マリオットのポイント購入セールが開始。
マリオットは増量セールと割引セールがあり、今回は増量セールで、2000ポイント以上の購入で最大50%のボーナス。
過去のセールでの最高増量率は60%、前回のセールは増量率45%だったが、今回は一律ではなく、購入量に応じてボーナスポイントが変化するようになっている。
仮に1万ポイント分調達するとした際の費用感は下記となる。
日本円に換算すると↓の感じ
個人的なマリオットの1ポイントの価値は約0.35円なので、正直お得感は低い。
現時点、武漢ウイルス蔓延の影響が継続しており、マイル消化の目途は立たないが、ポイント失効防止の観点でミニマムで購入かな。
もし購入する場合、、TopCashback経由で購入すると若干のキャッシュバックが受けられます(キャッシュバックはpaypalでの受け取りだけど。)
近年、スカイスキャナー(Skyscanner)やホッパー(Hopper)などの検索エンジンのおかげで、最適なフライトを見つけるのがますます簡単になっています。
SkyscannerとHopperの比較?もしあなたが最高の格安航空券アプリを探しているのなら、きっとこの2つに出会ったことがあるはずです。
SkyscannerとHopperはどちらも旅行検索エンジンです。つまり、旅行者が膨大な旅行の選択肢の中から最もお得なものを探し出すために利用することができます。
どちらのアプリもフライト、レンタカー、ホテルを検索するオプションがありますが、ほとんどのユーザーはこれらのプラットフォームを格安航空券の検索ツールとして利用しています。
SkyscannerやHopperのような旅行検索エンジンを使う最大の利点は、各航空会社のサイトに個別に行くのではなく、一度の検索でほぼすべての航空会社を検索できることであるのは間違いない。
使い勝手の良さ、最安値検索機能、わかりやすいレイアウトなどの共通点もありますが、いくつかの違いもあります。ここでは、その違いについて詳しく見ていきましょう。
SkyscannerとHopperを比較する際、まず気になるのは、実際に利用する場所ではないでしょうか。
Skyscannerには、デスクトップで機能するクラシックなウェブサイト版と、スマートフォンにダウンロードできるモバイル・アプリケーションがあります。
そのため、手のひらからフライトを予約することもできますし、コンピュータを使ってより綿密な旅行計画や旅行調査をすることもできます。
一方、Hopperは、アプリとして最もお得なプランを見つけるためにのみ機能します。デスクトップからアクセスできるウェブサイトはありますが、それは主にアプリのダウンロードを促すためのものです。
しかし、デスクトップサイトを使ってホテルを検索することは可能です。
したがって、Hopperが役立つのは、スマートフォンによる検索をメインとした人のみとなります。
SkyscannerもHopperも最安値の航空券を検索することができますが、航空券の購入は必ずしも同じプラットフォームで行われるわけではありません。
Skyscannerは、検索条件に基づいて様々なフライトオプションを生成します。希望の経路を選択すると、実際に航空券を販売できる1社から20社以上の「プロバイダー」が表示されます。
これらのプロバイダーには、航空会社自身のウェブサイト、オンライン旅行会社、あるいはあまり知られていないプロバイダーが含まれます。
このように、SkyscannerはGoogle Flightsのような検索エンジンなのです。
このように、SkyscannerはGoogle Flightsのような検索エンジンです。ご希望のプロバイダをクリックすると、最終的に購入するサイトに移動し、Skyscannerから離れることになります。
航空券を購入する際には、その航空会社の評判を確認し、購入条件を調べ、万が一トラブルが発生した場合には、その航空会社に問い合わせることができるかを確認することが重要です。
反対に、HopperはSkyscannerのようなマーケットプレイスモデルで運営されているわけではありません。Hopperでフライトを予約する場合、最初から最後まで同社のサイトを利用することになります。
Hopperはオンライン旅行代理店そのものであり、第三者のプロバイダーに送ることなく航空券を発行できることを意味します。
また、Hopperは第三者と取引をしていますが、あなたは顧客としてHopperと取引することになります。そのため、Hopperは旅行保険や運賃据え置きオプションなどの付加価値も提供します。
Hopperで予約した場合、将来の変更や旅行中に何か問題が発生した場合、直接Hopperと取引することになります。
また、乗り継ぎに失敗した場合の再予約など、多くの自動化された機能があります。
格安航空券の検索技術と価格予測
SkyscannerもHopperも、膨大な数の航空会社から最安値の航空券を検索するという点では素晴らしいのですが、最安値の航空券を検索・表示する方法はそれぞれ異なっています。
Skyscannerのアプリやウェブサイトを使って最安値を探すメリットは、「Search Everywhere」機能です。
特に行き先が決まっていない旅好きな人にとっては、節約術としても、旅のヒントを見つける手段としても優れている。
フライト検索を行うには、出発空港を入力するだけです(さらに、出発空港の近隣の空港を検索する場合は、ボックスにチェックを入れます)。
さらにフレキシブルな日程で検索することも可能です。
検索結果には、旅行先の国とそのフライト料金が安い順で表示されます。
それぞれの国をクリックすると、目的地の都市と、その都市での具体的なフライト料金が表示されます。
このサイトでは、必要な停車駅の数、ホテルの価格(予約する場合は、キャンペーンも利用可能)、目的地ガイドなどの役立つ情報も表示されます。
Hopperもまた、少し異なるが、最安値のフライトを見つける方法を提供している。どこでも行けるというオプションはありませんが、行きたい場所が決まっている人には、色分けされたカレンダーで最も安い日程のフライトを探すことができるのがありがたいでしょう。
出発地と到着地を入力するとすぐに、現在から11ヶ月先までの簡易カレンダーが表示され、各日が色分けされて表示されます。
緑色の四角は最も安い日、黄色は中程度、赤色は高い日、そして緋色は最も高い日を表しています。また、それぞれの色で予想される料金も表示されています。これは、最安値を確実に見つけるための優れたツールです。
しかも、Hopperはさらにその上を行く。特定の日付を選択すると、次のページでその旅行の価格予測が表示されます。
値下がりが予想されるから待ったほうがいい、値上がりが予想されるから早く買ったほうがいい、値上がりが予想される日までは待ったほうがいい、といったアドバイスが表示されるのです。
さらに、運賃がどのくらい上がるのか、いつ頃上がるのか、いつまで待てばいいのかまで教えてくれる。フライトサイキック・テクノロジーとでも言うのだろうか。
選択肢の可視化とフィルタリング
乗り継ぎ回数、出発・到着時間帯、航空会社など、Skyscannerで検索したものと非常によく似た仕様のものが検索できます。
ただし、武漢ウイルスの安全性や環境に対する評価は見つけることができません。
しかし、基本運賃をより制限して表示したり、変更手数料が0ドルのオプションのみを表示したりと、他にも興味深いオプションがあります。
さらに、Hopperでは、エコノミークラスから豪華なファーストクラスやビジネスクラスまで、さまざまな運賃クラスを簡単に切り替えることができますが、Skyscannerでは、新たに検索する必要があります。
フライトの予約で特典を受ける
Hopperのユニークな点は、アプリでお得な情報を見つけた後でも、旅行中に割引を受けられる特典プログラムです。
アプリは自動的にHopper Walletを提供し、Carrot Cashを蓄積することができます。
Hopperは、アプリをダウンロードするだけで、Hopper WalletにCarrot Cashを少しくれることが結構あります。
Carrot Cashは航空券やホテルの予約に使用でき、特定のキャンペーンはどちらか一方にしか使えない場合があります。前述の通り、Hopperで予約したフライトは、航空会社のサイトや第三者の旅行代理店に誘導されることなく、アプリ上で直接予約されます。
Hopperで予約するたびに、購入金額の大きさに応じてCarrot Cashが還元されます。使い方は簡単で、フライトを検索すると自動的にCarrot Cashが適用され、割引価格が表示されます。
一つ大きな注意点は、この「割引」に疑問があることだ。私が試したいくつかの検索では、「元の」価格とCarrot Cashを使った「割引」価格の両方が、航空会社から直接入手した価格よりも高かったのです。
もし一貫してそうなら、これは一見がっかりするようなマーケティング手法である。しかし、これが毎回そうであるかどうかを判断するのはかなり困難である。
私たちのアドバイスは、これらの割引を解釈するときはただ注意して、常に自分の研究を行うことです。
アドオン対応
Hopperのもう一つの特徴は、Skyscannerとは異なり、Hopperがオンライン旅行代理店であることに起因する、様々なアドオンを利用できることです。
目的地を決め、最安の日程を見つけ、ニーズに合わせてフライトを絞り込んだら、あとはあなたの旅に最もふさわしいフライトを予約するだけです。しかし、Hopperにはもう少し提案があります。実際のフライトの予約に入る前に、あなたの旅に基づいたいくつかの追加サービスを追加するオプションが表示されます。
HopperはMissed Connection Guaranteeを提供しており、少額の手数料で、フライトの1つが遅れて到着し、次のフライトに乗り遅れた場合に備えて、ある程度の保護を提供する。
また、不満がある場合は、Hopper Walletに返金することも可能だ。
航空会社は、最初のフライトの遅れで2番目のフライトに乗り遅れた場合、ほぼ同じ支援を無料で提供することが義務付けられていることに留意する必要があります。乗り継ぎが1枚のチケットで予約されている限り、必ず次の空席のある出発便に乗せられます。
ただし、乗り継ぎ便が1枚の航空券で予約されている場合に限ります。
また、インスタント・トラベル・リファンド・プロミスを追加することもできます。これは、航空券をキャンセルすると、80%または100%の返金が受けられるというもので、どのレベルの保護を選択するかによって、その内容が異なります。
この払い戻しは、現金またはHopper Walletに行われます。さらに、出発地、目的地、日付の点で航空券を柔軟に変更したい場合は、フライト変更保証を有料で選択することができます。
一方、Skyscannerはこれらのアドオンを提供していません。これは、航空券はSkyscannerの提携プロバイダーから発行され、Skyscannerは単に取引を見つけたマーケットプレイスとして機能するためです。
航空会社や旅行会社は、予約サイトに到着すると、Hopper と同様のアドオンを提供する場合があります。
SkyscannerとHopperの比較についてユーザーの声は?
特に予約サイトに関しては、他の旅行者がその商品についてどのようなことを語っているかを聞くことは常に有益です。
これらの格安航空券アプリのレビューを自分で読むことをためらわないでください。しかし、私たちはユーザーから読んだことについてのいくつかのメモを以下にまとめました
スカイスキャナーのアプリレビュー - まとめ
スカイスキャナーは、Apple App Storeのユーザーによる約37万件のレビューに基づき、5つ星のうち4.8という評判を得ています。
ユーザーからは、多くの航空会社を検索できること、フライトを提案するシステムの直感性、航空会社のサイトだけでなくオンライン旅行代理店も検索できることがとても便利だとの指摘がありました。
一方、ユーザーから挙げられたマイナスポイントももちろんある。あるユーザーは最近、「検索すればするほど価格が上がっていくことに気づき、がっかりした」と報告した。
またある人は、自分の好きな航空会社がなぜか表示されないという。最後に、他でより良い価格を見つけられたというレビューがいくつかありました。
Hopperアプリレビュー - まとめ
Hopperは、Apple App Storeにおいて、約70万件のレビューに基づき、同様に5つ星のうち4.8を獲得しています。
ポジティブなレビューほど、検索のしやすさ、検索で返されるフライトの選択肢の多さ、そして価格の良さに満足しているようです。
しかし、Hopperの最新のレビューの多くが非常に否定的であることは興味深いことで、いくつかの疑問が生じます。多くのユーザーが、このアプリでフライトを予約しないように他の人に注意を促しています。
また、キャンセルされたフライトの払い戻しを長い間待っているという声もありました。共通のテーマは、ユーザーはこのアプリでお得な情報を見つけて楽しんだが、より安くチケットを手に入れるために航空会社に直接行くことを勧めるということでした。
個人情報保護方針
フライト料金 正確さ
このようなアプリを使う場合、検索結果の価格が実際に支払う金額であることを知ることが重要です。
そのため、SkyscannerもHopperも、必ずしも検索時の価格が表示されるとは限りませんが、私の経験上、通常は正確な価格が表示されます。
Skyscannerでは、サーチ・エブリウェア機能を使って様々な国や空港の価格を見ることができますが、最初に表示される価格は、スカイスキャナーが最近見つけた過去の最安値の価格です。
このため、必ず同じ条件で検索できるわけではありませんが、ある程度は信頼できると思われます。
Skyscannerで実際の目的地の空港を検索すると、サードパーティの航空券プロバイダーから見つけることができた最安値が表示されます。
プロバイダーのサイトにアクセスすると、価格が変更されている可能性があります。
Hopperは、実際のフライトオプションを表示する前に、検索されたすべての航空会社の中で見つかった最安値を表示し、その時点で、より高価なフライトを好むことがあります。
しかし、Hopperはあなたに航空券を販売しているので、あなたが見るフライトの価格は、常にあなたが支払うように要求される価格であるべきです。
Hopperを使った実験では、私も航空会社に直接問い合わせた方が安い価格を見つけることができました。他のユーザーも、このアプリのレビューで同様の結果を指摘しています。
あなたの旅行のために最も安いフライトを見つけたことを確認するために、徹底的な研究を行うことが常に重要です。
Wireshark Tutorial: Identifying Hosts and Users
ホストが感染した、または侵害されたとき、セキュリティ専門家は、疑わしいネットワークトラフィックのパケットキャプチャ(pcaps)を手早く確認して影響を受けるホストやユーザーを特定しなければなりません。
本チュートリアルでは、広く使用されているネットワークプロトコル分析ツールWiresharkを使用し、そのpcapデータを収集する方法のヒントを提供します。なお、本稿ではネットワークトラフィックの基本を理解していることが前提となります。またこちらのpcaps データを使いますのでダウンロードして圧縮ファイルを解凍しておいてください。解凍用のパスワードは「infected」です。このデータには、IPv4で次の4種類のデータを取得するトラフィックが含まれています。
DHCPトラフィックからのホスト情報
ネットワーク内でトラフィックを生成するホストには3つの識別子が必要です。 それはMacアドレス、 IPアドレス、そしてホスト名です。
ほとんどの場合、疑わしい活動に対する警告はIPアドレスに基づいています。ネットワークトラフィックの完全なパケットキャプチャにアクセスできる環境であれば、内部ネットワークのIPアドレスをもつホスト上でpcapを取得することで、関連付けられたMACアドレスとホスト名を確認できます。
では、こうしたホスト情報をWiresharkでどのように見つければよいのでしょうか。それには2種類のアクティビティをフィルタリングします。つまりDHCPかNBNSです。DHCPトラフィックは、ネットワークに接続されているほとんどすべての種類のコンピュータのホストを識別するのに役立ちます。NBNSトラフィックは、主にMicrosoft Windowsを実行しているコンピュータまたはMacOSを実行しているAppleホストによって生成されます。
まだダウンロード・解凍していないかたは、このチュートリアルの最初のpcapファイルhost-and-user-ID-pcap-01.pcapをここ(バックアップ)からダウンロードして開いてください。パスワードは「infected」です。このpcapでは、172.16.1[.]207という内部IPアドレスをもつホストについて調べていきます。まず、このファイルをWiresharkでを開き、下図のように表示フィルタに「bootp」(※1)を指定してフィルタリングしてください。これは、DHCPトラフィックを表示するフィルタ設定です。
※1:Wireshark 3.0以降のバージョンではこのフィルタに「DHCP」を指定してください。「bootp」は将来的に廃止予定です。
[Info]列に「DHCP Request」と表示されているフレームをどれか1つ選択してください。下図を参考に、フレームの詳細部に移動し、「Bootstrap Protocol (Request)」の行をクリックして展開してください。
つづいて、下図を参考に「Client Identifier」、「Host Name」の各行を順にクリックして展開してください。これで「Client Identifier」の詳細から172.16.1[.]207に割り当てられたMACアドレスが、「Host Name」の詳細からホスト名がそれぞれ確認できます。
このケースでは172.16.1[.]207のホスト名はRogers-iPadでMACアドレスは7c:6d:62:d2:e3:4fです。このMACアドレスはApple社に割り当てられたものです(訳注: WireSharkのPreferencesでMacアドレスの名前解決を有効に設定している場合、上図のようにMACアドレス先頭にベンダ名が表示されます。ここにベンダ名が表示されていない場合は、Wireshark の Preferences メニューの Name Resolution で Resolve MAC addresses のチェックボックスにチェックを入れて有効にします)。ホスト名からこのデバイスはおそらくiPadであるものと類推できますが、ホスト名だけでは確実とはいえません。
ただしホスト名とMACアドレスを使うことで、下図に示すように、EthernetフレームのMACアドレスとIPアドレスを172.16.1[.]207とを簡単に関連付けることができます。
NetBIOSネームサービス(NBNS)トラフィックからのホスト情報
DHCPリースが更新される頻度によっては、pcapにDHCPトラフィックが含まれていないこともあります。その場合でもNBNSトラフィックを使用することで、Microsoft Windowsを実行しているコンピュータやMacOSを実行しているAppleホストのホスト名を識別することはできます。
ここで、チュートリアルの2つ目のpcapファイル host-and-user-ID-pcap-02.pcapを開いてください。まだダウンロード、解凍をしていない場合はここ(バックアップ)にあります。解凍パスワードは「infected」です。このpcapは、10.2.4[.]101の内部IPアドレスを使用しているWindowsホストからのものです。Wiresharkでpcapを開き、表示フィルタに「nbns」を指定してください。これにより、NBNSトラフィックが確認できるようになります。最初のフレームを選択すると、図5に示すように、IPアドレスとMACアドレスおよびホスト名をすばやく関連付けることができます。
フレームの詳細部には、下図に示すように、IPアドレスに割り当てられたホスト名も表示されます。
HTTPトラフィックからのデバイスモデルとオペレーティングシステム
HTTPトラフィックのヘッダにあるUser-agent文字列からオペレーティングシステムを確認できることがあります。HTTPトラフィックがAndroidデバイスからのものであれば、デバイスの製造元とモデルも判断できます。
ここで、チュートリアルの3つ目のpcaphost-and-user-ID-pcap-03.pcapを開いてください。まだダウンロード・解凍していないかたは、ここ(バックアップ)からダウンロードして開いてください。パスワードは「infected」です。このpcapは、192.168.1[.]97の内部IPアドレスを使用しているWindowsホストからのものです。Wiresharkでpcapを開き、表示フィルタに「http.request and !(ssdp)」を指定してください。表示されたフレームのうち、2つ目のフレームをクリックして選択してください。これはwww.ucla[.]eduへの最初のHTTPリクエストです。 その状態で、下図に示すように、右クリックして表示されたコンテキストメニューから [追跡]、[TCPストリーム]の順にクリックしてください(訳注: なぜHTTPストリームではなくTCPストリームを選ぶのか疑問に思われるかたがいらっしゃるかもしれません。このチュートリアルではHTTPリクエストのヘッダ行だけを目的としており、HTTPボディは確認しません。このため[追跡]で[TCPストリーム]を選択しても[HTTPストリーム]を選択しても得られる情報に違いがありません。HTTPボディも確認したい場合は、TCPストリームのかわりにHTTPストリームを選択するとよいでしょう)。
このTCPストリームには、下図に示すようにHTTPリクエストヘッダがあります。このUser-Agent行は、64ビット版 Microsoft Windows 7オペレーティングシステム上で動作するGoogle Chrome webブラウザのバージョン72.0.3626.81を表しています。
上図のUser-Agent行には「(Windows NT 6.1; Win64; x 64)」という文字列があることに着目してください。
ここで「Windows NT 6.1」は、Windows 7を表しています。User-Agent行におけるWindows NTの文字列は、次に示すバージョンのMicrosoft Windowsと対応しています。
WindowsホストからのHTTPベースのWeb閲覧トラフィックが含まれていればオペレーティングシステムとブラウザを特定できます。Androidデバイスでも同様のトラフィックがあればデバイスのブランド名やモデルを確認することができます。
では次に、チュートリアルの4つ目のpcap host-and-user-ID-pcap-04.pcapを開いてください。 まだダウンロード・解凍していないかたは、ここ(バックアップ)からダウンロードして開いてください。パスワードは「infected」です。このpcapは、172.16.4.119の内部IPアドレスを使用しているAndroidホストからのものです。Wiresharkでpcapを開き、表示フィルタにhttp.requestを指定してください。2つ目のフレームを選択します。これは、 www.google[.]comに/blank.htmlを要求するHTTPリクエストです(訳注: WireSharkのパケット一覧部にこのHost列が表示されていない場合は、2つ目のフレームを選択後、パケット詳細部で「Hyper Transfer Protocol」行を展開し、「Host: www.google[.]com\r\n」行を選択した後、右クリックし、表示されたコンテキストメニューから[列として適用]をクリックしてください)。
次に、下図に示すように右クリックして表示されたコンテキストメニューから [追跡]、[TCPストリーム]の順にクリックしてください。
上図のUser-Agent行から、Android 7.1.2という2017年4月にリリースされた古いAndroidオペレーティングシステムであることが分かります。LM-X210APM はこのAndroidデバイスに割り当てられたモデルナンバーです。Google検索をしてみると、このモデルが LG Phoenix 4 Android スマートフォンであることが分かります。
これがiPhoneそのほかのApple社製モバイル機器からのHTTPトラフィックのUser-Agent行である場合、オペレーティングシステムやデバイスの種類が分かります。ただしモデルは分かりません。そのApple社製デバイスがiPhone、iPad、iPodのいずれであるかだけが判別できます。では次にiPhoneからのトラフィックを判別してみましょう。
このチュートリアルの5つ目のpcap host-and-user-ID-pcap-05.pcapを開いてください。まだダウンロード・解凍していないかたは、ここ(バックアップ)からダウンロードして開いてください。パスワードは「infected」です。このpcapは、10.0.0[.]114の内部IPアドレスを使用しているiPhoneホストからのものです。Wiresharkでpcapを開き、表示フィルタにhttp.requestを指定してください。次に、フレーム番号443のHTTPリクエストのフレームを選択してください。これはweb.mta[.]infoへのHTTPリクエストです(訳注: WireSharkのパケット一覧部にHost列が表示されていない場合は、フレーム番号443を選択した後、パケット詳細部で「Hyper Transfer Protocol」行を展開し、「Host: web.mta[.]info\r\n」行を選択した後、右クリックし、表示されたコンテキストメニューから[列として適用]をクリックしてください)。次に、下図に示すように右クリックして表示されたコンテキストメニューから [追跡]、[TCPストリーム]の順にクリックしてください。
下図でUser-Agent行は(iPhone; CPU iPhone OS 12_1_3 like Mac OS X)になっています。これで、このApple社製デバイスがiPhoneであり、iOS 12.1.3を実行していることが分かりました。
HTTPトラフィックとUser-Agent文字列について最後に付け加えるなら「すべてのHTTPアクティビティがWeb閲覧トラフィックであるとは限らない」ということです。HTTPリクエストのなかには、ブラウザやオペレーティングシステムを明らかにしないものもあります。トラフィックを検索してホストを識別するためには、複数のHTTPリクエストを確認してから、目的のWebブラウザのトラフィックを見つける必要があるかもしれません。
なお、今日では多くのWebサイトがHTTPSを使用していることからHTTPによるホスト識別が困難な場合があります。HTTPヘッダやHTTPコンテンツはHTTPSトラフィックの場合暗号化されているため表示できません。ですが、運よく調査中にHTTPでWebを閲覧したトラフィックを見つけることができれば、この方法でホストに関する詳細情報を得ることができます。
KerberosトラフィックからのWindowsユーザーアカウント
Active Directory(AD)環境のWindowsホストの場合、Kerberosトラフィックからユーザーアカウント名を見つけることができます。
このチュートリアルの6つ目のpcap host-and-user-ID-pcap-06.pcapを開いてください。まだダウンロード・解凍していないかたは、ここ(バックアップ)からダウンロードして開いてください。パスワードは「infected」です。このpcapは、次のActive Directory環境にあるWindowsホストからのものです。
Wiresharkでpcapを開き、表示フィルタに「kerberos.CNameString」を指定してください。次に、最初のフレームを選択します。フレームの詳細部に移動して、下図に示すとおりに行を展開します。「CNameString: johnson-pc$」という行を選択して右クリックし、表示されるコンテキストメニューで[列として適用]をクリックします。
これにより、パケット一覧部に「CNameString」という新しい列が作成されます。列を作成した後、列表示の最後のフレームまでスクロールダウンします。すると、アカウント名「theresa.johnson」が、172.16.8[.]8で実行されているドメインコントローラと172.16.8[.]201で実行されているWindowsクライアントのトラフィック内に見つかるはずです(下図参照)。
ホスト名のCNameString値は常に末尾が$(ドル記号)になっていますが、ユーザーアカウント名にはこのドル記号はついていません。ユーザーアカウント名をフィルタリングするには、次のWireshark式を使用して、ドル記号付きのCNameStringの結果を除外します。
ラックは2022年1月14日、元社員が社内ルールに違反して行ったデータのバックアップから過去の業務データが社外に流出したことを明らかにした。第三者の通報で発覚したもので、同社は調査対応などを既に完了し、情報のさらなる拡散が無いことを確認して公表したとしている。
同社によると、この事案は2021年10月31日にフリマ―ケット(フリマ)サイトでHDDを購入したという匿名の人物からの通報で発覚した。購入したHDDを使用できず、HDD復元ツールを使用したところラックの業務データが見つかり、同社に連絡したという。ラックは、通報者から提供された一部データのスクリーンキャプチャーの画像を元に調査し、2021年11月2日に業務データが流出したと判断、同5日に緊急対策本部を設置して対応を本格化させた。
同者は、通報者とHDDの譲渡などを交渉しつつ、流出した業務データに関係する人物の調査を進め、同30日に退職済みの元社員を特定。元社員がHDDをフリマサイトで販売した事実を確認したという。12月17日に通報者からHDDを回収し、同時に通報者がHDD復元時に発生した流出情報のデータを全て削除、拡散しない旨の契約を、弁護士を通じて取り交わしたとしている。
ラックが通報者から回収したHDDは、復元ツールによって簡易フォーマットされた状態だったといい、同社ではフォレンジック作業でHDDに格納されていた業務データを復元。復元されたデータは、2003~2017年に作成されたビジネス文書が2069件(うち取引先のものは628件)、個人情報(社員および取引先社員の会社名、部署名、氏名または姓、メールアドレス、会社の電話番号)が最大1000件だった。影響する可能性のある取引先には11月8日から報告対応を行い、調査とデータ復元で影響が判明した取引先とは、12月20日から2022年1月12日にかけて確認作業を実施した。
同社が元社員に聞き取りをしたところ、元社員は業務PCを入れ替えた際に、PCの業務データを社内ルールで禁止されていたクラウドストレージサービスの「Dropbox」にバックアップしたという。元社員は複数の機器でDropbox上のデータを同期できるようにしていたとのこと。そのうちの1つとして自宅でMacを使用しており、同期していたデータがMacに標準搭載のバックアップソフト「Time Machine」によりMacのHDDにバックアップデータとしてコピーされてしまったという。
その後、元社員はこのHDDをほとんど使用しなかったため、データ消去ツールでデータを消去し、フリマサイトで販売したという。しかし、データが適切に消去されていなかったと見られ、HDDの購入者が使用した復旧ツールで業務データが復元されてしまったとしている。
調査で元社員が業務PCの入れ替え時以外に、社内ルールに違反してクラウドストレージサービスにデータをバックアップしていた事実は確認されなかったとし、元社員の行為が悪意ではなく不注意で発生した可能性があるという。なお、当時はルールで禁止している業務データのコピーを技術的に防止する対策が不十分だったといい、その後、本事案とは別に、社内ネットワークからDropboxへのアクセスを禁止する技術的な講じているという。
同社は、調査で元社員の所有する別の機器に流出した業務データが残存していないことを確認し、元社員とは過去に業務で知り得た情報を退職時の誓約書に基づいて外部に一切明らかにしないことを確認したとする。通報者から回収したHDDと記録されていた情報は、この事案の対応が全て完了した後に普及できないよう完全に破壊するとしている。
公表について同社は、「事態を厳粛に受け止め、社外への情報流出を防止するために、業務データの複製の制限と監視の技術的対策の強化、社員の異動や退職時などの機器の回収や情報廃棄など社内プロセスの強化により再発防止を図ってまいります」とコメントしている。
2021年第4四半期において、サイバー犯罪者が高度なフィッシング技術を使用して認証情報を盗んだりマルウェアを展開したりする際に、最も頻繁に模倣されるブランドとして、世界的な物流・流通企業であるDHLが長らく君臨してきたマイクロソフトの座を明け渡すことになりました。DHLを装ったフィッシング詐欺は、前四半期の9%から23%に増加しました。一方、マイクロソフトのブランドは、第3四半期の29%に対し、第4四半期は20%にとどまっています。フェデックスも2021年第4四半期に初めてトップ10に登場しましたが、これは間違いなく、パンデミックが重要な懸念事項として残る中、脅威者が祝祭シーズンを前にして脆弱なオンライン買い物客をターゲットにしようとした結果でしょう。
2021年第4四半期レポートでも、フィッシング詐欺におけるソーシャルメディアブランドの模倣が続いており、WhatsAppは、標的となったトップブランドのグローバルリストでDHL、マイクロソフトに次ぐ3位にランクインしています。Facebookが所有するこのソーシャルメッセージアプリは、6位から3位に順位を上げ、全世界のフィッシング詐欺の11%を占めています。
ブランドフィッシングは、有名ブランドの公式サイトと類似したドメイン名やURL、ウェブページのデザインを用いて、そのブランドを模倣しようとする攻撃です。偽サイトへのリンクは、電子メールやテキストメッセージでターゲットとなる個人に送信されたり、ユーザーがウェブ閲覧中にリダイレクトされたり、不正なモバイルアプリケーションから起動されたりすることがあります。偽のウェブサイトには、ユーザーの認証情報、支払い情報、その他の個人情報を盗むことを目的としたフォームが含まれていることがよくあります。
以下は、ブランドフィッシングの試行における総合的な出現率でランキングされたトップブランドです。
PayPalフィッシングメールの事例
2021年11月の営業日に、PayPalから送信されたとされる、ユーザーのクレジット情報を盗み出そうとする悪質なフィッシングメールに気づきました。このメール(下図)は、PayPal Serviceという詐称されたアドレスから送信されたものです。
"service@ec2-18-156-114-201[.]eu-central-1[.]compute[.]amazonaws[.]com" は実際には "admin_emotion_dev@emotionstudios[.]rocks" から送信されており、詐称されたメールタイトル「【警告】あなたの PayPal 口座を確認します (Case ID #XX XXXXXXXX) 」が含まれていて、被害者は悪質なリンクをクリックするよう圧力をかけられる可能性があります。
"https://serviiceds[.]ritaspizzaportsmouth[.]com/llpy/” を使用しているこのサイトは、外観に若干の違いはあるものの、実際のサイトと同じように見えるPayPalの不正ログインページ(下図)にユーザーをリダイレクトさせます。悪意のあるリンク先では、ユーザーはPayPalのアカウント情報を入力する必要がありました。
Fedexフィッシングメールの事例
2021年12月、Fedexのブランドを利用し、ユーザーのマシンにマルウェアSnakeKeyloggerをダウンロードさせようとする悪質なフィッシングメールが確認されました。support@fedex[.]comというなりすましアドレスから送信されたこのメール(下図参照)には、「Bill of Lading-PL/CI/BL-Documents arrival」という件名が記載されています。内容は、RAR アーカイブファイル "shipment docu..rar" のダウンロードを求めるもので、このファイルには、システムを SnakeKeylogger に感染させ、ユーザーの認証情報を盗む可能性のある悪質な実行可能ファイルが含まれています。
DHL フィッシングメール - クレデンシャル盗難の例
このフィッシングメール(下図)では、ユーザーのメールアドレスとパスワードを盗み出そうとしていることがわかります。このメールは、DHLカスタマーサポート(info@emmc[.]ir)の偽装メールアドレスから送信され、「DHL Shipment Notification : xxxxxxxxxx」という件名が記載されています。
「21年12月15日の配達不可について」 と、攻撃者は、被害者が悪意のあるリンクをクリックするよう誘導します。
(http://reg[.]chaindaohang[.]com/wp-content/uploads/2021/07/dhl/index[.]php?i&0=vegenat@vegenat[.]es) は、実際のウェブサイトのように見える、不正なDHLホームページへユーザーを誘導します(下図参照)。不正なリンク先では、ユーザーは、電子メールとパスワードの入力を促されます。
今号もテレグラム、スターゲイザーと出荷のヒント、そして便利なツールなど、素敵な内容が満載のニュースレターです
ニュースレターに載るようなことでも、仕事で発見するようなことでも、毎週新しいことを学び続けています。そして、それがOSINT全般の魅力でもあるのです。DNSレコードであろうと、ソーシャルメディアプラットフォームのソースコードに隠された何かであろうと。発見された小さな情報のひとつひとつが、ある種の発見の瞬間なのです。ほんの一瞬の幸福感、それが病みつきになるのです。だから、私はできるだけ多くのことを学び続けるのが好きなのです。中国語で「活到老、学到老」と言いますが、これは「人は学ぶのに歳を取り過ぎることはない」という意味です。そして、世の中にはたくさんの情報と知識があり、勉強する材料は十分にあるのです。ということで、今週の概要をご覧ください。
サイト: The Org
Jan Tegzeは、新しいウェブサイトというものを共有しました。The Org. これは、組織とそのリーダーの構造をビジュアル化したものです。これは、コミュニティ主導のデータ接続のようで、企業内での人々の地位に関する詳細な情報を探している人々にとって非常に便利です。
サイト: ImportYeti
組織の話題のついでに、@maaikeshからImportYetiについての情報をいただきました。このウェブサイトは、いわゆる「船荷証券」の情報を集めている。これらの貨物輸送の領収書は、製品や材料がどこから出荷されたかを洞察し、商品の原産地を追跡するのに役立ちます。このサイトを使えば、さまざまなデータベースを手作業で検索する手間が省けます。
小技: Stargazers
Twitterユーザーの@nil0x42さんが、GitHubとそのGraphQL Explorerについて素敵な情報をシェアしてくれました。この API エクスプローラを使うと、GitHub リポジトリの情報を取得することができます。たとえば、彼はあるリポジトリに「スター」をつけた人のうち最初の 10 人をリストアップする小さなスクリプトを公開しました。下の例では、WhatsMyName のレポにスターをつけた直近の 100 人を照会しています。GitHub 自体で一覧を見ることもできますが、この GraphQL クエリでは誰かが 'starred' をつけた正確な日時も表示しています。
小技: SecurityTrails in Maltego
MaltegoはSecurityTrailsと提携し、標準的なトランスフォームの一部をパワーアップしました。今後は、APIキーなしでIPアドレス、ドメイン名、DNS情報のクエリーを実行することができます。SecurityTrailsの無料アカウントしか持っていない場合は、APIキーを追加しないでください。設定のAPIキーは空のままにして、最新のトランスフォームを用意し、一緒にクエリを実行してください。
サイト: ScamSearch
Twitterユーザーの@UKOSINTさんが、ScamSearchについての情報をツイートしてくれました。これは詐欺師の情報を集めたウェブサイトで、ユーザー名、メールアドレス、暗号通貨のアドレス、電話番号、ドメイン名など、何でも入力してデータベースを検索することができるのです。スキャマーを調査するためのリソースは他にもありますが、これは私がまだ持っていなかったものです。シェアしてくださってありがとうございます。
Obsidianで遊んでいます。シャーロック・ホームズのすべての物語をフォルダにロードし、物語に登場する最も人気のある名前、場所、新聞、その他のアイテムのリンクを作成し始めたのです。ObsidianはOSINTの調査には欠かせないツールであることがわかり、これからどんなことができるかとても楽しみです。Micah Hoffmanは、マインドマップのプラグインも発見し、シンプルなMarkdownファイルをインタラクティブなマインドマップに変えることができるようになった。
さあ、オブシディアンをダウンロードしてください。遊んでみて、あなたの調査にも役立つことを見つけてください。
小技: Telegram Translations
@Ginger__TさんのTelegramに関するツイートに気づきました。AndroidとiOSのアプリに翻訳ボタンが内蔵されているようです。設定から「言語」メニューを開き、「翻訳ボタンを表示」をオンにするだけです。その後、外国語のメッセージをタップするだけで、アプリ内ですぐに翻訳することができます。ありがとうございました。
記事: OpSec Fails
少し前に、Maciej 'Matt' MakowskiがOpSecとプライバシーの失敗についての記事を書きました。この記事には、あらゆる種類の調査中に起こりうる失敗の良い例がいくつかあります。特に、正しい考え方をしていないとき、あるいは何かを「素早く」調べようと思ったときに起こります。この記事は、常に用心深くあることを思い出させてくれるものです。
逆に「うまくいっていること」だけを探せるようになると、人生上手くいくのではなかろうか?
そんなポジティブシンキングに変えるための二つのエクササイズを毎日やってみる
■1.「今日、何かとてつもなく素晴らしいことが起きる」と認める
本では「とてつもなく素晴らしいことが起きる」と宣言することを推奨しているが、要は朝に施行をポジティブにするということである。
そこで思いついたのが下記である。
新しい朝が来た♬ 希望の朝だ♩
喜びに胸を開け♪ 大空(青空)あおげ~♪
〇〇〇の声に~ 健(すこ)やかな胸を~🎵
という訳で、しばらくラジオ体操の歌の1番の前半のポジティブな部分を朝起きてシャワーを浴びながら毎日歌うことにしてみた。
■2.「とてつもなく素晴らしいこと」を毎日3つ記録する。
メールで誰かに送ってもツイートしてもファイスブックに投稿してもよいが、一つだけルールがある。
それは、
「毎日違う内容にする」
である
こっちは普段使っていないtwitterアカウントに呟いてみて、軌道に乗ったらFaceBook、、、というかFacebookの方がいいな。
「内外情勢の回顧と展望」(令和4年1月)をアップロードいたしました。
本書では,冒頭に特集1として,「経済安全保障関係」と題し,対立する米中双方の動きを俯瞰しつつ,我が国の持つ重要な技術やデータの獲得を目的とした国内外の諸動向及び経済安全保障に関する公安調査庁の取組について記述しています。次に,特集2として,「我が国に対するサイバー攻撃」と題し, 我が国に対する国家的関与が指摘されるサイバー攻撃事案の発生動向等について,さらに,特集3として,「変動するアフガニスタン情勢と国際テロ関連動向」と題し,米軍撤退とタリバンによる制圧に伴い混迷するアフガニスタン情勢及び周辺のテロ組織の動向,そして,特集4として,「オウム真理教主流派『Aleph』に対する再発防止処分を請求」と題し,観察処分への対抗姿勢を強めるAlephに対する再発防止処分の請求とその後の動向について,それぞれ記述しています。
このほか,国外情勢として,北朝鮮などの周辺国の諸情勢や,国際テロ,大量破壊兵器関連物資等をめぐる動向など,国内情勢として,オウム真理教をはじめとする我が国の公共の安全に影響を及ぼすおそれのある国内団体・勢力の諸動向など,巻末特集として,東京オリンピック・パラリンピック競技大会に係る国内の脅威動向についても記述しています。
我が国に対するサイバー攻撃
我が国への脅威が拡大するサイバー攻撃
我が国企業等を標的としたサイバー攻撃が相次いで発覚
業務の妨害、機密情報の窃取、金銭の獲得などを狙ったサイバー攻撃は、国内外で常態化するとともに、その手口も巧妙化している。
加えて、技術の進展や社会構造の変化により、サイバー空間の現実社会への拡大・浸透がより一層進む中にあって、サイバー空間における悪意ある主体の活動は、社会・経済の持続的な発展や国民生活の安全・安心に対する深刻な脅威となっている。
さらに、国家が政治的、軍事的目的を達成するため、情報窃取や重要インフラの破壊といったサイバー戦能力を強化しているとみられており、安全保障の観点からも、サイバー攻撃の脅威は深刻化している。
令和3年(2021年)も、機密情報の窃取を狙ったとみられるサイバー攻撃事案の発覚が相次いだ。
宇宙航空研究開発機構(JAXA)など約200組織に対するサイバー攻撃事案では、平成28年(2016年)9月から平成29年(2017年)4月までの間、合計5回にわたり、偽名で我が国のレンタルサーバを契約したとして、警視庁が当時我が国に滞在していた中国共産党員の男を東京地方検察庁に送致した(4月)。
同事案には、中国人民解放軍第61419部隊を背景に持つ中国のサイバー脅威主体「Tick」が関与している可能性が高いと指摘された。
また、大手電気機器メーカーは、社内外とインターネット上で情報共有を行うツールに対するサイバー攻撃事案を公表し(5月)、内部調査の結果、100組織以上の個人情報を含むデータが窃取され、同ツールのぜい弱性を悪用したとみられる第三者により、正規のIDとパスワードを用いて外部から不正アクセスが行われたものと判明した(8月)。さらに、令和2年(2020年)12月に公表された大手重工メーカーに対するサイバー攻撃事案は、内部調査の結果、海外拠点経由で国内外の一部サーバに不正アクセスが行われ、情報が流出した可能性が指摘されている(7月)。
これらの事案は、比較的セキュリティが手薄な海外拠点経由で我が国企業を狙った攻撃やゼロデイぜい弱性(未知のぜい弱性)を悪用した攻撃であり、国家が関与・支援したサイバー攻撃の可能性も指摘されている。
国外においても、ゼロデイぜい弱性を悪用したサイバー攻撃事案が発覚した。
米国情報通信企業「Microsoft」の提供するメッセージプラットフォームのゼロデイぜい弱性を悪用したサイバー攻撃について、米国政府は、中国国家安全部と関連を有するサイバー脅威主体が世界中の数万に及ぶコンピュータとネットワークに侵入したと発表した(7月)。
このほか、米国における水道水の有毒化を企図した浄水場に対するサイバー攻撃(2月)や、ニュージーランドにおける金融機関や郵便事業者を標的としたサイバー攻撃(9月)など、重要インフラに対するサイバー攻撃も報じられた。
我が国においても、重要な情報やインフラをサイバー攻撃の脅威から守るため、引き続き警戒が必要である。
国家的関与が指摘される事案が継続して発生
米国、英国などは、サイバー攻撃の実行者と所属する国家機関等を特定・公表する取組(パブリック・アトリビューション)を積極的に展開している。こうした取組において、中国、ロシア及び北朝鮮の国家的関与が指摘された事案は以下のとおりである。
■ 中国
中国については、軍や情報機関による大規模なサイバー諜報への関与のほか、当局とサイバー犯罪者がいわば“共生関係”にあることも指摘されている。
米国司法省は、知的財産及び営業秘密の窃取を目的とした世界規模でのサイバー攻撃キャンペーンに関与したとして、海南省国家安全庁の職員3人と中国情報通信企業「海南仙盾」に雇われたハッカーの計4人の起訴を発表した(7月)。あわせて、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)及び連邦捜査局(FBI)は、当該キャンペーンを実行した中国のサイバー脅威主体「APT40」に関する共同勧告を発表した(7月)。我が国外務省も、報道官談話で「APT40」に言及した(7月)ほか、英国、カナダ、豪州、ニュージーランド、欧州連合(EU)及び北大西洋条約機構(NATO)も同主体を非難する声明を発表した(7月)。
■ ロシア
ロシアについても、治安機関とサイバー犯罪者との“協力関係”のほか、サイバー攻撃への軍や情報機関の関与が指摘されている。
米国情報通信企業「SolarWinds」製のIT管理ソフトウェアの更新プログラムを悪用した攻撃に端を発した大規模サイバー攻撃事案(令和2年〈2020年〉12月公表)を受け、米国政府は実行主体として、ロシア対外諜報庁(SVR)と関連を有するサイバー脅威主体「APT29」(別名「Cozy Bear」)を名指しした上で、同事案を含むロシアによる悪意あるサイバー活動等への対抗策として、ワシントンD.C.に駐在する10人の外交官の国外追放や、ロシアの6企業に対する制裁を含む大統領令を発出した(4月)。同事案については、米国の大統領令発出に併せて、英国外務省も、SVRの関与があった可能性が高い旨の声明を発表した(4月)。
また、欧州理事会は、「Ghostwriter」と呼ばれる悪意あるサイバー活動にロシア政府が関与しているとして、非難する声明を発表した(9月)。同声明では、「Ghostwriter」は、多数の欧州議会議員、政府関係者等を標的とし、コンピュータシステム等に侵入してデータを窃取した上で、偽情報の流布などを通じて、民主的な制度や手続を弱体化させることを企図しているとして、ロシアに対し、サイバー空間において責任ある国家として行動するよう促した。
■ 北朝鮮
米国司法省は、破壊的サイバー攻撃及びサイバー金融犯罪に関与したとして、北朝鮮偵察総局に属するハッカー3人の起訴を発表した(2月)。
また、国連安保理北朝鮮制裁委員会専門家パネルは、2020年度の報告書(3月公表)で、金融機関及び暗号資産交換業者を標的としたサイバー攻撃によって北朝鮮が獲得した資金は、令和2年(2020年)11月までの約2年間で3億ドル以上に上るほか、窃取した暗号資産を中国所在のブローカーを通じて現金化、資金洗浄していると指摘し、北朝鮮が暗号資産を標的としたサイバー活動を継続しているとの見解を表明した。
クラウドサービス等を提供する事業者(MSP)を標的としたサイバー攻撃
クラウドサービスやファイル共有サービスなどシステムの運用・保守・管理に係るサービスを提供する事業者は、一般にマネージド・サービス・プロバイダ(MSP)と呼ばれる。MSPは複数の顧客とネットワークやサーバ等のシステムを共有することから、同システムへのサイバー攻撃は、顧客のシステム等への侵入・拡大につながる危険性もある。
国家が関与・支援したとみられるMSPに対するサイバー攻撃
MSPのシステムへの侵入に成功すると、多くの顧客情報の入手や顧客のシステムへの侵入が容易になるという効率の良さから、MSPに対するサイバー攻撃は頻繁に行われており、特に、国家が関与・支援するサイバー脅威主体からは執ように狙われてきた。例えば、中国国家安全部の傘下で活動しているとされるサイバー脅威主体「APT10」は、平成20年(2008年)頃から、世界中のMSPを標的としたサイバー攻撃キャンペーン「クラウドホッパー作戦」を展開してきたとされ、平成30年(2018年)12月、米国司法省は、知的財産や営業秘密の窃取目的で世界中のコンピュータに侵入したとして、「APT10」関係者2人を起訴したと発表した。
MSPに対する攻撃による情報流出事案が発生
我が国でも、MSPに対するサイバー攻撃による情報流出事案が相次いで発生している。
令和2年(2020年)5月、クラウドサービスを提供する我が国のMSPは、当該事業者に対するサイバー攻撃事案を公表し、内部調査の結果、200社近い顧客に影響が出たことが判明した。令和2年(2020年)12月には、MSPに対するサイバー攻撃の結果、大手重工メーカーの子会社が不正アクセスを受けたことを公表した。このほか、社内外とインターネット上で情報を共有するサービスを提供するMSPに対するサイバー攻撃事案では、100組織以上の個人情報を含むデータが窃取されたことが判明している(5月)。
国外では、米国情報通信企業「Kaseya」製品のゼロデイぜい弱性を狙ったランサムウェア攻撃事案が公表され(7月)、同社の製品が多くのMSPに導入されていたことから、最大1,500社に被害が及んだことが判明している。
今後も、様々なサイバー脅威主体によるMSPに対するサイバー攻撃が継続するとみられ、引き続き警戒が必要である。
