラウドのリソース、特に電子メールを標的にして情報を得ることにシフトしていることを確認しました。

改造したSolarWindsソフトウェアを使用してネットワークアクセスを得た後、Microsoft Office 365環境を悪用したことは、この継続的な傾向を反映しています。

クラウド・リソースを標的にすることで、被害者の組織が十分に防御、監視、理解していない環境において、漏洩したアカウントやシステムの誤設定を利用して、通常のトラフィックや監視されていないトラフィックに紛れ込ませることで、検知の可能性を下げていると考えられます。

SVR CYBER OPERATIONS TACTICS, TECHNIQUES, AND PROCEDURES


Password Spraying


2018年に行われたある大規模ネットワークの侵害では、SVRのサイバーアクターがパスワードスプレーを使用して、管理者アカウントに関連する弱いパスワードを特定しました。

このサイバー犯罪者は、検出を避けるためか、頻繁ではない間隔で少数のパスワードを試行し、「ロー&スロー」な方法でパスワードスプレー活動を行いました。

パスワードスプレーでは、住宅用、商業用、モバイル用、TOR(The Onion Router)用など、被害者と同じ国に存在する多数のIPアドレスが使用されました。

この組織では、侵害された管理者アカウントが多要素認証の要件から意図せずに除外されていました。

管理者アカウントにアクセスした行為者は、ネットワーク上の特定の電子メールアカウントの権限を変更し、認証されたネットワークユーザーであれば誰でもこれらのアカウントを読むことができるようにしました。

また、この設定ミスを利用して、管理者以外のアカウントを侵害していました。

この設定ミスにより、多要素認証に対応していない端末で、従来の単一要素認証によるログインが可能になりました。

これは、Apple社のメールクライアントやMicrosoft社のOutlookなどの旧バージョンのメールクライアントに見せかけるために、ユーザーエージェントの文字列を偽装することで実現したとFBIは考えています。

管理者以外のユーザーとしてログインした後、侵害された管理者ユーザーが適用した権限変更を利用して、被害組織内で関心のある特定のメールボックスにアクセスしました。

パスワードスプレーは様々なIPアドレスから行われていましたが、いったんアカウントにアクセスすると、そのアカウントは通常、リースした仮想プライベートサーバ(VPS)に対応する1つのIPアドレスからのみアクセスされます。

侵害されたアカウントに使用されたVPSの重複は少なく、後続の行為に使用されたリースサーバはいずれも被害組織と同じ国にありました。

アクセス期間中、行為者は常に管理用アカウントにログインしてアカウントの権限を変更しており、もはや関心がないと思われるアカウントへのアクセスを削除したり、追加のアカウントに権限を追加したりしていました。

Recommendations


この手法から身を守るために、FBIとDHSは、ネットワーク事業者に対して、クラウドコンピューティング環境へのアクセスを設定する際に、以下のようなベストプラクティスに従うことを推奨しています。

  • 構内および遠隔地のすべてのユーザーに対して、承認された多要素認証ソリューションの使用を義務付ける。

  • 組織が所有していないIPアドレスやシステムから管理機能やリソースへのリモートアクセスを禁止する。

  • メールボックスの設定、アカウントの権限、メール転送のルールを定期的に監査し、不正な変更の痕跡を確認する。

  • 可能であれば、強力なパスワードの使用を強制し、特に管理者アカウントでは、技術的手段により容易に推測されるパスワードやよく使われるパスワードの使用を防止する。

  • 組織のパスワード管理プログラムを定期的に見直す。

  • 組織のITサポートチームが、ユーザーアカウントロックアウトのパスワードリセットに関する標準作業手順を十分に文書化していることを確認する。

  • 全従業員を対象としたセキュリティ意識向上のためのトレーニングを定期的に実施する。

Leveraging Zero-Day Vulnerability


別の事件では、SVRのアクターが、仮想プライベートネットワーク(VPN)アプライアンスに対して、当時ゼロデイエクスプロイトであったCVE-2019-19781を使用してネットワークアクセスを取得しました。

ユーザー認証情報を公開する方法でデバイスを悪用した後、アクターは公開された認証情報を使ってネットワーク上のシステムを特定し、認証しました。

この行為者は、多要素認証を必要とするように設定されていない複数の異なるシステムに足場を築き、外国の諜報機関が関心を持つ情報に沿って、ネットワークの特定の領域にあるウェブベースのリソースにアクセスしようとしました。

最初の発見後、被害者は行為者を退去させようとしました。

しかし、被害者は最初のアクセスポイントを特定しておらず、行為者は同じVPNアプライアンスの脆弱性を利用してアクセスを再開しました。

最終的には、最初のアクセスポイントが特定され、ネットワークから削除され、アクターは退去しました。

前述のケースと同様、行為者は被害者と同じ国にある専用VPSを使用していましたが、これはおそらく、ネットワーク・トラフィックが通常の活動とは異なっているように見せるためでしょう。

Recommendations


この手法から守るために、FBIとDHSは、ネットワーク防御側が、エンドポイント監視ソリューションが、ネットワーク内での横方向の動きの証拠を特定できるように構成されていることを確認することを推奨しています。

  • ネットワークを監視し、エンコードされたPowerShellコマンドの証拠や、NMAPなどのネットワークスキャンツールの実行を確認する。
  • ホストベースのアンチウイルス/エンドポイントモニタリングソリューションが有効であり、モニタリングやレポートが無効になった場合、またはホストエージェントとの通信が合理的な時間を超えて失われた場合に警告を発するように設定されていること。
  • 内部システムへのアクセスに多要素認証の使用を求める。
  • テストや開発に使用するシステムを含め、ネットワークに新たに追加されたシステムは、組織のセキュリティベースラインに沿ってすぐに設定し、企業の監視ツールに組み込む。

WELLMESS Malware


2020年、英国、カナダ、米国の政府は、「WELLMESS」と呼ばれるマルウェアを使用した侵入行為をAPT29によるものだと発表しました。

WELLMESSは、プログラミング言語「Go」で記述されており、以前に確認された活動では、COVID-19ワクチンの開発を標的にしていたようです。

FBIの調査によると、最初にネットワークに侵入した後、通常はパッチが適用されていない一般に知られた脆弱性を利用して、犯人はWELLMESSを導入しました。

ネットワークに侵入すると、各組織のワクチン研究用リポジトリとActive Directoryサーバを標的にしました。

これらの侵入は、ほとんどが社内のネットワークリソースを標的としたものであり、これまでの手法とは異なるものでした。

今回の侵入に使用されたマルウェアの詳細については、これまでに公開されており、本文書の「リソース」の項で参照しています。

Tradecraft Similarities of SolarWinds-enabled Intrusions


2020年の春から夏にかけて、SVRのサイバーオペレーターは、改造したソーラーウインズのネットワーク監視ソフトウェアを最初の侵入経路として使用し、多数のネットワークへのアクセスを拡大し始めました。

SVRが信頼のおけるソーラーウインズ製品を改造して侵入経路として使用したことは、SVRのこれまでのトレードクラフトからの顕著な逸脱でもあります。

FBIの最初の調査結果によると、侵入に使われたインフラの購入・管理方法など、SVRが主催する他の侵入行為と感染後の手口が類似していることが判明しました。

SVRのサイバーアクターは、被害者のネットワークにアクセスした後、ネットワークを介して電子メールアカウントにアクセスしました。

複数の被害者組織で狙われたアカウントには、ITスタッフに関連するアカウントも含まれていました。

FBIは、サイバー犯罪者がITスタッフを監視することで、被害者のネットワークに関する有用な情報を収集し、被害者が侵入を検知したかどうかを判断し、退去措置を回避したのではないかと考えています。

Recommendations


信頼できるソフトウェアの侵害からネットワークを守ることは困難ですが、一部の企業では、最初の悪意のあるSolarWindsソフトウェアからの後続の悪用活動を検出し、防止することに成功しました。これは、以下のような様々な監視技術を用いて達成されました。

  • ログファイルを監査して、特権的な証明書へのアクセスの試みや偽の識別プロバイダの作成を特定する。

  • 暗号化されたPowerShellの実行を含む、システム上の不審な行動を特定するソフトウェアを導入する。

  • 侵害の行動指標を監視する機能を備えたエンドポイントプロテクションシステムを導入すること。
  • クラウド環境でのクレデンシャルの不正使用を特定するために、利用可能なパブリックリソースを使用する。
  • 新しいデバイスの登録など、システム上での特定のユーザー活動を確認するための認証メカニズムの設定。

被害組織の中には、最初のアクセス経路がソーラーウインズのソフトウェアであることを特定できたところはほとんどありませんでしたが、一部の組織では、さまざまな警告を関連付けて不正な活動を特定することができました。

FBIとDHSは、これらの指標と、ネットワークのセグメンテーションの強化(特に「ゼロトラスト」アーキテクチャやIDプロバイダー間の信頼関係の制限)とログの相関関係を組み合わせることで、ネットワーク防御者は追加調査が必要な疑わしい活動を特定できると考えています。

General Tradecraft Observations


SVRのサイバーオペレーターは有能な敵です。

上記の技術に加えて、FBIの調査では、侵入に使用されるインフラが、偽の身分証明書や暗号通貨を使って頻繁に入手されていることが明らかになっています。

VPSインフラは、VPS再販業者のネットワークから調達されることが多い。これらの偽装IDは、通常、一時的な電子メールアカウントや一時的なVoIP(Voice over Internet Protocol)電話番号など、評判の低いインフラによって支えられています。

SVRのサイバーアクターが独占的に使用しているわけではありませんが、SVRのサイバーペルソナの多くは、cock[.]liや関連ドメインでホストされた電子メールサービスを使用しています。

また、FBIは、SVRのサイバーオペレーターが、オープンソースの認証情報ダンプツール「Mimikatz」や、市販の悪用ツール「Cobalt Strike」など、オープンソースや市販のツールを継続的に使用していたと指摘しています。

Recommendations


FBIとDHSは、サービスプロバイダーに対し、サービスの悪用を防止するために、ユーザーの検証・確認システムを強化することを推奨しています。

2021/05/18

コロニカル・パイプライン社が支払った500万ドルの身代金 / Ransomware victim Colonial Pipeline paid $5m to get oil pumping again, restored from backups anyway(転載)~早々に身代金を支払ったものの・・・~


コロニカル・パイプライン社が支払った500万ドルの身代金

Ransomware victim Colonial Pipeline paid $5m to get oil pumping again, restored from backups anyway – report

ランサムウェアの感染により、Colonial Pipeline社の経営者は、デジタルシステムの制御権を回復し、パイプラインから石油を供給するために500万ドルを支払ったと報じられています。

この支払いのニュースはBloombergが伝えたもので、Bloombergは匿名の情報源を引用しただけでなく、他の報道機関の匿名の情報源が今週初めにこのアメリカのパイプライン運営会社は身代金を支払うことはないだろうと言ったことを嘲笑しています。

"ワシントン・ポストやロイターなどのメディアが、同社が身代金を支払う意図は当面ないと報じました。ブルームバーグは、「これらの報道は匿名の情報源に基づいていた」とほくそ笑んでいますが、その一方で、「同社の取り組みに詳しい人物」という無名の人物を同じ言葉で表現することは避けています。

メディアの自画自賛はさておき、ジョージア州のColonial Pipeline Companyは、システムの制御権を取り戻すために身代金として500万ドルを支払ったと言われています。Bloombergは、おなじみの匿名の情報源を引用して、この支払い後に犯人が提供した復号化ユーティリティーは動作が遅いため、Colonial社は週末から引き続きバックアップからシステムを復元していると主張している。

ランサムウェアがファイルシステムに何かを隠していた場合に備えて、感染したコンピュータを消去して新たにやり直すべきだからです。

5月7日(金)にパイプラインが停止した原因については様々な憶測が飛び交っていますが、最も可能性が高いのは、パイプラインのポンプやバルブを制御する運用技術(OT)が危険にさらされたのではなく、石油の流れを監視し、その流れに基づいて請求記録を作成するバックオフィスシステムがランサムウェアによってKOされたということです。

石油を汲み上げることはできても、誰にどれだけの量を送っているのかがわからなければ、石油の受託サービス事業は大きな利益を逃し、エンジニアは安全性が重要なシステムがどれだけ消耗しているのかをすぐに見失ってしまいます。だからこそ、このようなシャットダウンが必要なのです。

Colonial Pipeline社によると、テキサス州ヒューストンとニューヨーク港の間で1日1億ガロンの精製燃料を輸送しており、これは米国東海岸で必要とされる全燃料の45%に相当する。パイプラインは、自動車やトラックの燃料、ジェット燃料、暖房用オイルなどを運んでおり、ガソリンが不足しているという報告もある。

ランサムウェア対策の専門企業であるEmsisoft社のBrett Callow氏は、今回報告された支払い額は比較的少額であると述べています。「公表されている最高額の要求は5,000万ドルであり、この事件が引き起こしている大規模な混乱とそのコストを考えると、500万ドルは驚くほど少額に思えます。しかし、もし本当に支払われているのであれば、重要なインフラがランサムウェアの標的になっていることは間違いないでしょう。ある分野が儲かるとわかれば、彼らは何度も何度もその分野を攻撃するでしょう」と述べています。

Colonialでは1ヶ月前に新しいサイバーセキュリティ・マネージャーを採用していました。その仕事に就いた者は、おそらく非常に興味深い数日間を過ごすことになるだろう。

このランサムウェア・ギャングはDarksideという名前で活動しており、欧米の情報セキュリティ企業は少なくとも12の異なる名前で追跡しています。昨年8月から活動を開始し、これまでに約80件の不正アクセスを行ったと言われています。先週、このパイプラインが止まり、FBIが関与することになったとき、このクルーの背後にいるロシア語を話す犯罪者たちは、自分たちはただビジネスをしているだけであり、他意はないと主張する声明をTorホストのブログを通じて発表した。

これを翻訳すると、アメリカ東海岸の液体炭化水素を供給する重要な技術を破壊して国際的な注目を集めた彼らを追跡して収容所に送らないよう、ロシア語圏の祖国の権力者たちに必死に訴えているようにも見える。

2021年にツイッターでフォローすべきサイバーセキュリティの専門家トップ21 / Top-21 Cybersecurity Experts You Must Follow on Twitter in 2021.


Cybersecurity Experts to Follow on Twitter:

サイバーセキュリティに関しては、専門家から学ぶことに勝るものはありません。業界のトップインフルエンサーから洞察を得ることは、アプリケーションセキュリティ戦略を最適化する上で非常に重要であることがわかります。そこで今回は、2021年にTwitterでフォローすべきサイバーセキュリティの専門家トップ21人をご紹介します。Magecart、Web-Skimming、Supply Chain Attacksなどの脅威を解明する時が来ました。

#1 Rafay Baloch

https://twitter.com/rafaybaloch
Rafay Balochは、倫理的ハッキングで広く知られる有名な情報セキュリティ専門家です。彼は、ゼロデイ脆弱性やWAFの欠陥など、大規模なセキュリティ上の脅威を特定することにかけては、最も信頼できるエキスパートです。また、自身のブログでは、モバイルやWebブラウザの脆弱性を明らかにし、セキュリティ関連のヒントを提供しています。


#2 Troy Hunt

トロイ・ハントは、著名な作家であり、Webセキュリティに関するPluralsightのコースに貢献しています。また、サイバーセキュリティをテーマにした技術会議で頻繁に講演を行っています。また、Haveibeenpwned? というウェブサイトで知られており、何百万人もの企業や個人のウェブユーザーが、自分の電子メールや携帯電話が改ざんされていないか、データが盗まれていないかを確認できるよう支援しています。

#3 Kevin Mitnick

ミトニックは、40の大規模組織をハッキングした罪で逮捕され、判決を受けた後、大企業や政府までも助けるホワイトハットハッカーとなりました。また、CNN、FOXニュース、BBCなどの放送局に頻繁に出演し、セキュリティ問題についての教育やコメントを行っています。また、KnowBe4社のオーナーとして、セキュリティ意識を高めるためのトレーニングプログラムを作成しています。

#4 Rachel Tobac

https://twitter.com/RachelTobac
ホワイトハット・ハッカーは、PayPal、Twitter、Uber、WhatsAppなどの顧客を持つサイバーセキュリティ企業、Social Proof SecurityのCEOです。彼女の会社では、参加者が自律的にウェブサイトをハッキングするソーシャルエンジニアリングのイベントを開催して、人々にセキュリティについての教育を行っています。攻撃を受ける側は、もちろん状況を十分に把握しています。

#5 Mikko Hyppönen

https://twitter.com/mikko
フィンランドのセキュリティ専門家であるミッコ・ヒッポネンは、いわゆる「ヒッポネンの法則」を考案したことで有名になりました。この法則は、あらゆる「スマートアプライアンス」には脆弱性があるというIoTルールです。彼は1991年からエフセキュアに勤務しており、彼の印象的な記事は「ニューヨーク・タイムズ」や「ワイアード」に掲載されています。Hyppönen氏は、スタンフォード大学、オックスフォード大学、ケンブリッジ大学でも講義を行っています。

#6 Katie Moussouris

https://twitter.com/k8em0
ムーサリスは、責任あるセキュリティ研究と脆弱性の公開を推進することで有名なセキュリティ専門家です。彼女は、米国国防総省のバグバウンティプログラムの創設に参加しました。バグバウンティプログラムは、個人がセキュリティを脅かすバグを報告することで、報酬や評価を得るというものです。ケイティ・ムソーリスは、Luta Securityの創設者でもあります。

#7 Bruce Schneier

ブルース・シュナイアーは、有名なセキュリティ技術者であり、ハーバード・ケネディ・スクールの講師でもあります。数多くのアプリケーション・セキュリティ関連の書籍を執筆・出版しているほか、自身のブログでもセキュリティ関連の動向を取り上げています。ブルース・シュナイアーは、EFF(電子フロンティア財団)のメンバーでもあり、いくつかの暗号アルゴリズムの開発に大きな役割を果たしています。

#8 Brian Krebs

正規のトレーニングを受けていないにもかかわらず、Krebsは最も世界的に認知されたサイバーセキュリティの専門家の一人となりました。クレブスは、ワシントンポスト紙の調査報道記者として、コンピュータセキュリティの話題やハッカーへのインタビューを行ってきました。現在、ブライアン・クレブスは、KrebsOnSecurityという自身のブログを運営し、企業のデータ漏洩を暴露しています。

#9 Jeremiah Grossman

ジェレマイア・グロスマンは、世界的に著名なサイバーセキュリティの専門家であり、WhiteHat Securityの創設者でもあります。ジェレマイア・グロスマンは、DefCon、ISACA、ISSAなどの技術系イベントで講演やワークショップを行っているほか、Washington Post、NBC Nightly News、USA Todayなどでサイバー犯罪に関する記事を頻繁に執筆しています。サイバーセキュリティに精通したプロフェッショナルである。

#10 Eugene Kaspersky

ユージン・カスペルスキーは、ロシアのサイバーセキュリティ専門家であり、彼の会社であるKaspersky Lab.で世界的な名声を得ています。彼の組織には約4,000人の従業員がおり、彼のアンチウイルス製品は4億人以上のユーザーを魅了しています。1997年にカスペルスキー・ラボを共同設立した彼は、現在も同社のCEOを務めており、12億ドルの純資産でフォーブスのリストに掲載されています。

#11 Dan Lohemann

ローヘマンは、有名なブロガーであり、講演者であり、メンターシッププログラムの貢献者であり、サイバーセキュリティについて専門家を教育するためのトレーニングコース、ワークショップ、セミナーを作成しています。また、ホワイトハウス、米国国土安全保障省、フォーチュン500社の代表者のセキュリティ基準の向上を支援するコンサルタントとしても活躍しています。

#12 Steve Morgan

モーガンは、定評のあるジャーナリストであり、サイバーセキュリティに関するテーマの研究者でもあります。毎年、サイバー犯罪の現状について、統計データを含めたレポートを作成している。彼のレポートは、さまざまな雑誌やジャーナル、その他のメディアで参照、引用されています。彼の使命は、彼が知っている情報を共有し、サイバーセキュリティの問題について彼の見解を述べることです。

#13 Tyler Cohen Wood

20年以上にわたりサイバーセキュリティに携わってきたウッドは、重要なインフルエンサーとなっています。彼女は、国防情報局、ホワイトハウス、連邦法執行機関に勤務し、政府のセキュリティプログラムをより効率的にするサイバーセキュリティポリシーを策定してきました。タイラーは、テレビ、ポッドキャスト、ラジオなどにも頻繁に出演しています。

#14 Graham Cluley

グレアム・クラウリーは、ソロモン博士のアンチウイルス・ツールキットの最初のバージョンを書いたことで有名なセキュリティ専門家です。現在では、自らの名前を冠したブログを開設し、サイバーセキュリティに関する最新のニュースやトレンドを発信しています。グラハム・クラウリーは、Microsoft Future Decoded、Web Summit、ISSAなどのサイバーセキュリティ関連のイベントで頻繁に基調講演を行っています。

#15 Theresa Payton

テレサ・ペイトンは、業界をリードするセキュリティ専門家であり、サイバー防衛、サイバー犯罪を扱い、教育を提供するFortalice SolutionsのCEOです。また、サイバーセキュリティ企業であるDark Cubed社の共同設立者でもあります。テレサは、スピーカーや講師として技術会議に参加したり、ソーシャルメディアや雑誌で知識を披露したりしています。

#16 Shira Rubinoff

Shira Rubinoffは、ITセキュリティの専門家であり、サイバーセキュリティ企業を2社設立しています。フォーチュン100社の企業に対して、セキュリティやビジネス開発に関するコンサルティングサービスを提供しています。また、このテーマに関する数多くの記事や講演の著者としても知られています。また、ニューヨークを拠点とするテクノロジーインキュベーターの社長も務めています。

#17 Eva Galperin

ガルペリンは、EFFのサイバーセキュリティ部門のディレクターを務めています。EFFのサイバーセキュリティ担当ディレクターであるガルペリンは、サイバーセキュリティ問題の透明性を提唱しており、アップル社やアンドロイド社の携帯電話メーカーに対して、端末上でストーカーウェアが検出された場合、ユーザーに警告を発するよう働きかけています。エヴァは、すべての人、特に弱い立場にある人たちにプライバシーとセキュリティを提供するための政策を策定することに尽力しています。

#18 Marcus J. Carey

マーカス・J・ケアリーは、サイバーセキュリティの専門家として広く知られています。ReliaQuest社のシニアエンタープライズ・アーキテクトとして、業界や国を問わず、サイバーセキュリティを強化するソリューションを開発しています。主に、効率性、アクセス性、パフォーマンスの向上を目的とした、クラウドをベースとしたサイバーセキュリティソリューションを担当しています。

#19 Jayson E Street

Jayson E Streetは、InfoSec社の情報セキュリティ担当副社長として、サイバーセキュリティに関するセミナーやワークショップの企画・制作を行っています。また、「Dissecting the Hack」という自身のウェブサイトでは、サイバーセキュリティについて人々に教え、この分野の最新情報を共有することに専念しています。彼のチャンネルには何千人もの情報セキュリティの専門家が集まってくる、真の教師です。

#20 Paul Asadoorian

ポール・アサドリアンは、サイバーセキュリティやハッキングの話題を扱うポッドキャスト「Security Weekly」の創始者として広く知られています。また、「Tenable」誌にも寄稿しており、セキュリティの脆弱性に関する資料を作成しています。また、RSA、Derbycon、SOURCE Conferenceなどの技術イベントにも頻繁に参加しています。

#21 Adam K. Levin

アダム・K・レビンは、セキュリティの提唱者であり、データ漏洩に備えて企業のアイデンティティ管理を行うCyberScout社の創設者でもあります。彼は数多くのカンファレンスでサイバーセキュリティ、個人の財務管理、信用の問題などについて語るスピーカーとして愛されています。アダムが関心を寄せているのは、IoTとサイバー詐欺が拡大する世界でのデータ保護です。

2021/05/17

OSINTツールリスト~不定期更新中~


Search Engines

Dark Web Search Engines(ダークウェブ)

People Search

Phone Number Search(電話番号検索)







データ漏洩調査のためのOSINTリソース / 20+ OSINT resources for breach data research(転載)


20+ OSINT resources for breach data research:

ここ数週間、データの漏洩・流出が話題になっています。

何人かの読者から、侵害データの話題を調べるための良い情報源についての質問が寄せられました。

侵入や漏洩への直接的なリンクを掲載することには抵抗がありますが、侵入データのOSINTについて適切なレベルの洞察を得ることができるようなリソースのリストを作成することにしました。

これらは、私が過去に使用したもので、少なくともこの記事を書いている時点では動作することを確認しています。

  • https://breachalarm.com/ – 無料プランでは電子メールを確認し、漏洩データの記録と照合することができます。有料プランでは、新たに浮上したメールを題材にしたリーク情報をアラートで通知することができます。

  • https://breachchecker.com/ – 無料のツールでありながら、きちんとしたレベルの漏洩データの詳細を表示します。
  • https://dehashed.com/ – 基本検索は無料です。詳細情報は有料。

  • https://ghostproject.fr/ – 有料のリソースです。すべての機能を無料で使用することはできません。

  • https://www.globaleaks.org/ – 「安全な内部告発プラットフォーム」として宣伝されている、フリーでオープンソースのソフトウェア。ローカルでのインストールが必要です。

  • https://haveibeenpwned.com/ – 無料。最も認知度が高く、最も歴史のある侵害データレポジトリの一つ。多種多様なソースからのデータセットが含まれています。

  • https://haveibeenzucked.com/ – 無料で提供しています。具体的には、2019年のFacebookデータ流出に詳細が存在するかどうかを確認するためのものです。それ以外には使えません。

  • https://intelx.io/ – 検索エンジンとデータアーカイブを組み合わせたものです。無料プランと有料プランがある。

  • https://leakcheck.net/ – 無料プランでは限定的な検索が可能。詳細な検索には有料プランが必要です。

  • https://leakedsource.ru/ – 有料サービス。ロシアのトップレベルドメイン。いくつかの古い、失われた違反データソースのインデックスを再作成すると主張しています。暗号通貨による支払い。

  • https://leak-lookup.com/ – 無料で検索できますが、詳細な検索結果を得るためには、ビットコインやモネロで購入できるクレジットを使用する必要があります。

  • https://leakpeek.com/ –  無料で検索できますが、詳細な情報を得るには有料会員になる必要があります。

  • https://nuclearleaks.com/ – 無料だが、遅く、古く、定期的に更新されていない。ナビゲーションが難しく、良い結果を得るのが難しい。

  • https://psbdmp.cc/ – データダンプサイトは、APIキーを使用して検索できます。

  • https://psbdmp.ws/ – 上と同じ

  • https://scatteredsecrets.com/ – パスワード漏洩の通知と防止サービス。1メールは無料。複数のメールアドレスを監視するには、有料プランが必要です。

  • https://services.blackkitetech.com/data-breach – は、無料でメールの検索と検証ができるプレミアムサービスのサブドメインです。詳細な結果は有料となります。

  • https://snusbase.com/ – 有料のリソースです。電子メール、IPアドレス、ユーザー名、ハッシュなどの様々なデータを検索することができます。より多くの機能を開発中です。暗号通貨による支払い。

  • https://wikileaks.org/-Leaks-.html – 最も有名なリークサイトの一つ。現在はあまりメンテナンスが行われておらず、古いリークデータを見ることができます。

2021/05/16

FIREに向けたセミナーを聞いてみる~区分で実現するには、まず1戸目の完済が重要~


先日、日本財託のオンラインセミナーに参加した。

投資の話に簡単に儲かる上手い話は無い。

個人的には「簡単に儲かる」=「ハイリスク」だと思っているので、仮にその方法で短時間に資産を100倍にしたとしても、同様に短時間で巨額な損失を被るものである。

現在、私が投資関連で信用しているのは、今回セミナーに参加した日本財託(区分投資)ウラケンさん(不動産投資全般)小次郎講師(株式投資全般)内藤忍さん(インデックス投資)といった方々である。

ちなみに日本財託は「コツコツ」や「まめまめしく」というワードが良く出てくるが、これが個人的には性に合っているようで好きである。

今回のセミナーでひとつ勉強になったことがある。

下の図は不動産投資会社と面談をする際に聞いておくべきことのサンプルであるが、「いま販売を停止しても、会社は成り立つかどうか」である。


以前、とある不動産投資会社と面談した際、「管理委託料は1,000円です」と言われ、漠然とした不安を感じたことがあった。安い分にはよいのだが、いざというときにちゃんと動けるのだろうか?

そうした不安を抱えつつも、1,000円が妥当なのかを確認する良い質問が出せず、納得せざるを経なかったことがある。

それに対する解が「いま販売を停止しても、会社は成り立つどうか」である?

つまり、販売を停止すると会社が傾くような会社は管理をオマケ的な位置づけでやっているので、長期のパートナーとして不適切ということである。

日本財託は管理手数料3,000円くらい取る気がしたが、管理委託業務の質を考えると個人的には妥当と考えている。

今回のセミナーでは、珍しく、FIREを実現した事例の紹介があった。


こういう事例は非常に参考になる。

業者が作ったイメージ図ではなくて、実績ですからね。

ちなみに、先日見たウラケン不動産の下記の動画を中古区分マンションで実現した構図になっており、個人的には大きなモチベーションアップになった。


前々から言われて分かっていることだが、まずは1戸目の完済が重要である。

バックアップ

マリオットのポイント購入30%割引セール(2021年5月13日~6月30日)と現状のマイル整理

マリオットのポイント購入セールが開始。

今回は増量セールではなく、割引セールとなっている。

これまでの実績は下記の通り。

開始時期セール内容
2019年4月25%割引
2019年9月30%割引
2019年11月30%割引
2020年2月50%ボーナス
2020年5月60%ボーナス
2020年9月50%ボーナス
2020年11月60%ボーナス
2020年11月延長50%ボーナス(会員によっては60%)
2021年2月40%ボーナス(会員によっては50%)
2021年5月30%割引

30%割引は割引率としては最も高い部類に入る。

今回1万ポイント買うとした際の費用感は下記となる。




手ごろな感じがするが、ちょっと引っ越しを控えていて、出費を抑えたいため、今回は見送る方向で。。。

ちなみに、個人的にはホテルマイルには興味ありません。

んじゃ、何故にマリオットのポイントセールを気にするのか。

実は数少ないJALマイルの購入手段でもあるからである。

基本はマリオット:JAL=3:1となる

駄菓子菓子(だがしかし!)

マリオット60,000ポイントを交換するとボーナスポイントが発生し、JAL25,000マイルに生まれ変わる。

一般的なバイマイルのレートとしてはあまりよくないのだが、JALマイル調達の観点で考えると数少ない購入の機会なのである。

現状武漢ウイルスの蔓延により海外旅行に行く計画は全く持って立っていないのだが、マリオットのポイントは有効期限があるため、定期的に購入しないとポイントが消滅するため、継続的な購入が必要である。

ちなみに購入先は下記

https://storefront.points.com/marriott/ja-JP/buy

ポイント数を選んで氏名、会員番号、メールアドレスを入力して決済すればOKです。

ところで現状のマイルはどうなっているのだろうとふと気になったので、ここで整理してみたいと思う。

【2021/5/16時点のJALマイル状況】

・JALマイレージバンク:104,039マイル
 ※有効期限:3年
 ※21年末に東南アジア方面の特典航空券発行のため、若干減少

・モッピー:45,903ポイント(≒22,900マイル)
 ※有効期限:最後にポイント獲得した日から180日

・永久不滅ポイント:8,850ポイント(≒22,125マイル)
 ※有効期限:無し
 ※200永久不滅ポイント⇒JAL500マイル

・JREポイント:15,000ポイント(≒10,000マイル)
 ※有効期限:ポイントの最終獲得日or最終利用日から2年後の月末
 ※JRE1500ポイント⇒JAL1000マイル

・Pontaポイント:33,500ポイント(≒16,750マイル)
 ※有効期限:最終のポイント加算日から12か月後の月末

・マリオットポイント:53,000ポイント(≒17,000マイル)
 ※有効期限:ポイントの最終獲得日から2年後
 ※マリオット3ポイント⇒JAL1マイル

・WILLsCoin:44,500(≒8,900マイル)
 ※有効期限:ポイントの最終獲得日or最終利用日から1年後
 ※WILLsCoin500ポイント⇒JAL100マイル

■計:201,714マイル

JALマイレージバンクだけは有効期限3年で順次消えていくが、その他のポイントは継続的に加算することで事実上無期限化ができる。有効期限に気を付けながら各ポイントサービスを有効活用してきたい。