ブラウザ拡張機能5選 / 5 free Chrome browser extensions we can’t live without

ブラウザの拡張機能は、インターネットを探索する体験を向上させます。ほんのひと握りで、時間、お金、正気を節約し、セキュリティとプライバシーを守ることができます。

誰もがお気に入りのアドオンを持っています。そして、PCWorldのスタッフのお気に入りは、重なり合う傾向があります。たとえば、同僚のMark HachmanによるEdge拡張機能のトップ5リストは、私自身のラインナップをこっそり紹介するようなものです。

しかし、同じようなテーマが出てきても、実際に私が選ぶものは違います。この世界にはたくさんの選択肢があり、自分のニーズや関心に合わせて経験をカスタマイズすることができます。私の場合は、ネット上での安全確保、お得な情報収集、ソーシャルメディアに振り回されないことなどが中心となっています。

uBlock Origin

広告は、ウイルス、マルウェア、エクスプロイトなど、インターネット上の病気の媒介となる厄介な存在です。広告ブロッカーをインストールすることで、悪意のある活動の経路を遮断し、より安全にインターネットを利用することができます。広告ブロッカーを導入することで、悪意のある活動の経路を遮断することができます。また、購読や定期的な寄付など、お気に入りのサイトを直接サポートすることで、最終的に誰もがより良い結果を得ることができます。

また、広告ブロッカーを使用すると、ブラウジングがより快適になります。Webサイトの余分な広告やスクリプトを完全に読み込むのに時間がかかるため、コンピュータの動きが鈍くなったり、遅く感じたりすることがあります。広告がなければ、サイトは高速で表示され、また、洗練された外観になります。

フィルタリングされる内容については、まだ多くの柔軟性を保持しています。あるサイトに現金を寄付する余裕がない場合、そのサイトを許可リストに追加すれば、そのサイトの広告を表示することができます。そのサイトの広告が表示されるように、許可リストに追加することができます。また、ニュースレターのリンクや検索エンジンのショッピングサジェストに必要なトラッキングサイトの読み込みを許可するよう、設定を細かく調整することもできます。

uBlock Originの強みは、Adblock Plusのようなライバルと比較して、実際にすべての広告をブロックすることです。(ABPは、いくつかの "非侵入型 "広告を通過させることができます）また、あなたのシステムリソースへの影響が少なくなっています。

Social Fixer

Facebookは、特に特定の人や約束のためにしか利用していない場合、人をイライラさせることがあります。Social Fixerは、そのような体験を軽減します。もうアルゴリズムが送り出すものをかき分ける必要はありません。この拡張機能を使えば、フィードに表示されるコンテンツをコントロールできます。

キーワードに基づいた投稿を非表示にしたいですか？簡単にできます。「知っているかもしれない人」や「おすすめの投稿」を見るのにうんざりしていませんか？すぐに解消できます。投稿の内容や投稿者、その他の条件に基づいて投稿をフィルタリングしたいですか？もちろん可能です。

また、インターフェイスのカスタマイズも可能で、投稿を新しい順に並べたり、タイムスタンプを正確な日付で表示したり、インタラクティブなフィールドをすべて削除して、誤って投稿にコメントや「いいね！」をせずにブラウジングできるようにするなど、さまざまなことができます。その結果、政治ネタ、テレビ番組や映画のネタバレ、大切な人へのべた褒め、その他あなたを追い詰めるような投稿のない、適切にキュレートされたフィードが出来上がります。また、自分の最悪の傾向から身を守り、ケンカが始まるとわかっていることにはコメントしないようにすることもできます。

一番の魅力は？開発者のMatt Kruseは、常にFacebookの変更に対応し、さらに機能を追加するために努力しています。そして、これらの努力はすべて無料で行われています。最初にインストールするときに、寄付のための小さなリクエストが表示されるだけです。

Bitwarden

Bitwardenパスワード管理ツールで、その無料サービスは素晴らしく、プレミアム機能も年間10ドルしかかかりません。

ブラウザのアドオンは、パスワードマネージャーをいかにシームレスにあなたの生活にフィットさせるかに大きな役割を果たします。アドオンをインストールすれば、サービスのウェブサイトにログインして必要な項目を探したり、携帯電話のアプリを見ながら手動で情報を入力したりする必要がなくなります。代わりに、拡張機能があなたが今いるサイトを認識し、認証情報を自動入力することができます。また、新しいパスワードをその場で簡単に作成したり、既存のパスワードを変更することもできます。

パスワード保管庫を保護するのも簡単です。一定時間が経過すると自動ロックされるように拡張機能を設定するだけで、アクセスを回復するにはパスコードか完全なパスワードが必要です。これにより、あなたのPCを借りた人（あるいは、あなたが知らないうちにリモートアクセスした人）が、あなたのデジタルライフを破壊する可能性を減らすことができます。

Teleparty

Telepartyは、Netflix、Disney+、Hulu、HBO Max、Amazon Primeと連携しています。また、1つのパーティーで最大1,000人のユーザーまで対応し、すぐに視聴できるシンプルなインターフェースも備えています。参加者は、他の参加者と同じように、自分のストリーミングサービスにログインします。そして、パーティーを始めるには、アドレスバーの横にある拡張機能の赤いTPボタンをクリックし、生成されたリンクを共有します。(Telepartyのアイコンが見えない場合は、Chromeのツールバーにピン留めする必要があるかもしれません)。

この拡張機能には制限があります。再生コントロールができる人の設定は、パーティーを作る前に設定する必要があります - 部屋が作られた後に設定を変更することはできません。ページをリフレッシュすると、ルームから抜け出し、戻るには直接リンクが必要です。しかし、非常にスムーズに動作するので、無料サービスとしては十分です。

Distill.io

この拡張機能は、PCWorldのトップであるJon Phillipsからの情報で、ラインナップに新しく追加されたものです。Distill.ioは、ウェブサイト上のあらゆる変更を追跡するために使用することができ、追跡が困難なアイテムの価格変更を常に把握するために非常に便利です。

以前は、Slickdeals や /r/buildapcsales などのクラウドソーシングサイトを調べ、Twitter アカウントをフォローして Discord サーバーに参加し、携帯電話にアラートが届くのを待ちました。Distill.ioは、そのような作業を軽減し、時間を短縮してくれます。頻繁に使用する必要はありませんが、私の武器が一つ増えました。インフレが物価に大打撃を与えている現在、あらゆる手を使ってお金を節約する人は私だけではないでしょう。

出典：5 free Chrome browser extensions we can’t live without

偽造身分証を使って島根原発立ち入り　中国電力「確認不足をおわび」

島根原発（松江市）で、協力会社から業務の依頼を受けた業者が、有効期限を偽った身分証明書を使って構内に立ち入っていた。中国電力は発電所の安全性に影響はないとしているが、原発のテロ対策や安全性の観点から原因究明や再発防止を求めたり、2号機の再稼働を疑問視したりする声が出ている。

13日に発表した中国電によると、この業者は常時立ち入り許可証を持たない一時立ち入り者。協力会社からの依頼で10日、鳥の巣の撤去作業の下見のため原発構内に入った。外部の業者らが原発構内に入る場合、事前申請した上で身分証明書を見せて本人確認を受けることになっているが、この業者は有効期限を自ら書き換えた身分証明書を示して構内に入ったという。

中国電は「確認が不足していたことをおわび申し上げる。原因を調査し、再発防止対策を講じる」とのコメントを発表。10日に今回の不正を把握し、翌日に原子力規制庁に報告し、県警にも通報したという。

プレスリリース（アーカイブ）

出典：偽造身分証を使って島根原発立ち入り　中国電力「確認不足をおわび」

サーバー不正アクセス、ホテルの顧客情報を消去…２２歳男「勘違いでやった」

福岡市博多区のホテルの顧客情報やホームページの情報を消去したなどとして、福岡県警は２０２２年５月１６日、熊本市西区の会社員の男（２２）を不正アクセス禁止法と電子計算機損壊等業務妨害の疑いで逮捕した。容疑者は昨年４月まで、ウェブサイト制作会社に勤務し、このホテルのサイト管理などを担当していたという。

発表では、昨年７月、勤務していた制作会社が契約するサーバー運営会社のサーバーに不正にアクセスした上で、客の住所や氏名を含むホテルの顧客情報やメール履歴、ホームページの情報などを削除し、閲覧できないようにした疑い。ホームページは、１５時間閲覧できないようになっていた。顧客情報などの流出は確認されていない。「勘違いでやった」と容疑を一部否認しているという。

制作会社は容疑者の在職中、新型コロナウイルスの感染拡大防止のため在宅勤務を実施。容疑者は、昨年４月の退職後も貸し出されたパソコンを返却せず、一連の犯行に使ったとみられる。県警が動機などを調べている。

出典：サーバー不正アクセス、ホテルの顧客情報を消去…２２歳男「勘違いでやった」

当社を装った不審メールに関するお詫びとお知らせ 2022年5月17日農研百姓塾

この度、当社の社員のパソコンが「Emotet（エモテット）」と呼ばれるマルウェアに感染し、当社のメールアカウントが攻撃者に悪用され（乗っ取られ）、当社メールサーバーから当社社員を装った不審メールを送信している事実およびメールアドレス等を窃取されたことにより当社社員を装った第三者からの不審なメールが複数の方へ発信されている事実を確認いたしました。

現在全国的に発生しているなりすまし被害を当社でも受けてしまい、当社での情報漏えいによるものではなく、また、当社が送信したものではございません。

現在、上記以外の事実関係について引き続き調査をしているとともに、判別されうる関係先にご連絡する等二次被害や拡散の防止に努めております。
上記メールを受信しました皆様には多大なご迷惑とご心配をおかけしたことを心よりお詫び申し上げます。
本件に経緯及び今後の対応につきまして、下記のとおりご報告いたします。

1.事実の概要
当社パソコンの１台が、「Emotet（エモテット）」と呼ばれるマルウェアウイルスへの感染を狙う攻撃メールを受信し、添付ファイルを開封したことによりウイルスに感染しました。
これにより、過去に当社とメールをやり取りしたことのある関係者の皆様に対し、当社を装った「なりすましメール」等の不審メールが送信される事案が発生しております。

2.不審メールを受信された際のご対応
これら当社を装った「なりすましメール」は、当社とは一切関係がございません。
今回当社のパソコンが感染した「Emotet（エモテット）」と呼ばれるマルウェアは、感染した攻撃メールの受信者が過去にメールのやり取りをしたことのある、相手の氏名、メールアドレス、メール内容等の一部が攻撃メールに流用され、「メールへの返信を装う」内容となっていることが特徴です。

不審メールの見分け方として、送信者の氏名表示とメールアドレスが異なっているといる点がございます。
当社からのメールは「＊＊＊＊＊@ganko-web.jp」を利用しております。
また、不審メールには、暗号化されたZIP形式のマルウェアファイルが添付されていました。
当該不審メールに添付されたファイルを開くことにより、マルウェア感染や不正アクセスの恐れが生じます。
つきましては、当社名のメールを受信された場合、送信者アドレスのご確認をお願い申し上げます。
また、@マーク以下が「＊＊＊＊＊@ganko-web.jp」以外の場合は、添付ファイル開封、並びに本文中のURLをクリックせずに、メールごと削除くださいますようお願い申し上げます。

「Emotet（エモテット）」の詳細や具体的な手口・メール文面等については、情報処理推進機構(IPA)の下記サイトをご参照ください。
○「Emotet」と呼ばれるウイルスへの感染を狙うメールについて
https://www.ipa.go.jp/security/announce/20191202.html

3.現時点の状況
現時点では、不審メールに悪用された以外、本件を悪用した事例は報告されておりません。
クレジットカード情報については当社では情報を保持しておらず、サービス提携先のヤマト運輸株式会社にて管理されており、今回の件での流出などの可能性はないことを確認しております。

4.今後の対応
当社といたしまして、上記事態を重く受け止め、今後のこのような事態が発生しないよう、再発防止に向けて、情報セキュリティ対策を強化してまいります。
また、被害状況や感染経緯等について詳細な調査を実施し、必要な情報については適切に開示してまいります。

プレスリリース（アーカイブ）

インターネットアクセスにおいてVPNを使わないことの危険性 / 3 Dangers of Not Using a VPN as a Digital Nomad

喫茶店でもシェアオフィスでも、VPNはデジタルノマドに欠かせないツールです。なぜか？なぜなら、VPNを導入しないことで直面するリスクは、時間、お金、エネルギーの損失につながる可能性があるからです。

VPNは、インターネットトラフィックを暗号化し、公開サーバーを経由してトンネリングする仮想プライベートネットワークです。VPN を使用すると、どこからでも匿名で安全にネットサーフィンを行うことができます。

旅行や仕事の際にVPNを使わないという選択をすると、リスクが生じます。

決済関連のアクティビティの暴露： デジタルノマドでは、宿泊費や航空券の支払い、最新の請求書が支払われたかどうかを確認するために、オンラインで銀行情報を使用する必要があることがよくあります。安全でない公衆無線LANに接続すると、ハッカーがあなたのアカウントにアクセスし、それを消去してしまう可能性があります。

個人情報/機密情報の盗難： もう一つの危険は、ログイン情報やその他の機密情報の流出です。ウェブサイトやブログを所有していたり、クライアントのソーシャルメディアアカウントを管理していたり、フリーランスの仕事でウェブサイトやアプリを使用していたりする人もいるでしょう。

あるいは、パスポートや運転免許証の番号などの機密情報をパソコンやクラウドに保存しているかもしれません。ハッカーがこれらの情報にアクセスすれば、あなたの個人情報を簡単に盗み出すことができます。

居場所の特定： IPアドレスはデジタル指紋のようなもので、郵便番号のレベルまで、あなたの住まいを知ることができるのです。電子メールをやりとりしている相手は、あなたのことを知ることができます。実際のIPを公開することは、状況によっては問題になることがあります。例えば、自分の住んでいる場所ではないフリーランサーを好むクライアントと取引を成立させたいとき。または、お気に入りのNetflixの番組を見続けたいが、地域制限のために利用できない場合。

最後になりましたが、おそロシアの様な抑圧的な政権の国に一時的に滞在している場合、VPNを使用することは、政府があなたのオンライン活動を監視していないことを確認する唯一の方法です。

出典：3 Dangers of Not Using a VPN as a Digital Nomad

中電ネット電柱設置地権者５７８人分の個人情報紛失

中国電力ネットワーク（広島市中区）は１６日、岡山県内にある電柱設置場所の地権者５７８人分の個人情報を記した書類を紛失したと発表した。氏名や住所、口座番号の一部を記載。誤って廃棄した可能性が高く、社外への情報流出や被害の発生は確認されていないという。

書類は、同社高梁ネットワークセンター（高梁市）で保管していた。高梁、新見市など５市１町の土地の地権者のうち、２０２０年度に名義や口座番号の変更などで連絡のあった一部を紛失。地権者は県内外に在住し、うち岡山は５２８人、広島は１０人。

書類を保管していた部屋は常に施錠しており、センター勤務の全社員らに聞き取り調査し、外部流出の可能性は低いと判断した。社内規定の保存期間を終えた他の文書と一緒に廃棄したとみられる。

今月１０日、地権者のデータを探した際に紛失が発覚した。該当者には文書や訪問で謝罪する方針。同社は「地権者に心配や迷惑をかけ、おわびしたい。管理方法を見直すなど早急に再発防止策を立て、二度と同じことがないように取り組む」としている。

プレスリリース（アーカイブ）

出典：中電ネット個人情報紛失電柱設置地権者５７８人分 - 山陽新聞

ロードバランサーへの不正アクセスについて 2022年5月16日 NIFCLOUD

FJcloud-Vおよびニフクラ（以下、当該サービス）の一部のロードバランサー（インターネットからのアクセス負荷を分散させるネットワーク装置。以下、当該ロードバランサー）に対して、脆弱性を悪用した不正アクセスが行われていたことを確認しました。
これにより、一部のお客様の業務通信データや当該サービスにアクセスするための認証情報等を窃取できる技術的な可能性があったことを確認しました。
これらの影響を受けた可能性のあるお客様に対しては、本件に関するお知らせと対処に関するお願いを既に実施させていただいております。
なお、現時点では当該ロードバランサーを踏み台としたクラウド基盤内部への不正侵入の形跡ならびに不正アクセスにより情報を外部に持ち出された形跡は確認されておりません。
現在、富士通および富士通クラウドテクノロジーズは緊急対策チームを設置し、さらなる被害状況の調査と対策を進めております。

当該サービスをご利用のお客様および関係者の方々には、多大なるご迷惑とご心配をおかけしますことを、深くお詫び申し上げます。
この度の不正アクセスを重く受け止め、安心してご利用いただけるようセキュリティ対策をより一層強化してまいります。

1．概要
・脆弱性が公表されてから対処が完了するまでに当該ロードバランサーへの不正アクセスの形跡が確認できた期間
　： 2022年5月7日 15時13分～2022年5月9日 22時39分
・影響範囲
　：以下の問題が発生した可能性があります。
　　　1．当該サービスのコントロールパネル/APIへのアクセス情報を窃取されたおそれ
　　　2．当該ロードバランサーを経由する通信の情報を窃取されたおそれ
　　　3．当該ロードバランサー上のお客様証明書データを窃取されたおそれ

2．原因
本年5月4日に装置メーカーから公表された当該ロードバランサーの脆弱性の悪用、および多層防御の一部設定不備

3．本脆弱性への対応
以下の対処にて、設置している当該ロードバランサーは全て点検および確認を完了しております。
　　　1．本脆弱性を回避するための設定を当該ロードバランサーに実施（5月11日）
　　　2．インターネット側のネットワーク機器においてアクセス制御(多層防御)を実施（5月12日）

以上

プレスリリース（アーカイブ）

採用活動における個人情報漏えいの可能性に関するご報告とお詫び 2022年5月16日株式会社エイチーム

　この度、当社グループの採用活動に関する個人情報が外部から閲覧可能な状態であったことを確認いたしました。多大なるご迷惑とご心配をおかけいたしますこと、心より深くお詫び申し上げます。

　情報の対象となった皆様には大変ご迷惑をおかけしますが、不審な問い合わせについては十分ご注意いただきますようお願い申し上げます。弊社では、被害の拡大防止に取り組んでまいりますが、万が一、第三者の悪用を確認した場合は、更なる被害を防ぐために末尾の問合せ窓口へ連絡をお願いします。

概要

　当社グループの採用に関する情報がインターネット上で閲覧可能になっているとの指摘を受けて事実関係を調査したところ、一部の個人情報がインターネット上で閲覧可能な状態にあったことが社内監査により判明いたしました。クラウドサービス上で作成したファイルで採用に関わる個人情報を管理しておりましたが、閲覧範囲を「このリンクを知っているインターネット上の全員が閲覧できます」と設定したことから、リンクを知っていれば誰でも閲覧できる状態であり、一部の方の「氏名」「学校名」「メールアドレス」「電話番号」「口座番号」などの個人情報がインターネット上において閲覧できる状態でありました。

　なお、現在、個人情報を閲覧できる状態は解消し、5月13日（金）より対象の皆様へ個別にご連絡を差し上げております。本件に関し、ご報告の現時点においては不正使用などの被害が発生した事実は確認されておりません。

１．個人情報漏えいの可能性がある対象者

(1)2018年卒～2021年卒を対象にした新卒採用イベントやインターンシップに参加した学生及び当社グループ従業員
(2)2016年～2017年に実施した中途採用イベントに参加した方
(3)2017年8月～2021年10月に当社オフィスに来社し、面接等の交通費を支給した方

２．漏えいした可能性のある情報と件数

(1)新卒採用イベントやインターンシップに参加した学生及び当社グループ従業員：学生4,588名、従業員161名、合計4,749名分の個人情報

＜2018年卒～2021年卒を対象にした新卒採用イベントやインターンシップに参加した学生：4,588名＞
・氏名、学校名
※また、一部の学生においては下記の個人情報が該当
・メールアドレス、電話番号、インターンシップ参加時に作成された自己紹介シート、インターンシップ参加学生の評価、顔写真、出身地

＜新卒採用活動に参加した当社グループ従業員：161名＞
・氏名
※また、一部の従業員自身の自己紹介シートに記載された下記情報
・所属部署、顔写真、出身地、出身校

(2)2016年～2017年に実施した中途採用イベントに参加した方：30名
・氏名、メールアドレス、職業　
※また、一部の方において記載あり
・電話番号、年齢

(3)2017年8月～2021年10月に当社オフィスに来社し、面接等の交通費を支給した方：1,078名
・氏名、振込先口座番号

３．インターネット上で閲覧が可能となっていた期間

(1)新卒採用イベントやインターンシップに参加した学生
　2017年4月～2022年4月21日（木）

(2)中途採用イベントに参加した方
　2016年4月～2022年5月11日（水）

(3)当社オフィスに来社し、面接等の交通費を支給した方
　2016年4月～2022年5月10日（火）

４．経緯

　2022年4月7日（木）10時頃に、クラウドサービス上に作成されたファイル内に個人情報を含むファイルがあること、また個人情報が漏えいしているリスクがあることを、エイチーム監査役より社長室長、管理部長、ITシステム部門マネージャーに報告が入りました。

　調査の結果、クラウドサービス上で管理していたファイルに個人情報が含まれておりました。当該ファイルは、インターネット上でリンクを知る全ての人が外部から閲覧ができる状態となっており、個人情報が漏えいしている可能性があることが判明いたしました。

５．原因

　特定のクラウドサービスを利用して作成した個人情報を含むファイルに対して、閲覧範囲の公開設定を「このリンクを知っているインターネット上の全員が閲覧できます」としており、閲覧範囲の設定が適切に行えていなかったことによるものです。

６．対応状況

　個人情報を含むすべてのファイルに閲覧制限を実施し、社外からのアクセスができない状態に変更しました。

７．当事者の皆さまへの連絡について

　情報が漏えいした可能性のある方で、ご連絡先が把握できた皆様には、順次、個別に電子メールによりお詫びと現在の状況及び今後の対応についてご連絡させていただいております。

８．二次被害の有無とその可能性について

　本件に関し、ご報告の現時点においては不正使用などの被害が発生した事実は確認されておりません。

９．再発防止策

　クラウドサービスを利用したファイルの管理・共有におけるアクセス範囲設定を見直し、個人情報を含むすべてのデータへのアクセスの制限を実施します。

　また、今後、一般的に利用できる本クラウドサービスで作成したファイルの業務利用禁止を社内で周知し、会社で管理されている本クラウドサービスで作成したファイルの利用を徹底・遵守します。この措置により、アカウントのIDやパスワードを適切に管理し、情報システム部門による厳格な管理によって情報漏えいのリスクを抑えます。加えて、社内でのチェック体制を強化するとともに、個人情報に関する管理体制の強化、情報管理に関する規程やルール等の見直し及び社内への周知徹底し、再発防止に努めてまいります。

また、本件に関して個人情報保護委員会に報告いたしました。

　今回の事態を重く受け止め、今後このような事態が発生しないよう、再発防止に向けて個人情報の管理強化・徹底に努め、信頼回復に全力を尽くしてまいります。この度は、多大なるご迷惑とご心配をおかけいたしますこと、心より深くお詫び申し上げます。

プレスリリース（アーカイブ）

メルマガにほかの受信者の氏名を表示 - 人材派遣会社

ヘルスケア分野の人材派遣サービスを展開するRDサポートは、一部のメールマガジンにおいて個人情報が流出したことを明らかにした。

同社によれば、4月22日に8社の担当者12人へ送信したメールマガジンに、他受信者の氏名や企業名が表示されたもの。受信者から問い合わせがあり問題が判明した。

一斉配信システムに取り込むデータの作成、加工時に操作ミスがあったことが原因だという。

同社では、対象となる12人に謝罪。誤送信したメールの削除を依頼した。またプライバシーマーク制度の認定個人情報保護団体である日本情報経済社会推進委員会（JIPDEC）や個人情報保護委員会へ報告を行ったとしている。

プレスリリース（アーカイブ）

出典：メルマガにほかの受信者の氏名を表示 - 人材派遣会社

個人情報含む調査関係の名簿原本をコピー機に置き忘れ - 山口県

山口県は、国からの委託で実施する国民生活基礎調査の調査員が、個人情報含む世帯名簿をコピーした際、原本をコピー機に置き忘れたことを公表した。

同県によれば、5月6日に調査員が防府市内の商業施設で単位区別世帯名簿をコピーした際、名簿原本をコピー機に置き忘れたもの。名簿には23世帯分の世帯主氏名、世帯人員、集合住宅の名称が記載されていた。

同日店舗で名簿が発見され、事務所で保管。同月11日、店舗が拾得物として警察へ届けたことから警察が山口健康福祉センターへ連絡。センター職員と調査員が警察を訪問し、名簿を回収した。

同県では、名簿に記載されていた世帯に対し説明と謝罪を行うとしている。

プレスリリース（アーカイブ）

出典：個人情報含む調査関係の名簿原本をコピー機に置き忘れ - 山口県

週刊OSINT 2022-16号 / Week in OSINT #2022-16

今週も盛りだくさんの内容で、動画や記事もありますが、新しいGoogle Analyticsのプラットフォームに関するヒントや洞察も追加しました。

今週はかなり多くのコンテンツがあり、本当に素晴らしい情報があったので、ここでも共有する必要がありました。しかし、Google Analytics 4に関する個人的な洞察も共有することにしました。なぜなら、これらの分析タグはどんどん野放しになっており、インデックスしているサイトも多くないので、これを手動で検索する必要があるかもしれないのです。

WeVerify
Quiztime Walk Through
Spectator Earth
US Legality and Scraping
Google Analytics
ISearchFrom
Bombal and TOCP

記事: WeVerify

この記事では、DW社のJochen Spangenberg氏がWeVerifyツールの長年の開発を振り返っています。当初はInVIDプロジェクトとしてスタートしたこのツールは、今では世界中のファクトチェッカーが使用する最も重要なツールの一つとなっています。ブラウザ上で画像、テキスト、動画の検証を行うツールが含まれています。このプロジェクトは昨年正式に終了しましたが、現在提案の最終段階にある新しいプロジェクトを通じて継続される可能性があります。今後も開発が続けられることを期待しましょう

メディア: Quiztime Walk Through

TwitterユーザーのNatticさんは、以前からQuiztimeの課題を解いており、少し前から作業工程をYouTube動画にするようになったそうです。このビデオでは、細かいところに注意を払うことがいかに重要か、また、空間を意識することで一見難しそうなクイズも簡単に解けるようになることが示されています。ジオロケーションの技術について、ぜひご覧になってみてください。

サイト: Spectator Earth

少し前に、TwitterユーザーのOSINT_Researchが、衛星画像に関する様々なツールを提供するSpectatorのウェブサイトへのリンクを共有しました。このサイトでは、SentinelとLandsatによる自由に利用できる画像に簡単にアクセスでき、ある地域を自動的に監視したい場合には、APIアクセスも提供されています。NVDIフィルターや特定のバンドが必要な場合は、それも利用可能です。

記事: US Legality and Scraping

Zack Whittakerが、米国におけるWebスクレイピングに関する法的問題の最新ニュースを取り上げています。人によっては重要でないように見えるかもしれませんし、他の人はここの難しさを理解できないかもしれませんが、私はこの記事を読むのは良いアイデアだと思います。利用規約内のルールが法律でどのように覆されるかが明確に示されています。もちろん、この結果が他の州や国でも同じになるとは限りませんが、ジャーナリストや研究者にポジティブなシグナルを送ったと言えるでしょう。

小技: Google Analytics

Google Universal Analytics（有名なUAコード）は、Google Analytics 4、略してGA4と呼ばれる新しい分析プラットフォームに取って代わられる予定です。これはすでに2020年のどこかで始まっていますが、以下は最近のGoogleのサポートページからの引用です。

2023年7月1日、ユニバーサルアナリティクスの標準的なプロパティはデータを処理しなくなります。2023年7月1日以降も一定期間、ユニバーサルアナリティクスのレポートを確認することができます。ただし、新しいデータはGoogle Analytics 4のプロパティにのみ流れます。

つまり、アナリティクスコードの検索を、異なる接頭辞を持つ別のコードで拡張することが重要です。もちろん、PublicWWW、NerdyData、あるいはShodanなどのウェブサイトを使用して、これらのタグを検索することは可能です。悲しいことに、DNSlyticsのような分析に特化したプラットフォームは、GA4を使用するためにまだ更新されていないことを私は見てきました。だから、最終的に追いつくまで、当分の間、手動で検索を実行する準備をしておいてください。

コードの探し方は？

コードを見つけるには、ページのソースコードに潜り込み、探します。

googletagmanager.com

グローバルサイトタグが使用されている場合、これは次のHTMLコードで呼び出されるJavaScriptを指します。GA_MEASUREMENT_IDはこのサイトまたはページの一意の分析コードです。

ソースコードを見てみると、このコードスニペットの最後の行を見れば、アナリティクスコードを見つけることができるかもしれません。

<script>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push(
        {'gtm.start': new Date().getTime(),event:'gtm.js'}
        );var f=d.getElementsByTagName(s)[0],
    j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
    '//www.googletagmanager.com/gtm.js?id='+i+dl;f.parentNode.insertBefore(j,f);
})(window,document,'script','dataLayer','GTM-AB1C2D');

この場合、はっきり見えるのはGTM-という接頭辞で始まるGoogleタグマネージャのコードです。

もっと簡単な方法はないのでしょうか？

いつものように、確かにもっと簡単な方法があります! なぜなら、Googleが作った気の利いた小さな拡張機能をインストールすれば、ウェブサイトやページにあるGoogle Analyticsのコードが正確に表示され、さらに、その必要性があれば、すべての訪問を記録することができるからです。

小技: ISearchFrom

ただ、もう一度共有する必要があると思うゴールデンオールドアイです。I Search From」というウェブサイトを使うと、特定の場所と言語をマッチングさせてGoogle検索を行うことができます。Googleはこの情報を使って、検索結果内に「ローカライズされた」コンテンツを表示します。この情報によって、私は何年か前に中国の水産加工工場を見つけることができたのです。まだ連絡がないのですか？ぜひ一度試して、検索結果の違いや質を比べてみてください。

メディア: Bombal and TOCP

先週、The OSINT Curious ProjectのメンバーがDavid BombalのYouTubeチャンネルにゲスト出演し、OSINTについて、様々な専門分野でどのように使われているか、また戦場でのエピソードを紹介しました。OSINTを始めるためのヒント、リソース、情報を1時間以上にわたって紹介しました。

出典：Week in OSINT #2022-16

[寄稿]生誕43周年記念

人生43年目、社会人21年目を迎えて思ったことをいろいろ書き残しておこうと思う。

■サラリーマン（社畜業）のデメリット

数十年前のある日に自分がこの世に生まれてきたと思うと、誕生日というのは元旦よりも重要かもしれない。

今はサラリーマン（通称社畜）をしているため、これまでは普通に誕生日も仕事をしていたが、八木エミリーさんを参考に自分も誕生日は仕事を休むことにしている。

自分の社会人生活はイコール社畜人生だったのだが、20年社畜をやって気が付いたことがある。

それは拘束が多すぎて割に合わないといううことである。（逆に言うと、拘束が多い故に毎月安定した収入がはいるのだが）

例えば1日24時間だが、社畜をしていると通常勤務時間で8時間、休憩1時間、往復の通勤で約2時間、残業1時間として12時間も社畜業関連で時間を消費する。残りは12時間だが、睡眠8時間、朝食1時間、夕食1時間使うと、真に自由に使える時間は2時間しかない。

また、頻繁に旅に出たり、長期の旅に出たりすることもできない。

これまではそれが普通と思っていて、長期の旅に出るには学生時代か、定年退職後だと思っていた。

もちろん社畜業をしている限りその通りなのだが、働き方や生き方が多様化しており、そもそも社畜業以外で生計が立てられればパーマネントトラベラーも夢ではないのである。

実際にここ最近、その夢のようなことを普通にやっている人を多く見ており、社畜業を続けることに現在大変大きな課題意識を持っている。

■脱社畜に向けたプラン（FIRE戦略）

では、社畜以外にどうすれば稼げるか。

これは社畜のデメリットであるのだが、20年近く社畜をしてしまっていたため、社畜業以外での金の稼ぎ方が分からない。。。

とはいえ、インターネットで調べればそれなりに情報は出てくる。

まずは大きく、【ビジネス】と【投資】に分類される。

【ビジネス】については更に「物販」「賃貸」「情報」の3つに分類される。

「物販」については、現時点手を出す予定が無いため、いったん保留。

「賃貸」については、分かりやすいのが不動産投資だろう。【投資】にもつながる話となるが、これは自分の中では、銀行からローンを引っ張って投資用不動産を購入し、賃貸人と共同でローンの返済を進めていくという、ミドルリスクミドルリターンのビジネスである。実はこのビジネス、社畜向きであると思っている。というのも、社畜はローンが通りやすいのである（これは数少ない社畜の特権）。不動産は投資対象を誤らなければカタいビジネスなのだが、唯一欠点を上げるとすれば典型的なコツコツ方となるため、時間がかかる点。早く始めるのに越したことはないビジネスである。自身も10年前から取り組んでおり、規模拡大の目途が立ちつつある。

「情報」は現時点ブログによる広告収入くらいしか思いつかないが、有料サロンやるにしても、お仕事貰うにしても、情報発信力は高めておく必要はあるので、コツコツと続けていくことにする。

ツール的な発信のしやすさからtwitterやブログを活用することになるが、これは継続力が大きなポイントになるらしい。

なので3年くらいは腰を据えて取り組んでいくことにしたい

【投資】については、世の中に投資商品が山ほどあるが、大きく分けると、「株式」「債権」「実物」「その他」といった分類だろうか？

株式については、当面は米国株ETFにあるACWIに集中して積み立てを進めていく。アクティブ型のファンドよりもインデックス型のファンドが優れた成績を収めていることは10年以上も前から明らかになっているが、日本株のインデックスファンドに投資をしても資産拡大はほとんど見込めない。そこで、全世界の株式を市場規模に応じた比率で分散投資していくACWIが現時点自分の考えに合っている。

「債権」は現時点ノーコメント

「実物」は金、原油、不動産、暗号資産など、「実物」と言いながら証券化されているので、小口で購入することも可能。資産全体の10%程度が目安と言われている。

「その他」に自分が分類しているのがFXの自動売買。普通FXは幾らで仕掛けて幾らで利確するかを考えなければならない。利益が出ているときはもっと利益が増えるかもと思って利確ができず、一方で損失を出しているときもそろそろ反転するだろうと思って損切ができず、これらが大きなストレスになる。一方で自動売買の場合は完全なリスクコントロールだけの世界なので、目標利益率を定め、その利益率を取るためのリスクに沿った仕掛けをするだけであとはほったらかしである。現在は年利4%で設定している。

■自己投資

某国際団体の委員だった人と出会ったのだが、なんと英語力の習得はNHKラジオ英会話だった。ただし3年かかるということで、改めて英語力強化の3か年計画を進めたい。

先々のプランをいろいろ考えているうちに、英語力獲得の具体的な目的が見え始めてきた。

40代のうちに何とか脱社畜(=人生のコントロールを取り戻す)を現実化したい。

そのために日々頑張る。

そんな感じ。

お知らせとお詫び（PCのウイルス感染に伴う不審メールについて）2022年5月13日南三陸まなびの里いりやど

弊社において、一部のパソコンがコンピュータウイルス「Emotet」（エモテット）に感染したことが判明しました。また、弊社を装ったメール（以下「不審メール」）が不正に送信されていることも確認しました。本件は、他企業からの不審メールによって感染した事に起因しております。

弊社とメールの送受信をされたお客様及びご関係者の皆様において、同様の不審メールを受信される可能性があり、多大なご迷惑とご心配をお掛けいたしますこと心よりお詫び申し上げます。

この不審メールの特徴として、他のメールアドレスを経由して「正規のメールへの返信を装う」内容となっており、多くはExcelマクロファイル(*.xlsm)が添付されております。

弊社を装った不審メールを受信された場合、ウイルスへの感染や不正なアクセスの危険性が考えられますので、添付ファイルの開封やメール本文中のＵＲＬのクリックをせずに即、メールを削除していただきますようお願い申し上げます。

今後、係る事態の再発防止に向け、より一層のセキュリティー強化や情報管理の強化に努めてまいります。

何卒よろしくお願い申し上げます。

プレスリリース（アーカイブ）

サイバーセキュリティ職種の呼称の数

日本ではサイバーセキュリティそのものが一つの職種の様な感じだが、これはリレーションシップ型雇用の日本ならではの現象で、ジョブ型雇用が進んでいる海外では、「不動産業」みたいな、あいまいな表現となる。

では、そのサイバーセキュリティについて、分解するとどれだけの職種があるのか整理してみた。

日本も20年後くらいにはこれくらい細分化されているのではなかろうか？

Application Security Administrator/アプリケーションセキュリティ管理者
⇒ソフトウェア/アプリを安全かつセキュアに保つ。
Artificial Intelligence Security Specialist/人工知能セキュリティスペシャリスト
⇒AIを使用してサイバー犯罪に対抗する。
Automotive Security Engineer/自動車セキュリティエンジニア
⇒サイバー攻撃から自動車を守る。
Blockchain Developer(Engineer)/ブロックチェーン開発者(エンジニア)
⇒安全な取引の未来をコード化する。
Blue Team Member/ブルーチームメンバー
⇒防御策を設計し、オペレーティングシステムを強化する。
Bug Bounty Hunter/バグバウンティハンター
⇒フリーランスのハッカーで、コードの欠陥や悪用を見つける。
Cybersecurity Scrum Master/サイバーセキュリティ・スクラムマスター
⇒すべてのデータを見守り、保護する。
Chief Information Security Officer (CISO) /最高情報セキュリティ責任者（CISO）
⇒サイバーセキュリティの最高責任者。
Chief Security Officer (CSO) /最高セキュリティ責任者（CSO）
⇒物理/情報/サイバーセキュリティのすべてを統括する。
Cloud Security Architect/クラウドセキュリティアーキテクト
⇒クラウド上のアプリやデータを安全に保護する。
Counterespionage analyst/カウンテレスピオナージ・アナリスト
⇒敵対する国家からのサイバースパイ活動を阻止する。
Cryptanalyst/暗号解読者
⇒暗号鍵なしで暗号化されたメッセージを解読する。
Cryptographer/暗号解読者
⇒機密情報を暗号化するシステムを開発する。
Cyber Insurance Policy Specialist/サイバー保険契約スペシャリスト
⇒サイバーリスクと賠償責任対策に関するコンサルティング
Cyber Intelligence Specialist/サイバーインテリジェンススペシャリスト
⇒サイバー脅威を分析し、それに対する防御を行う。
Cyber Operations Specialist/サイバーオペレーションスペシャリスト
⇒攻撃的なサイバースペース作戦を実施する。
Cybercrime Investigator/サイバー犯罪捜査官
⇒サイバースペースで行われる犯罪を解決する。
Cybersecurity Hardware Engineer/サイバーセキュリティ・ハードウェア・エンジニア
⇒コンピュータ・ハードウェアのセキュリティを開発する。
Cybersecurity Lawyer/サイバーセキュリティ弁護士
⇒情報・サイバーセキュリティとサイバー犯罪に特化した弁護士。
Cybersecurity Software Developer(Engineer)/サイバーセキュリティソフトウェア開発者(技術者)
⇒アプリケーションにセキュリティを組み込む。
Data Privacy Officer/データ・プライバシー・オフィサー
⇒データ保護に関連する法令遵守の徹底。
Data Recovery Specialist/データリカバリースペシャリスト
⇒デジタル機器からハッキングされたデータを復元する。
Data Security Analyst/データセキュリティアナリスト
⇒コンピュータやネットワーク上の情報を保護する。
Digital Forensics Analyst/デジタルフォレンジックアナリスト
⇒サイバー犯罪の証拠を含むデータを調査する。
Disaster Recovery Specialist/ディザスターリカバリースペシャリスト
⇒データおよびシステムの大災害を計画し、対応する。
Ethical(White Hat) Hacker/倫理的(ホワイト)ハッカー
⇒合法的なセキュリティテストと評価を実施する。
Governance Compliance & Risk (GRC) Manager/ガバナンス・コンプライアンス＆リスク（GRC）マネージャー
⇒リスクマネジメントを統括する。
IIoT (Industrial Internet of Things) Security Specialist/IIoT（産業制御システム）セキュリティ・スペシャリスト
⇒産業用制御システムを保護する。
Incident Responder/インシデント・レスポンダー
⇒サイバー侵入・情報漏えいへの初動対応。
Information Assurance Analyst/情報保証・アナリスト
⇒情報システムのリスクを特定する。
Information Security Analyst/情報セキュリティ・アナリスト
⇒情報セキュリティ対策を立案・実行する。
Information Security Manager / Director/情報セキュリティマネージャー／ディレクター
⇒ITセキュリティチームを統括する。
Intrusion Detection Analyst/侵入検知アナリスト
⇒セキュリティツールを使って、標的型攻撃を見つける。
IoT (Internet of Things) Security Specialist/IoT（モノのインターネット）セキュリティスペシャリスト
⇒ネットワークに接続されたデバイスを保護します。
IT Security Architect/ITセキュリティアーキテクト
⇒ネットワークとコンピュータのセキュリティを実装する。
Malware Analyst/マルウェアアナリスト
⇒悪意のあるソフトウェアを検出し、修復する。
Mobile Security Engineer/モバイルセキュリティエンジニア
⇒携帯電話・端末のセキュリティ対策を行う。
Network Security Administrator/ネットワークセキュリティ管理者
⇒内外の脅威からネットワークを保護します。
Penetration Tester (Pen-Tester)/ペネトレーションテスター（ペンテスター）
⇒正規のサイバー攻撃とシミュレーションを実施する。
PKI (Public Key Infrastructure) Analyst/PKI (公開鍵基盤) アナリスト
⇒デジタル情報の安全な転送を管理する。
Red Team Member/レッドチームメンバー
⇒実際のサイバー攻撃シミュレーションに参加する。
SCADA (Supervisory control and data acquisition) Security Analyst/SCADA (Supervisory Control and Data Acquisition) セキュリティアナリスト
⇒重要インフラの安全確保
Security Auditor/セキュリティ監査人
⇒組織の情報システムに対する監査を実施する。
Security Awareness Training Specialist/セキュリティ意識向上トレーニングスペシャリスト
⇒サイバー脅威に関する従業員への教育
Security Operations Center (SOC) Analyst/セキュリティオペレーションセンター（SOC）アナリスト
⇒サイバーインシデントの調整と報告
Security Operations Center (SOC) Manager/セキュリティオペレーションセンター（SOC）マネージャー
⇒SOCの全担当者を統括する。
Source Code Auditor/ソースコード監査人
⇒ソフトウェアのコードを解析し、バグ、不具合、違反などを発見する。
Threat Hunter/脅威ハンター
⇒ネットワークを検索し、高度な脅威を検知・隔離します。
Virus Technician/ウイルス対策技術者
⇒コンピューターウイルスやマルウェアの検出と対処。
Vulnerability Assessor/脆弱性評価者
⇒システムおよびアプリケーションの悪用を発見する。

サイバー脅威がコンピュータや携帯電話から、私たちの日常生活をインターネットにつなぐデバイスに拡大するにつれ、ディープフェイク・アナリスト、ドライバーレスカー・セキュリティ・スペシャリスト、インプラント・デバイス・ガーディアン、アンチチート・レフェリー、チーフ・アイデンティティー＆デジタル・オフィサーなど、将来のサイバーセキュリティ職業が出現していくことでしょう。

出典：50 Cybersecurity Titles That Every Job Seeker Should Know About

不動産投資 2DAYS School by Money Forward振り返り　～「貢献業者」と「銭ゲバ(クソ)業者」の見極め～

2022年4月16日～17日に開催された、不動産投資 2DAYS Schoolのメモ

参考になったというか、ちょっと気になったのでメモ。

ココザスという会社なのだが、ライフデザイン事業と称して資産形成、転職支援、住宅関係にまつわる各種サービスを展開しているらしい。

不動産投資はレバレッジをきかせる投資であり、サラリーマンが不動産投資を行う場合、金融機関からいくら引っ張ってこられるかは、その人の属性(=年収)が大きな要素となっている。

そこで、属性を上げるべく高給な仕事に転職しましょうというのが転職支援らしいのだが、属性を上げるために転職というのは、本末転倒な気がしないでもない。

投資商品もいろいろ扱っているが、メインは投資家に向けた戦略とアドバイザーをメインとしている点。

そこからいくつか参考になりそうなポイントが出てきた。

そのポイントというのは、業者が投資家のためを思ってくれている「貢献業者」か「銭ゲバ(クソ)業者」か。

ポイント①：業者が取り扱っていない商品について意見を求めた際、取り扱っていない商品についてニュートラルな意見が出てくればOK。否定的な意見を言うのはクソ業者。

ポイント②：妥当な金利の金融機関を紹介できるか。

これはセカンドオピニオンが必要。セミナーで「当社に聞いてくれれば回答します」って言っていたので、聞いてみるのもあり。より中立的な情報なら、オンラインサロンに入会するのも手。

ポイント③：賃貸管理で、入居率が即答できない業者はクソ率が高い。更新契約において2か月前に入退去の探りを入れるような会社は優良率が高い。

最後にセミナー参加特典として以下の提案をもらった。

一応3万円の有料講座なのだが、モニターとして無料で受けられるらしい。

私は「東京・中古・区分」が最適解と思っているので、それを踏まえたうえでの戦略構築ができれば御の字。

逆に新築、一棟、地方物件を勧めてくるようだと、クソ業者認定をするかもしれない。

さて、どうなることやら。

説明会申込フォーム、他者情報が閲覧できる状態に - 大阪産業局

大阪万博の「大阪パビリオン」における事業企画案募集説明会の申し込み受付フォームのおいて、申込者の個人情報が意図せず公開されていたことがわかった。

2025年日本国際博覧会協会大阪パビリオン推進委員会で事務局を務める大阪産業局によれば、2022年5月18日に「大阪パビリオン『展示・出展ゾーン』事業企画案募集説明会」を開催するにあたりフォームを設置し、4月20日より申し込みを受け付けていたが、受付完了時の画面より他申込者の情報が閲覧できるページへアクセスできる状態となっていたもの。

同フォームには70人分の氏名、電話番号、所属、役職名、メールアドレスなどが入力されていた。

4月30日に申込者から指摘があり、5月2日に出社した担当者が確認。同フォームの設定を閲覧できないよう変更した。5月9日に同フォームの使用を停止し、別のシステムへ変更した。

同局では、対象期間中のすべての申込者に対し、電話で経緯の説明と謝罪を行っており、情報の流出などが発生していないか調査を進めている。

プレスリリース（アーカイブ）

出典：説明会申込フォーム、他者情報が閲覧できる状態に - 大阪産業局

迷惑メールに関するお詫びと注意喚起 2022年5月13日到津の森公園

2022年2月下旬、到津の森公園の一部のパソコンがコンピュータウイルスEmotet(Emotetとは、感染者のメールに関する情報を収集してなりすましメールを送り、添付したファイルなどを開かせることで感染を拡大させるマルウェアです。)に感染し、同パソコンのメール履歴情報（氏名及びメールアドレス）が流失したことにより、再度、到津の森公園従業員及び林間学校事務局等を装った第三者から不審なメールが複数の方に発信されている事実を確認いたしました。

お客様並びに関係者の皆様等のメールを受信された皆様にご迷惑をおかけしていることを深くお詫び申し上げます。

到津の森公園及び同林間学校事務局では、【＊＊＊＊＊＠kpfmmf.jp】又は【＊＊＊＊＊＠itozu.zoo.jp】のメールアドレスを使用しております。

不審なメールにおいては、送信者に到津の森公園従業員の氏名や林間学園事務局と表示されておりますが、上記と異なるメールアドレスから送信されております。

このような不審メールに添付されているファイルを開くとコンピュータウイルスに感染し、パソコンに保存されている情報を不正に取得されてしまう恐れがありますので、メールごと削除していただきますようお願い申し上げます。

今回の事態を受けまして、被害拡大防止に努めるとともに、より一層の情報セキュリティ強化に取り組んでまいります。

お客様及び関係者の皆様には、大変ご迷惑をおかけしますが、何卒ご理解賜りますようお願い申し上げます。

プレスリリース（アーカイブ）