Webサイトにおける、IPアドレス直接指定によるリクエストブロックの効果（転載）

「不正アクセスの傾向分析とクラウドWAF利用時の注意点」の記事をアップしました。MBSD-SOCで観測したアラートの傾向を元に、セキュリティ対策の一環として取り得る対応や、クラウドWAFを使用する際の注意点について解説します。（バックアップ）

Webサイトを利用する際、FQDNでアクセス先を指定することがほとんどかと思います。

例えば、ブラウザのURL欄にwww.example.comと入力してアクセスした場合、リクエストのHostヘッダは「Host: www.example.com」となります。

一方で、例としてwww.example.comを名前解決したIPアドレスが198.51.100.1だとすると、このWebサイトにIPアドレスを直接指定してアクセスした場合、Hostヘッダが「Host: 198.51.100.1」のようになります。

また、IPアドレスを直接指定してHTTPSでアクセスした場合、証明書の検証に失敗してしまいますので、図2のようにブラウザに警告メッセージが表示されます。

よって、一般的なWebサイトであれば、サイト利用者による正規なリクエストはFQDNでのアクセスとなるはずです。

下図は、ある期間で観測したHTTP(S)リクエストによるアラートを、Hostヘッダの指定方法ごとに集計した結果です。

アラートの約3割がIPアドレスを直接指定したリクエストであるという傾向が見受けられました。

FQDN・IPアドレス直接指定の他に、Hostヘッダに攻撃文字列をセットしたリクエストも一定数観測しています。

下表は観測したアラートのうち、IPアドレス直接指定によるリクエストで検知したアラートを簡易的に分類し、集計した結果です。

最も割合の多い「特定の脆弱性を狙った攻撃」は、該当製品の使用有無に関わらず無差別的(バラマキ)に攻撃してきているケースを多く観測しています。「隠しファイルやパスへのアクセス試行」「IoTデバイスへの攻撃」にも同様の傾向があります。

(当然、事前に外部公開システムを検索できるサービスなどを使い、ターゲットを絞ってから攻撃してくるケースもあるものと想定されます。)

IPv4インターネットの世界には、ざっくり約43億個のグローバルIPアドレスがあります。

この43億という数はツールを使用することにより現実的なコスト(所要時間)でスキャンすることが可能と言われています。

IPアドレスをスイープ(総なめ)して無差別的に攻撃リクエストを投げてきたり、スキャンをかけてきたり、ボットネットの感染拡大を試行してくるという傾向は上記の集計結果からも読み取れるかと思います。

以上のことから、全ての環境に当てはまるとは限りませんが、Webアプリケーションに対するIPアドレス直接指定によるリクエストを拒否することで、不審なリクエスト(攻撃を含む)を軽減する一定の効果があると考えられます。

その他にも、以下の観点でメリットがあると考えられます。

• IDS/IPSやWAFを運用している環境の場合、アラート確認の手間を削減できる。
• リクエストやレスポンス処理にかかるサーバリソースの無駄な消費を軽減できる。

WebサーバやWAF・ロードバランサなどのアプライアンスでIPアドレス直接指定によるリクエストを拒否(ブロック)する設定を検討するのはいかがでしょうか？

現状維持とは、退化のことである（転載）

現状維持とは、退化のことである:

神楽坂にある和食のお店に出かけました。ミシュランで13年連続3ツ星を維持し続けている、予約のなかなか取れない名店です。

インスタ映えするような、派手な盛り付けはありませんが、丁寧に下ごしらえして品のあるお料理と、丁寧な接客が、何回いってもしみじみと満足できるお気に入りのお店です。

老舗の変わらない味を伝統として守っているように見えますが、毎回新しいお料理が登場して進化しています。

今回の最後に出てきた土鍋ご飯は、牛肉が入った珍しいものでした。ひょうきんなご主人が自らテーブル前で仕上げをしてくれます。

炊き立てのご飯に生の牛肉の薄切りを入れて、かき混ぜてご飯の熱で牛肉に火を入れます。レア感の残った牛肉の味がご飯と一体になって、薄味で何杯でも食べられる絶妙な仕上がりでした。

老舗の人気店であっても、進歩や改善をやめてしまえば、お客様は離れていきます。世の中が変化して、来店客の好みが変われば現状維持は退化を意味するのです。

ソフトバンクの孫正義氏は「髪の毛が後退しているのではなく、私が前進しているのだ」という名言を残しました。

進化しているのか、退化しているのかは、自分の相対的な位置がどちらに向かっているかによって決められるものです。

世の中の変化よりも大きく動かなければ、それは相対的には退化を意味するのです。

情弱者向け投資商品「ファンドラップ」バカ売れ中（転載）

ファンドラップの問題は「高コスト」だけではない:

日本経済新聞の報道によれは、金融機関に資産運用を一任するファンドラップの契約残高が、2021年6月末で12兆円となり、ここ5年間で2倍超に増えたそうです（図表も同紙から）。

紙面でも指摘されているように、ファンドラップの最大の問題は、手数料などコストが割高で、それが個人投資家に見えにくい構造になっていることです。ラップ口座自体の運営コストだけではなく、組み入れられる投資信託の信託報酬もかかり、実際の年間コストがどのくらいになるか、不透明です。

株価の堅調であれば高コストであっても値上がり益に吸収されて気にする個人投資家は少ないと思いいます。しかし、金融マーケットが調整する局面になれば、資産価格のマイナスに高い運用コストが相まって、ファンドラップを利用する個人投資家の資産はマーケットの平均よりも、更に大きく下落することになります。

高い手数料を支払っても、それに見合う運用成果が得られなければ、低コストのインデックスファンドを自分で組み合わせてアセットアロケーションする方が賢明です。

ファンドラップのもう一つの問題は、運用をお任せと言いながら、投資対象が金融資産だけに偏っていることです。

今や、プロの運用者である機関投資家も、リスク分散とリターン向上を目的に、不動産をはじめとする実物資産を運用対象に組み入れるのが常識となっています。

高いコストを払い、成果の期待しにくい金融資産だけの運用を続けても、将来のお金の不安は解消しません。

上記の話は資産運用に真剣に向き合う人にとっては当たり前のことだと思います。でも、世の中一般では、なかなか理解されていないのは、とても残念なことです。

情報セキュリティに関係する基準、ガイドラインなど（転載）

情報セキュリティに関係する基準、ガイドラインなど: 

 rokujyouhitoma.hatenablog.com/entry/2021/09/…

いつも見直すときに探し直す羽目になってしまうので情報セキュリティに関係する法規、基準、ガイドラインなどをまとめておく。

こうやってリストアップし俯瞰すると、多くは経済産業省、IPA。

基準、ガイドライン

• 営業管理秘密指針https://www.meti.go.jp/policy/economy/chizai/chiteki/guideline/h31ts.pdf
  
  
• サイバーセキュリティ経営ガイドライン
  https://www.meti.go.jp/policy/netsecurity/mng_guide.html
  
  
• クラウドサービス提供における情報セキュリティ対策ガイドライン（第２版）
  https://www.soumu.go.jp/main_content/000566969.pdf
  
  
• 総務省｜報道資料｜「クラウドサービス提供における情報セキュリティ対策ガイドライン（第2版）」の公表
  https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00001.html
  
  
• テレワークセキュリティガイドライン第５版（令和３年５月）
  https://www.soumu.go.jp/main_content/000752925.pdf
  
  
• 総務省｜テレワークにおけるセキュリティ確保
  https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/
  
  
• 中小企業等担当者向け テレワークセキュリティの手引き（チェックリスト）第２版（令和３年５月）
  https://www.soumu.go.jp/main_content/000753141.pdf
  
  
• 中小企業の情報セキュリティ対策ガイドライン
  https://www.ipa.go.jp/files/000055520.pdf
  
  
• 情報セキュリティ監査制度
  https://www.meti.go.jp/policy/netsecurity/is-kansa/
  
  
• 情報セキュリティ管理基準（平成28年経済産業省告示第37号）
  https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard_H28.pdf
  
  
• 情報セキュリティ監査基準（平成15年経済産業省告示第114号）
  https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex04.pdf
  
  
• 情報セキュリティ監査基準 実施基準ガイドライン Ver1.0
  https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex05.pdf
  
  
• オープンソースソフトウェアの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集
  https://www.meti.go.jp/press/2021/04/20210421001/20210421001.html
  
  
• 情報システム安全対策基準
  https://www.meti.go.jp/policy/netsecurity/downloadfiles/esecu03j.pdf
  
  
• 個人情報の保護に関する法律についてのガイドライン （外国にある第三者への提供編）
  https://www.ppc.go.jp/personalinfo/legal/guidelines_offshore/
  
  
• OECDガイドライン
  https://www.mofa.go.jp/mofaj/gaiko/oecd/security_gl_a.html
  
  
• 政府機関等の情報セキュリティ対策のための統一基準群（平成30年度版）
  https://www.nisc.go.jp/active/general/kijun30.html
  
  

規格、認証、フレームワーク

• ISO/IEC 27001
  https://www.iso.org/isoiec-27001-information-security.html
  
  
• ISO/IEC 27017:2015
  https://www.iso.org/standard/43757.html
  
  
• ISO/IEC 17799:2005
  https://www.iso.org/standard/39612.html
  
  
• JIS X 5080:2002
  https://www.jipdec.or.jp/archives/publications/J0004141
  
  
• ISO/IEC 20000:2018
  https://www.iso.org/standard/70636.html
  
  
• ISO 22301:2012
  https://www.iso.org/standard/50038.html
  
  
• IEC 62443シリーズ
  https://www.iec.ch/blog/understanding-iec-62443
  
  
• JIS Q 15001:2017
  https://www.kikakurui.com/q/Q15001-2017-01.html
  
  
• セキュリティ関連NIST文書
  https://www.ipa.go.jp/security/publications/nist/index.html
  
  
• NIST CSF
  https://www.ipa.go.jp/files/000071204.pdf
  
  
• プライバシーマーク制度
  https://privacymark.jp/system/about/index.html
  
  
• PCI DSS
  https://www.pcisecuritystandards.org/documents/PCI_DSS_v3_2_1_JA-JP.pdf?agreement=true&time=1632922346978
  
  
• ITIL
  https://www.axelos.com/best-practice-solutions/itil
  
  
• EDSA認証
  https://www.isasecure.org/en-US/Certification/IEC-62443-EDSA-Certification-(In-Japanese)
  https://www.ipa.go.jp/security/fy25/reports/edsa/index.html
  
  

法

• 不正競争防止法
  https://elaws.e-gov.go.jp/document?lawid=405AC0000000047
  https://www.meti.go.jp/policy/economy/chizai/chiteki/index.html
  
  
• 不正アクセス禁止法
  https://elaws.e-gov.go.jp/document?lawid=411AC0000000128
  
  
• サイバーセキュリティ基本法
  https://elaws.e-gov.go.jp/document?lawid=426AC1000000104
  
  
• 個人情報保護法
  https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
  https://www.ppc.go.jp/personalinfo/

クラウドOSINT / Cloud OSINT + free cloud training courses & certifications（転載）

Cloud OSINT + free cloud training courses & certifications

コンピュータ技術は、小型化、シンクライアント化、プッシュプルモデルによる更新情報を提供する中央管理型のインフラへと移行し続けていますが、ひとつ確かなことは、クラウドが未来であるということです。

クラウド環境でのインシデントレスポンス、OSINTに基づく調査、クラウドベースのデジタルフォレンジックなど、この継続的な適応には、デジタル調査も適応しなければなりません。

脅威を調査したり対応したりするためには、まず環境を理解する必要があります。

サービスプロバイダーが誰であるかに関わらず、クラウドは世界中に散在する物理的および仮想的なコンピューティングリソースの組み合わせであり、デジタル「テナント」によって短期または長期的にレンタルされています。

クラウドについて学ぶことは、デジタル調査員にとって有益です。実際、クラウド・コンピューティングに関して、これほど多くの無料教育コンテンツが提供されていることはありません。

 Cloud OSINT

一般的なクラウドOSINT調査では、一般に公開されている（多くの場合、意図せずに公開されている）オンラインコンテンツに焦点が当てられ、一般にバケット（AWS、Google Cloud）やブロブ（Azure）と呼ばれるクラウドストレージリソースに展開されます。

公開されているバケットやブロブには、ビデオやMP3ファイルの再生、画像やPDFの表示など、Webサイトと同じようにオブジェクトを格納して表示することができます。

「漏れたバケツ」を検索することは、単なる調査の切り口ではなく、サイバーセキュリティの専門家や監査人がデータポリシーのギャップを見つけ、コンプライアンス違反を排除するためにも行われます。

ここでは、クラウド上で公開されているコンテンツを検索するための便利なツールをご紹介します。

• Grey Hat Warfare - ファイル、バケット、ブロブの検索可能なデータベースです。様々なクラウドリソースをキーワードで検索できます。完全な検索結果、リスト、ファイル拡張子、その他のオプションは、有料のサブスクリプションのみで利用可能です。
  
  
• Osint.sh Public Buckets - Amazon S3バケットとAzure blobの両方を検索します。キーワードやファイルの拡張子で検索を絞り込むことができます。
  
  
• Digi Ninja’s Bucket Finder - オフラインツール、ダウンロードが必要です。バケット名をチェックして、その公開/非公開の設定やパーミッションをチェックします。

ウェブやオフラインのツールは便利で簡単に利用できますが、本当の意味でのチャンスや選択肢の豊富さは、Githubや、公開すべきでないクラウドリソースを列挙して特定するために作成された数多くのリポジトリにあります。

• https://github.com/initstring/cloud_enum
  
  
• https://github.com/nyxgeek/AzureAD_Autologon_Brute
  
  
• https://github.com/Parasimpaticki/sandcastle
  
  
• https://github.com/sa7mon/S3Scanner
  
  
• https://github.com/clario-tech/s3-inspector
  
  
• https://github.com/eth0izzle/bucket-stream
  
  
• https://github.com/cr0hn/festin
  
  
• https://github.com/awslabs/aws-config-rules
  
  
• https://github.com/awslabs/git-secrets
  
  
• https://github.com/jordanpotti/AWSBucketDump

上記の資料の範囲は非常に広く、それらの資料を利用するには、ある程度深い理解と勉強が必要になるでしょう。

幸いなことに、そのような目的のための資料には事欠きません。

週刊OSINT 2021-37号 / Week in OSINT #2021-37（転載）

Week in OSINT #2021-37
 

今号は、次のような話題をお届けします。

• Why Look at the Page Source?
• WeVerify Plugin
• Start.me on Canada
• IOCs on Twitter
• Whatsmyname
• Finding Hidden Content on LinkedIn
• Google Alerts

---

Tip: なぜページソースを見るのか？

OSINT分野のハードヒッターが、Twitterで質問をしたらどうなるでしょうか？その質問が「Webページのソースコードを見るべき理由を教えてください」だったらどうでしょう。その結果、興味深いツイッターのスレッドができ、なぜそれが実りあるものになるのか、たくさんの例が出てきます。解析コード、隠れたメタデータ、タイムスタンプ、解析されたJSONデータなど、多くの発見がありました。Kirbyさん、ご質問ありがとうございました。

The #OSINT question for this week: give one reason you might look at the source code or inspect panel for a website during an investigation.

— kirbstr (@kirbstr) September 7, 2021

Link: Twitter thread

---

ツール: WeVerify Plugin

フェイクニュースに対抗するための最良のツールの一つが、WeVerifyプロジェクトのツールボックスです。このツールボックスはブラウザに組み込まれており、ワンクリックで画像の逆引き検索や、便利なツールを集めたメニューを表示することができます。さらに、便利な新機能が追加されたことで、さらに進化しています。

• TwitterやFacebookからのメタデータ
• OCRツール
• イメージフォレンジックの強化
• ファクトチェックサイトのGoogle検索
• ソーシャルメディアのGoogle検索

何よりも素晴らしいのは、ツールの中に学習教材やゲームが用意されていることです。コンテンツのファクトチェックに慣れていない人は、「クラスルーム」や「デモ」を見て、スピードを上げていきましょう。ジャーナリストや研究者のみが利用できるツールもありますので、より高度な機能を利用したい方はアカウントを登録してください。Firefoxのアドオンもいつかアップデートされることを期待しましょう。

「フェイクニュースゲーム」で自分のスキルを試す

---

リンク: Start.me on Canada

Ritu Gillは、カナダに関する有用な情報を集めた「Start.me」のページを作成しました。国レベルのリンクだけでなく、州や地域別のリンクにも分けられています。膨大な量のリンクが掲載されており、カテゴリー別に分けられていないため少し検索する必要がありますが、必要に応じて有用なリンクの世界が広がっています。すべてのハードワークと、それをコミュニティと共有することに感謝します

カナダの情報が必要ですか？そんな時はこのサイトをご利用ください。

---

Tip: IOCs on Twitter

Daniel Lópezはセキュリティアナリストで、phishhunt.ioの開発者です。phishhunt.ioは、ダニエル・ロペス氏のウェブサイト、Twitter、またはGitHubのリポジトリから、Twitterで共有されているIOCを見つけることができます。

ツイッターでのIOCコレクション

彼のレポでもうひとつ興味深いのは、フィッシングキットのコレクションです。Phishhunt.ioは、アクティブなフィッシングサイトをダウンロードし、GitHubのレポに保存しています。ここにあるコレクションは本当に役に立ちます。

Link: TweetFeed

Link: Phishing kits

---

ツール: Whatsmyname

2015年10月にMicah Hoffmanは、ユーザー名を列挙するツールWhatsmynameを作成しました。このスクリプトは他のツールとは異なり、ウェブサイトに問い合わせをして、エラーがなければヒットするというものではありません。WebサイトやAPIにクエリを送信した後、実際にコンテンツを確認します。誤検出が減り、手作業に費やす時間も減りました。また、コミュニティのおかげで、さらに多くのサイトが追加されました。現在、300以上のウェブサイトが含まれていますが、あなたの助けが必要です。お気軽にフォームにご記入いただくか、プルリクエストを作成してサイトを追加してください。

Link: GitHub repo

Link: WhatsMyName web app

---

Tip: LinkedInの隠れたコンテンツを見つける

LinkedInユーザーにとっては、すべてが見えるわけではありません。なぜなら、プロフィールを見てもはっきりとは見えない情報もあるからです。しかし、古き良き時代のGoogleは、これらの隠れた情報を認識しており、Henk van EssがTwitterのスレッドで示したように、人々が働く場所を検索することもできます。

LinkedInで間接的に人を検索する

また、自分のプロフィールがGoogleにインデックスされないようにしても、追加した会社の従業員として表示されてしまいます。Irina Shamaevaのサイトでは、LinkedInの便利なクエリを紹介しています。

Link: Booleanstrings

---

Tutorial: Google Alerts

Tracy MaleeffがGoogleアラートの作成方法について短いチュートリアルを書きました。Googleアラートは、特定のトピックに関する情報を、メールボックスやRSSフィードで簡単に収集することができるサービスです。Googleのこのサービスは2003年に開始されたもので、Googleのデータベースに新しくインデックスされたURLが「アラート」にマッチすると、アラートの作成者に通知されるというサービスを提供しています。非常に便利で、設定も簡単です。この小さなチュートリアルに感謝します。

アラートの設定 - Image by InfoSecSherpa

Link: https://link.medium.com/zboIT78fHjb

ライトオンに不正アクセス、会員の個人情報が流出（転載）

弊社公式オンラインショップへの不正アクセスによる個人情報流出に関するお詫びとご報告 株式会社ライトオン 2021年11月4日
biz.right-on.co.jp/news/topics/11…

ライトオンに不正アクセス、会員の個人情報が流出

衣料小売のライトオンは、公式オンラインショップが不正アクセスを受け、登録会員に関する個人情報が外部に流出したことを明らかにした。

同社によると、会員登録フォームより登録された「ライトオンメンバーズ」の個人情報24万7600件が外部に流出したことが、10月30日に判明したもの。氏名や生年月日、性別、住所、電話番号、メールアドレスなどが含まれる。

10月27日に異常なアクセス件数を検知し、同月23日ごろより断続的に攻撃を受けていたことが発覚。対策を講じたが29日にも不正アクセスを確認し、アクセス元との通信を遮断した。また調査を行ったところ、流出したデータに個人情報が含まれていたことが10月30日に判明したという。

同社は11月3日に警察へ被害を申告するとともに、個人情報保護委員会へ報告。翌4日より対象となる顧客に対して個別に連絡を取っている。

同社では、不正アクセス対策や監視体制を強化するほか、外部事業者によるセキュリティ体制の監査を実施し、再発の防止を図りたいとしている。

プレスリリース（バックアップ）

衣料品通販サイト「LINK IT MALL」に不正アクセス - クレカやアカウント情報が流出か（転載）

弊社が運営する「LINK IT MALL」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 株式会社リンクイット
boujeloud.com/c/information/…

衣料品通販サイト「LINK IT MALL」に不正アクセス - クレカやアカウント情報が流出か

ブランド「Bou Jeloud」などの衣料品を扱う通信販売サイト「LINK IT MALL」が不正アクセスを受け、会員のアカウント情報やクレジットカード情報が外部に流出した可能性があることがわかった。

同サイトを運営するリンクイットによれば、ウェブサイトの決済アプリケーションを改ざんされ、2020年4月27日から2021年3月24日にかけて同サイトで商品を購入した顧客6197人が利用したクレジットカード情報が外部に流出し、不正に利用された可能性があることが判明したもの。

対象となるクレジットカード情報は6485件で、クレジットカードの名義、番号、有効期限、セキュリティコードが含まれる。また同サイトに登録する顧客のメールアドレスやログインパスワードについても流出した可能性があり、パスワードの初期化を実施したという。

4月20日に決済代行会社から情報流出の可能性について指摘があり問題が発覚。4月30日に警察へ被害を申告し、個人情報保護委員会に対しても7月21日に報告した。

外部事業者による調査は9月29日に終えており、対象となる顧客に対しては、11月4日よりメールで連絡を取って謝罪し、身に覚えのない請求が行われていないか確認するよう求めている。

プレスリリース（バックアップ）

手芸用品通販サイトに不正アクセス - 社内ネットワーク経由でサイト改ざん（転載）～想定損害賠償額は5,000万円程度か～

[PDF] 弊社が運営する「パーツクラブ オンライン」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 
endless-inc.jp/img/news/21110…
パーツクラブ・オンラインからのカード情報漏えい
手芸用品通販サイトに不正アクセス - 社内ネットワーク経由でサイト改ざん

アクセサリーの部品やビーズなどの手芸製品を扱う通信販売サイト「パーツクラブオンライン」に不正アクセスがあり、クレジットカード情報が外部に流出し、不正に利用された可能性があることがわかった。

同サイトを運営するエンドレスによれば、同社の社内ネットワーク経由で同サイトに不正アクセスが行われ、ウェブサイトの決済アプリケーションを改ざんされたもの。6月30日に顧客から情報流出の可能性について指摘があり、問題が判明した。

5月27日からクレジットカードによる決済を停止した7月1日にかけて、クレジットカードの番号、有効期限、セキュリティコードなど、顧客2070人が購入時に利用したクレジットカードに関する情報を窃取され、不正に利用された可能性がある。

7月2日に警察へ被害を申告し、情報処理推進機構（IPA）にも不正アクセスを届けたほか、7月15日には個人情報保護委員会へ報告した。

外部事業者による調査は9月27日に完了しており、対象となる顧客に対しては、11月1日よりメールや書面を通じて顧客に連絡を取り謝罪し、身に覚えのない請求がないか確認するよう注意喚起を行っている。

プレスリリース（バックアップ）

家具やインテリアの通販ショップに不正アクセス（転載）

[PDF] 弊社が運営する「オンラインショップ」への不正アクセスによる個人情報漏洩に関するお詫びとお知らせ 株式会社かねたや家具店 
kanetaya.com/infomation2021…

家具やインテリアの通販ショップに不正アクセス

家具やインテリアを扱う通信販売サイト「ROOMDECOオンラインショップ」が不正アクセスを受け、アカウント情報やクレジットカード情報が窃取された可能性があることがわかった。

同サイトを運営するかねたや家具店によれば、3月5日から6月6日にかけて同サイトでクレジットカード決済を利用した顧客129人のクレジットカード情報140件が外部へ流出した可能性があることが判明したもの。

脆弱性を突かれて決済アプリケーションを改ざんされ、クレジットカードの番号、有効期限、セキュリティコードのほか、会員のID、ログインパスワードなどを窃取された可能性がある。6月7日に同サイトの保守を行う会社からクレジットカード情報が流出した可能性があるとの連絡があり、問題が判明した。

ログの調査では、会員情報や受注情報のデータベースに対してアクセスが行われた形跡も確認されたが、データベースがら情報を窃取された明確な痕跡は確認されていないと説明している。

外部事業者による調査は8月31日に終えており、9月7日に個人情報保護委員会へ報告。同日警察にも被害を申告したという。

クレジットカード情報が流出した可能性がある顧客に対しては、10月28日よりメールにて事情を説明するとともに謝罪し、身に覚えのない請求がないか注意を呼びかけている。

プレスリリース（バックアップ）

バイク関連製品通販サイトで個人情報流出のおそれ - 3Dセキュアも（転載）

弊社が運営する「TANAXオンラインショップ」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ タナックス株式会社 2021年10月27日
tanax.co.jp/motorcycle/top…

バイク関連製品通販サイトで個人情報流出のおそれ - 3Dセキュアも

オートバイや自転車向け製品を扱う通信販売サイト「TANAXオンラインショップ」が不正アクセスを受け、クレジットカード情報をはじめとする個人情報を窃取され、不正に利用された可能性があることが判明した。

同サイトを運営するタナックスによれば、2020年12月7日から2021年1月7日にかけて、同サイトで決済に利用された顧客のクレジットカード情報26件が外部に流出し、不正に利用された可能性があることが明らかとなったもの。

脆弱性を突く不正アクセスを受け、決済アプリケーションが改ざんされたもので、氏名や住所、電話番号、メールアドレスのほか、クレジットカードの名義、番号、有効期限、セキュリティコード、3Dセキュアのパスワードなどを窃取されたおそれがある。

1月7日に購入者より情報流出の可能性について指摘があり、1月15日にクレジットカードによる決済を停止。同日警察へ被害を申告するとともに、外部事業者による調査を進めていた。外部事業者による調査は8月13日に完了しており、9月14日に個人情報保護委員会へ報告している。

同社では対象となる顧客に対し、10月27日よりメールや電話で経緯を説明して謝罪するとともに、心当たりのない請求が行われていないか確認するよう求めている。

プレスリリース

インドネシア子会社に対する不正アクセスについて スズキ株式会社 2021年10月22日 suzuki.co.jp/release/d/2021…

インドネシア子会社に対する不正アクセスについて スズキ株式会社 2021年10月22日 
suzuki.co.jp/release/d/2021…

スズキ海外子会社にサイバー攻撃、工場が一時操業停止

スズキのインドネシア子会社「Suzuki Indomobil Motor（SIM）」にサイバー攻撃があり、一時生産システムが停止したことがわかった。すでに稼働は再開しているという。

同社によると、現地時間10月15日に同社ネットワークがサイバー攻撃を受けたもの。同日夜に生産システムが停止したことから被害に気がついた。現地顧客情報が保存されていたサーバに対しても第三者によるアクセスがあったという。

サイバー攻撃の影響により、同社四輪工場の一部では一時稼働を見合わせたが、21日に再開した。週末や現地祝日の20日を挟んでおり、営業日として操業できなかったのは18日および19日の2日間のみとしている。

同社では、現地政府当局に事態を報告。25日の段階で顧客情報の流出は確認されていないが、引き続き詳細について調査を進めている。原因については、本誌取材に対して「セキュリティ上、回答を差し控える」としてコメントを避けた。

またサイバー攻撃の影響を受けたのは「Suzuki Indomobil Motor」のみとしており、他国で展開する同社関連拠点や国内への影響については否定している。

プレスリリース

三菱電に不正アクセス 情報流出（転載）

三菱電に不正アクセス 情報流出 news.yahoo.co.jp/pickup/6407711: 
news.yahoo.co.jp/pickup/6407711

三菱電機にサイバー攻撃 - 子会社複数顧客の関連データが流出

三菱電機は、同社グループで利用するネットワークがサイバー攻撃を受け、子会社である三菱電機インフォメーションシステムズ（MDIS）の複数顧客に関する一部データが外部に流出したことを明らかにした。

同社によると、同社やグループ会社が接続するネットワークにおいて、10月8日に通常とは異なる海外からのアクセスを検知。10月15日に流出したデータを特定した。

第三者によるアクセスではMDISがピンポイントで狙われ、同社の国内複数顧客に関する一部データが窃取された。外部に流出したデータは特定済みだが、内容や件数などは「非公表」としている。

すでに顧客に対して個別に事態を報告しており、流出したデータに機密情報など重大な情報は含まれておらず、顧客への影響がないことを確認したという。

同社では、ネットワーク内部にアクセスされた詳しい原因について調査を進めている。またサイバー攻撃の発覚を受けて、所管する経済産業省やセキュリティ機関などへ報告を行っている。

プレスリリース

Windows 11の神モードとは / How to unlock Windows 11's God Mode to access advanced settings（転載）

How to unlock Windows 11's God Mode to access advanced settings:

Windows 11では、マイクロソフト社が最新の「設定」アプリのデザインを一新しました。

新しい「設定」アプリでは、サイドバーなどを使用して異なるページ間を簡単に移動できるようになっているほか、カスタマイズ、ネットワークの管理、電力使用量、ディスク管理などの新しいコントロール機能が搭載されています。

設定アプリは大幅に改善されましたが、いくつかのコントロールパネルの機能はまだありません。

ありがたいことに、Windows 11には、コントロールパネルとファイルエクスプローラーをベースにした「神モード」と呼ばれる高度な設定ページが残っており、すべての高度なツール、機能、タスクに簡単にアクセスすることができます。

神モードでは、高度な管理機能に一度にアクセスでき、最新の設定よりも優れています。

Windows 11で神モードを有効にする

Windows 10でゴッドモードにアクセスするには、以下の手順で特別なショートカットフォルダーを作成します。

1. デスクトップ上の任意の場所を右クリックします。
   
   
2. 新規作成」を選択し、「フォルダ」をクリックします。
   
   
   
   
   
3. 新しいフォルダを右クリックします。

   
   
4. フォルダの名前を以下のコマンドに変更します。
   
   GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}
   
   
   
   
   
   
5. エンターキーを押します。

このフォルダをダブルクリックすると、神モードが開きます。

そうすると、上のスクリーンショットのようなページが表示されます。ご覧のとおり、Windows 11の神モードでは使い慣れた操作感が得られ、ファイルエクスプローラーのクラシックな表示も復元されています。

また、エクスペリエンスを向上させるために、CLSID（一意の識別子）を使用して、デスクトップから他の設定ページに直接アクセスすることもできます。

例えば、「{D20EA4E1-3957-11d2-A40B-0C5020524153}」という名前のフォルダを作成して、デフラグツールやディスクフォーマットオプションなどの管理ツールを開くことができます。

これらの値を試してみることもできます。

• Network - {F02C1A0D-BE21-4350-88B0-7367FC96EF3C}
  
  
• Bluetooth - {28803F59-3A75-4058-995F-4EE5503B023C}
  
  
• Mouse properties - {6C8EEC18-8D75-41B2-A177-8831D59D2D50}
  
  
• Personalization - {ED834ED6-4B5A-4bfe-8F11-A626DCB6A921}
  
  
• Troubleshooting - {C58C4893-3BE0-4B45-ABB5-A63E4B8C8651}

第14回世界の資産運用フェア～オワコンの対面式証券会社からは直ちに資産を引き上げよ～

 

武漢ウイルス蔓延後、初の会場型セミナーに参加した。

オンラインセミナーは自宅から参加できるので楽なのだが、どうしても”ながら視聴”になってしまい、セミナーに集中するのであれば、やはり会場参加型セミナーが良いと思う。

武漢ウイルスの蔓延で、外出を控える人がいるおかげで、価値＞価格を体現した素晴らしいセミナーだった。

お土産のワインボトルだけで完全に参加費をペイできているのだが、ランチ、ドリンク、ハズレ無しのお楽しみ抽選会でプレゼントまでついてきた。

貰ったワインを備忘録がてら残しておく。

家帰ってボトル見たら、輸入業者がJALUXでした。

確かにいいワインです。ハイ。

セミナーは下記5部構成で実施。

1. 資産運用
2. 国内不動産
3. 海外不動産
4. 節税/その他実物資産
5. 資産形成術

気になったセッションのメモを残しておく。

Session.1 資産運用 | 初心者がこれから始める資産運用の基本の「キ」

・内藤さんは金融資産：実物資産=1:9の比率になっているらしい

・金融資産でインカムゲインは取れない

・対面や電話で営業してくる証券会社は即刻解約。ネット証券にすべし。

Session.2 国内不動産 | 初心者がこれから始める資産運用の基本の「キ」

・都内、中古、ワンルームで進める場合でも、足立区、葛飾区、江戸川区は避ける。

・横浜、川崎は都内と比べると物件価格は安いが、投資対象は限られるので注意。

※会場で写真撮るの忘れたため、Youtubeから拝借

ランチ（帝国ホテルの特製ランチ）

完全階級制。写真はA席のランチ。S席は写真に加えてお吸い物が付きます。B席はサンドイッチの軽食でした。

お楽しみ企画① ウクレレミニコンサート By ウクレレ☆エルヴィス

メンフィス生まれのハワイ育ちで、日本語をしゃべると南部訛りが出るウクレレ☆エルヴィスさんのミニコンサートを堪能

Session.3 海外不動産 | コロナ過で変わる海外不動産投資の新戦略

最近国内不動産のクラウドファンディングが多いですが、海外不動産のクラウドファンディングがあることを知る。

お楽しみ企画② マジックショー By ピーロ

下記のような費用感で来てくれるみたいです。

①テーブル・サロンマジック　3万～5万
②ステージショー：5万
スペシャルマジックショー：10万

YouTubeチャンネル

Webサイト

お楽しみ企画③ ヴィオラミニコンサート By 萩原 薫

弦楽器は生演奏は素晴らしいです。

萩原 薫さんWebサイト

お楽しみ抽選会ではマネークリップを頂きました。

海外旅行では財布を使わずに現金をポケットに入れるので、マネークリップ活用したいと思います。

個人的に今回のセミナーで一番の驚きだったのが、金融資産と実物資産に比率。

2014年くらいの内藤さんは金融資産と実物資産は切り離して管理するような手法を取っていたはずですが、一体管理に変わっていました。

不動産投資でFIREした人の話をよく聞くのですが、共通しているのは金融資産から不動産に資金をシフトさせていること。その具体的な比率を聞けたのが一番の収穫でした。

マネーフォワードのお金のEXPOも価値＞価格の素晴らしいイベントでしたが、世界の資産運用フェアも非常にいいイベントです。定期的に参加したいと思います。

スーパーマーケットのECサイトで個人情報25万件が流出（転載）

【限定】ベイシアからのカード情報漏えい:
スーパーマーケットのECサイトで個人情報25万件が流出か　非会員含む8年分の顧客情報が対象

1都14県でスーパーマーケット138店舗を展開するベイシア（群馬県前橋市）は11月1日、同社が運営するECサイト「ベイシアネットショッピング」の運営委託先が第三者による不正アクセスを受け、顧客の個人情報25万4207件とクレジットカード情報3101件が流出した可能性があると発表した。

情報流出の可能性があるのは、2013年10月1日から21年8月6日までに予約カタログ注文で商品を店頭受け取りした顧客の氏名と電話番号が19万3766件、同期間に会員登録をせずに商品を購入した顧客と、21年4月26日までに会員登録をした顧客の氏名や電話番号、住所、メールアドレスなどが各2万1340件と3万9101件。

加えて、21年4月26日から21年8月19日までに、同サイトでカード番号を入力した顧客3101件分のカード番号やセキュリティコード、氏名、住所、メールアドレス、電話番号、高度に暗号化されたパスワードも流出した可能性がある。

ベイシアによると9月1日にカード会社に情報流出の可能性を指摘され、確認したところECサイトの運営委託先である東芝テック（東京都品川区）とジーアール（京都市中央区）が不正アクセスを受けていたことが分かった。

同日中にECサイトは閉鎖して調査を開始。顧客情報は別のシステムに移した。情報が流出した可能性のある3101件のクレジットカードについてはカード会社がモニタリングを実施している他、顧客がカードの再発行を希望する場合はベイシアが手数料を負担する。ECサイトはセキュリティ対策と監視体制を強化し、外部機関による安全確認後に再開するとしている。

プレスリリース（バックアップ）

変更不可の格安航空券が病気をばら撒く？ / Why The Cheapest Airline Fares May Make You Sick ～様々な観点で乗客を軽視するユナイテッド航空～

Why The Cheapest Airline Fares May Make You Sick:

ユナイテッド航空は、オーバーブッキングで提供座席数より実際の乗客が多くなった場合、一部の乗客に暴行を加えて無理やり引きずりおろしたりすることで、客を客と思っていない航空会社ですが、武漢ウイルが蔓延するこのご時世、乗客の健康もないがしろにしています。

ユナイテッド航空とアメリカン航空のベーシックエコノミー航空券は、一切予約変更ができません。もし病気になって飛行機に乗らなければ、チケットの価値はすべて失われます。(デルタ航空は期間限定でベーシックエコノミーのチケットを変更可能にしました）

武漢ウイルスの蔓延で、ほとんどの米国内線および米国発の国際線航空券には、変更手数料が適用されなくなりましたが、旅程を変更する際には、運賃の差額を支払うことになります。病気の時に飛行機に乗らないことは、自分のためだけではなく、周りの乗客に病気をうつさないためにも良いことです。

しかし、予約変更が可能なチケットを購入し、ベーシックエコノミーを避けることを選択しても、他の人から病気をもらうことを防ぐことはできません。そして、病気にならないと価値がなくなるチケットを販売することで、他の乗客が病気になるように煽っている航空会社（=ユナイテッド航空やアメリカン航空）を利用すると、病気の人が出やすい環境に置かれることになります。

ベーシックエコノミーは、航空会社が価格に敏感なレジャー客と、価値に敏感なビジネス客を分けるためのものです。航空会社はどちらにも販売し、同じ座席を販売したいと考えているが、一方でビジネス客には彼らが支払う金額よりも低い価格で航空券を販売しないようにしています。

ベーシックエコノミーの制限は様々です。ユナイテッド航空では、フルサイズのキャリーバッグの持ち込みや、バッグを預けないベーシックなお客様のオンラインチェックインはできません。アメリカン航空では、この運賃ではエリートステータスへの加算はありません。また、事前の座席指定もできないか、有料となっています。これらはすべて公正なものですが、変更不可という制限は公衆衛生の観点から問題があります。

健康を気遣う乗客は、病気になってもチケットを変更できない乗客に囲まれた航空会社に乗るかどうかを検討するべきです。

サウスウェスト航空ではベーシックエコノミーのチケットは販売していません。サウスウエスト航空の航空券は、すべて手数料なしで変更可能です。そのため、飛行機に乗っても体調を崩したくない乗客にとっては、サウスウェストが好ましい航空会社かもしれない。

オワコンの銀行業界は、利用者に古代兵器「Internet Explorer」の利用を強要する模様（転載）

諸事情あって沖銀のネット銀行開設しようと思うんだけど 古代兵器「Internet Explorer」を使えってなんとかならないんですかね…:（バックアップ）

イベリア航空：AVIOS購入50%ボーナスセール（2021/11/3～2021/11/12） / Iberia Plus Selling Avios With 50% Bonus

Iberia Plus Selling Avios With 50% Bonus

航空会社のポイントを戦略的に購入することは、特にファーストクラスやビジネスクラスへの交換では、ポイント交換が圧倒的にお得になるので、非常に意味があります。現在、イベリア・プラスでは、購入したポイントに対して優れたボーナスを提供しており、人によっては価値があると感じるかもしれません。

Iberia Plus Aviosのプロモーション

2021年11月12日（金）まで、イベリア・プラスでは、購入したAviosの50％ボーナスを提供しています。このキャンペーンでは、1回の取引で2,000～200,000Aviosを購入すると、50%のボーナスを受け取ることができます。

調達コスト

イベリア・プラスでは、キャンペーンを行わなくても、Aviosの購入数に応じてコストが変わります。通常の場合、ボーナスや割引を考慮する前に、イベリア・プラスはAviosあたり1.8セント（ユーロ）という低価格で購入できます。

イベリア航空のAviosを最安値で購入するには、米ドルではなくユーロで購入するという重要なコツがあります。例えば、今回の50%ボーナスオファーの場合。

• 300,000 Avios（ボーナスを含む）を米ドルで購入した場合、5,523ドルを支払います。
• 300,000Avios（ボーナスを含む）をユーロで購入した場合、3,601ユーロを支払います。

つまり、このオファーを利用すると、1つあたり約1.39セント（米ドル）でAviosを購入できることになります。

セキュリティ診断レポート 2021 秋（転載）～クラウド時代のセキュリティマネジメント～

セキュリティ診断レポート 2021 秋～クラウド時代のセキュリティマネジメント

LAC社より、クラウド活用の普及が進む現代社会に考えるべきセキュリティ対策をまとめた、システム担当者・情報セキュリティ担当者向けのレポートの最新号、「セキュリティ診断レポート 2021 秋」が公開。

デジタルトランスフォーメーション（DX）を実現させる手段の一つに、クラウドサービスの活用が挙げられます。今回の診断レポートでは、「SaaSを利用する際の注意点」、「クラウド環境下におけるセキュリティ対策」、「クラウドへアクセスする環境の物理セキュリティ対策」の3つの視点から、クラウドサービスを正しく活用するためのセキュリティ対策のポイントを解説します。

 本レポートの構成

1. 「SaaSを利用する時の注意点、意識していますか？」

DXに欠かせないSaaSですが、セキュリティインシデントも少なくありません。インシデント事例から得られる教訓を踏まえ、SaaSを利用する際に注意が必要なポイントを整理したので、ぜひ自組織内で確認してみてください。確認をすることが推奨される項目のチェックシートも、一例としてご紹介しています。

2. 「セキュリティ対策ライフサイクルの確立に向けて」

クラウドサービスを安全に運用していくには、多岐にわたる考慮事項を適切に設定し、体系立てた対策を行うことが有効です。クラウドのセキュリティ対策を効率良くライフサイクル化していくプロセスと、アプローチ法についてご説明いたします。

3. 「物理セキュリティを加えたアクセス制御とは」

クラウドのセキュリティ対策で忘れてはいけないのが、クラウドにアクセスする環境をいかに安全にするかという観点です。クラウドシステム上のセキュリティを確保しても、アクセス環境のセキュリティが確保されていなければシステムの中が丸見えです。それを防ぐための、クラウドにアクセスする環境の物理セキュリティ対策を考えます。

4. 「セキュリティ診断結果の傾向分析【2020年版】Webアプリケーション診断ならびにプラットフォーム診断」

2020年に行った、ラックのWebアプリケーション診断とプラットフォーム診断の結果を分析し、お客様の対策状況や検出されやすい脆弱性を解説します。また、それぞれの診断で検出された脆弱性TOP10や、脆弱性を生み出してしまう原因についても説明しています。

セキュリティ診断レポート 2021 秋　ダウンロード　（バックアップ）

PONTAポイントからJALのマイル交換レート20%アップキャンペーン（2021/11/1～2021/12/31）

PontaポイントからJALのマイル交換レート20%アップキャンペーン（バックアップ）

2021年11月1日（月）～12月31日（金）でPontaポイントからJALマイルへの交換レートが20%増量になるキャンペーン実施中。通常は、PontaポイントからJALマイルへの交換は、100ポイント＝50マイルですが、キャンペーン期間中は、なんと100ポイント＝60マイルになります。

マイルは貯めるだけでなく、こういったキャンペーンでレートのいい時に少しずつ交換していかねば。

2000マイル分≒3400ポイント分交換しておくかな。

ランサムウェアギャングが発表した被害者リスト（2021年10月版）BY DARKTRACER

 

Dark Tracerによると、10月は日本企業7社がランサムウェアの被害にあっている模様。

株式会社JVCケンウッド（www.jvckenwood.com）

アイム株式会社（www.imx.co.jp）

東亜電気工業株式会社（www.toadenki.co.jp）

佐志田倉庫株式会社（www.sashida-soko.com）

コックフーズ株式会社（www.cook-foods.co.jp）

日油株式会社（www.nof.co.jp）

ムトー精工株式会社（muto.co.jp）

週刊OSINT 2021-36号 / Week in OSINT #2021-36（転載）

Week in OSINT #2021-36: 

今回の面白トピックやツール:

• Investogator
• Facebook Formulas
• On the Topic of Tools
• Smat App
• Investigations by Logically
• Fact Check Masterclass
• Chrono Download Manager

---

ツール: Investigator

GitHubのユーザーである「ABHIJITH」は、ドメイン名を様々な方法で検索できるシンプルなHTMLページを作成しました。上部にドメイン名を入力し、その下にある多くの検索オプションをクリックすると、サブドメイン、IPアドレス、証明書、ペーストサイトの情報などが表示されます。手でGoogle検索を入力したり、ViewDNS内で適切なオプションを見つけたりする必要はありません。なぜなら、ボタンをクリックするだけで検索できるからです。

「Investigator」の検索オプションの概要

---

Tip: Facebook Formulas

Kirby Plessasは、自身のウェブサイトに掲載している「Facebook Search Matrix」を更新しました。これは、利用可能なさまざまなFacebookディレクトリ、JSONエンコードされた検索クエリに関する情報、検索するためのオプションなどで構成されています。また、下の方には、直接検索が目的でない場合に便利なGoogle検索もあります。このページは、Facebookをよく使う人はブックマークしておくといいでしょう。

Facebook検索マトリックスを少し更新しました。流れを良くして、一部の人に迷惑をかけていたGシートの埋め込みを取り除いてみました。 https://t.co/saOchNNoSH

— kirbstr (@kirbstr) August 11, 2021

 

---

Article: On the Topic of Tools

Aware Onlineでは、パブリックソースを調査する際に、ツールが必ずしも求めている解決策にならない理由についての記事を掲載しています。この記事を読み始める前に、私はすでに同意していました。私は、情報収集のプロセスを自動化するツールを使っています。しかし、それでもツールを起動する前には、多くの手作業を行います。私は通常、自分が何を、誰を探しているのかを正確に把握しているので、フィルタリングが必要な大量のデータを扱う必要がないという点で恵まれています。私が情報を得るために最もよく使うツールは？ただのブラウザです。

★ #OSINT tips ★ Why OSINT tools are not always the solution. https://t.co/cc1CcjJVOM

— Aware Online (@aware_online) August 10, 2021

---

Site: Smat App

Loránd Bodó氏は、フェイクニュースや世相の調査に使える素晴らしいサイト「Social Media Analysis Toolkit（SMAT）」を紹介してくれました。このサイトは、フェイクニュースを発信していることで知られる特定のソーシャルメディアサイトで話題になっているトピックについての洞察を提供しています。検索ワードを入力し、日付の範囲を設定し、興味のあるプラットフォームと情報の種類を選択します。その後、そのトピックが何回議論されたか、ユーザーごとのアクティビティ、関連するリンクやメッセージの検索などの概要が表示されます。

検索語に対するユーザーあたりの最多アクティビティ

---

Article: Investigations by Logically

ファクトチェック会社であるLogically社のサイトには、とても素晴らしいコンテンツがあります。製品やサービスだけでなく、いくつかの記事も掲載されており、そこでは論破や事実確認が行われています。その一例として、ソーシャルメディアの投稿内容を調査することで、フロリダ在住の男性を特定しています。この記事には、基本的なジオロケーション技術の例が含まれており、それが大局的にどのように役立つかを示しています。

基本的な画像編集の例 - Image by Logically

---

Tutorial: Fact Check Masterclass

このTwitterのスレッドは、ファクトチェックのマスタークラスです。ブレヒト・カステル氏は、1枚の写真に写っている小さな情報とソーシャルメディアを組み合わせることで、写真に写っている女性の主張が本当に正しいかどうかを確認しました。もしかしたら、もうこの話は聞いたことがあるかもしれませんが、彼のツイッターのスレッドには、彼が行った調査の手順が示されており、これは本当にもう一度共有されるべきものです。

😎 Cool, not only an unverified 📸 with shady claims can go viral, but so can a step-by-step #verification of the same 📸.😎

Big 🙏 for all the nice compliments I received.

This thread is a 🎁 for my new followers. Welcome!
🤜🤛 [1/19]https://t.co/PJJWNdMxNU

— Brecht Castel (@brechtcastel) August 31, 2021

Link: Twitter thread

Link: Thread Reader Unrolled

---

ツール: Chrono Download Manager

これは私が先日発見した拡張機能で、とても素晴らしいものを提供してくれます。ウェブサイトのコンテンツが何であれ、このChrome拡張機能はそれを簡単にダウンロードすることができる。画像や動画、文書やアプリケーションなど、ボタンを1回クリックするだけで、すべてを一括してダウンロードすることができるのだ。もちろん、未知の拡張機能をインストールする際には、通常の警告が適用されますが、CRXcavatorによるレポートはこちら（または、下の小さな盾をクリック）でご覧いただけます。

Chrono Download Managerでダウンロードするファイルを選択する