安全に悪いことをする方法を考える(やられサイトの活用)


脆弱性スキャンのツールを知ると、当然それを使ってみたくなるのが人の性と言うものである。

ただ、実際にサービス提供しているサイトに対してスキャンを行うと不正アクセスとされてしまい、下手するとサツのお世話になりかねない。

そこで登場するのがやられサイトである。

世の中にはいくつかやられサイトを提供するサービスがある。

悪いことをする際は、やられサイトを使って安全に行いたい。

1.BadStore

Webアプリケーションの脆弱性だけではなく、OSやWebサーバなどの脆弱性も含まれている。

ISOイメージで配布されていて、Linux(Trinux)とWebサーバ(Apache)がすでにインストールされている。

やられWebアプリケーションも設定済みの状態で入っているので、面倒なインストール作業がほとんどないのがメリット。

デメリットとしては、公式サイトが閉鎖されてしまい、公開されていない事

バックアップを保存してあるので、興味のある方はどうぞ。

BadStoreバックアップ


2.WebGoat

国内では「OWASP Top Ten Project」などで有名なOWASP(The Open Web Application Security Project)が提供しているやられWebアプリケーション。

JavaとTomcatをインストールした環境があれば、WindowsやUNIXなどで動作。

[入手先]
https://owasp.org/www-project-webgoat/

[バックアップ]
https://www.dropbox.com/sh/fiafhx0ycyv8m4q/AAAL80-s8Pkx0GfSiGKi-Gzza?dl=0

3.Hacme Casino

以前はMcAfeeが提供していたのだが、終了した模様。

基本的にはWindows環境で動くらしい。

[バックアップ] 
https://www.dropbox.com/sh/2u9hfla7imgzg0i/AADKF9Mrg1mcA2y3zYP0u2rpa?dl=0

※Hacme Casinoのバックアップは汚染されている可能性あり。最悪マルウェアに感染しても構わない環境でお願いします。

【参考】
https://www.atmarkit.co.jp/ait/articles/0910/23/news112.html

Labels:

【悲報】シャープ マスク販売によりアクセス過多でIoT制御システムを道連れにダウン


シャープが2020年4月21日午前10時から自社サイト上で、マスク販売をスタートさせた。

が、アクセスが殺到してつながりにくい状態になり、「ただ今、アクセスが集中しており、販売サイトにつながりにくい状態が続いております。お時間をおいて再度お試しください。ご迷惑をお掛けしますとことお詫び申し上げます。」とお詫びを掲載する事態となった。

ここまでであれば、よくあるアクセス集中によるサイトダウンの話なのだが、マスク販売サイトのシステムと、IoT家電の制御系システムが同じネットワーク上に存在していたようで、IoT家電も巻き添えを食った。

その結果、何が起きたかと言うと・・・・

「SHARPのマスクでサイト落ちているけど、我が家のホットクックのアプリまで巻き添え食らっておちてる」

「シャープマスクの販売でサーバー止まってアプリから IoT 機能使えないってツイート見たから試したらホントに使えないわ」

「ログインサーバーがしんでるからアプリ立ち上げ時の認証が出来なーい!普段携帯から操作してたからリモコン探すの面倒だわ~」

「COCORO KITCHENに接続できず、ホットクックのレシピがダウンロードできません。恐らく、マスク販売サイトとサーバを共有しているかと思われますが、御社のIoT機器全てに影響が出ています。サーバを分けていただけませんか?」

「シャープのマスクで鯖落ちしてIoT機器死んでるの猫用トイレ(アプリでトイレ行った回数とか見られる)まで影響受けてるのワロタ」

と、まぁ散々たる状況。。。

シャープのサイト自体はCDN(Limelight Networks)が導入されており、不正アクセスやDDoS攻撃に対する保護はしっかりしていたのだと思う。

しかし、今回は正常アクセスのアクセス過多ですからなぁ、結果論になるけど、構成設計に不備があったと言わざるをえない。

とはいえ、短時間での対応であったのは否めないので暖かく見守りたい。

恐らく自社サイトでの販売はシステムリソースの観点から難しいと思われるので、販売サイトをAWS等のIaaS環境に構築するか、Amazonや楽天市場等のECプラットフォームを使うことを検討するのではなかろうか。

【参考】
https://www.sankei.com/west/news/200421/wst2004210026-n1.html
http://mop5542.livedoor.blog/archives/24488672.html
http://mop5542.livedoor.blog/archives/24489260.html
https://maidonanews.jp/article/13315598
https://host.io/jp.sharp
https://japanese.engadget.com/jp-2020-04-20-iot.html?fbclid=IwAR23dEBmIU_qoWljMMr9kqsyHZt_mHY0Z8caFZAzp5HRXZhGhnXSqt0ijJA
Labels:
Location: 日本、〒590-0908 大阪府堺市堺区匠町1

【新記録】2020年4月20日 ついに原油価格がマイナスに!



2020年4月20日の米市場で、原油の価格が史上初めてマイナスをつけた。

先物の5月限月の決済が4月21日との事で、売りの嵐になったようだ。

しかし、一瞬とはいえマイナス40ドルとは・・・。

景気後退で原油の需要は明らかに落ちているため、原油を生産しても貯蔵タンクがいっぱいで買い手が全くつかなくなり、通常はお金をもらって打っている原油を、お金を払ってでも引き取ってもらう状況になっていると思われる。

先日、飛行機の燃油サーチャージが2020年6月から0円になったというニュースがあったが、この辺からも原油余りが伺える。

ただ、原油は倒産することは無いので、未来のプチ石油王を目指して少しずつ買い足していこうと思う。

【参考】
https://www.youtube.com/watch?v=EidRLe6-CNc
Labels:

住居確保給付金


「住居確保給付金」という制度をご存じだろうか。

武漢ウイルスの広まりを受けて、2020年4月20日から制度が拡充するらしい。

自分は制度拡充のアナウンスで初めて聞いた。

難波金融伝 ミナミの帝王での名セリフが頭をよぎる

「法律ゆうんは弱いもんの味方やない、知っとるもんの味方するんや」

制度的には現在借りている部屋の家賃支払いが困難になった時に使うイメージだろうか。

当然受給にはいくつかの条件がある。

まずは収入。

基準が各都道府県ごとに異なるようだが、東京都の場合、給与額面で単身の場合138,000円未満であることが条件となる。

次に資産。

これも基準が各都道府県ごとに異なるようだが、世帯の預貯金合計額が基準額を下回っている必要がある。

基準額は100万円が上限となっているため、100万円未満が共通ルールだろうか。

都市部の単身者は50万円未満となっている模様。

負債がある場合に預貯金と相殺して・・・みたいなことは行われない。
逆に株式や保険等を持っていても、それは預貯金と合算されないらしい(ルールが預貯金合計額だからね。)

最後にハローワークに求職しに行っているか。

以前は細かいルールがあったため、あまり活用されなかった制度のようだが、制度改定により、ハローワークに求職を求めれば条件を満たせるようになっている模様。

ただし、職業訓練受講給付金をもらっている人はNGになる。

受け付けはハローワークなのかと思いきや、「自立相談支援機関」なる所に行かなければならないらしい。

あと、申請時に必要な書類は下記の通り

・免許証

・離職関係書類

・収入関係書類

・通帳

・賃貸借契約書

最後に、この給付金は申請者ではなく、大家に直接振り込まれる。

こういうご時世だからこそ、お国のセーフティネットはしっかり学んでおかないといけないと感じている。

繰り返すが、

「法律ゆうんは弱いもんの味方やない、知っとるもんの味方するんや」

である。

【参考】
https://www.youtube.com/watch?v=gcgsqmt5sWo
Labels:

Cloudflareで『また』障害発生

CloudflareというCDNサービスをご存じだろうか。

CDNサービスと言えば、最も有名なのはAkamaiである。

Akamai=アカマイ=赤米 ではない。

※「知性」を意味するハワイ語に由来するとのことで、日本語とは関係ない。

CDNサービスとは、Webコンテンツ(Webサイト、画像、Flashコンテンツ、動画など)をスピーディに安定配信するための負荷分散・配信ネットワーク。

これらのサービスを活用することで、クライアントは実際の配信元のサーバにアクセスするのではなく、CDNサービスにアクセスしてWebコンテンツを入手することとなるため、配信元サーバの負荷軽減に役立つ。

また、クライアントはCDNサービス経由でのアクセスとなることから、コンテンツ配信のみならず、DDoS対策やクラウドWAFとしても利用される。

ここまで話せばお気づきだと思うのだが、CDNサービスで障害が発生してしまうと、いくら配信元のサーバが元気に稼働していても、クライアントはWebコンテンツにたどり着くことができない。

つまり、CDNサービスとは稼働率100%が求められるのだ。

そんなCDNサービス事業者の一つであるCloudflare社が2019年から大規模障害を連発させている。

2019年は7月2日午後11時50分ごろ(日本時間)から約30分間にわたり、世界中で全面的にダウン。端的な原因はオペミス(問題のあるソフトウェアをデプロイ)と言われている。

2020年は日本時間の4月15日午前0時31分から午前4時52分まで、ダッシュボードおよびAPIがダウン。こちらも原因はオペミス(データセンター内でパッチ盤からケーブルを引っこ抜いてしまった)であった。

落ちてはいけないクラウドサービスの割には正直緊張感が無さすぎると思う。

クラウドサービスでこういう体たらくな事件が連発すると、「クラウドからオンプレに」っていう話に繋がっていくと思う。

クラウド事業者は緊張感をもってオペレーションに取り組んでほしい。

【参考】
https://www.itmedia.co.jp/news/articles/1907/03/news068.html
https://www.itmedia.co.jp/news/articles/2004/20/news076.html
Labels:
Location: アメリカ合衆国 カリフォルニア州 サンフランシスコ

ポートスキャンツール【nmap】【zenmap】


自分のPCや、自分が管理しているサーバにおいて、どのポートが解放されているのか、知りたい時は無いだろうか。

空いているポートが、外部に向けて空いているべきポート(80、443等)であれば問題ないが、内部ネットワーク内での利用を想定したポート(23、135、137、138)がインターネットに公開されている場合、注意が必要となる。

23:telnet(ネットワークに繋がれたコンピュータを遠隔操作)

135:DCE endpoint resolution(RPCに利用されるポートで、ネットワーク上の異なるマシンで処理を実行)

137:NETBIOS Name Service(NetBios名前解決サービス)

138:NETBIOS Datagram Service(NetBiosのコンピュータ一覧を得るブラウジングサービス)

ポートスキャンツールとして最もメジャーなのが、

nmap

である。

nmapはCUIベースのツールで、Linux環境で使われることが多いイメージ。

ちなみに

zenmap

はGUIのツールでWindowsでも利用することが可能。

そのため、ポートスキャン実施の敷居は結構低くなっていると感じている。

ただ、敷居が低くなっているからと言って、気軽に実施することはオススメできない。

ポートスキャンを攻撃者視点で考察した場合、攻撃対象に潜入するための足掛かりとして、使うツールでもある。

つまり、使い方を誤ると不正アクセスとされてしまう可能性がある。

「できる」「できない」と、「やってよい」「やってはいけない」はしっかり分別した上で、これらのツールを活用していきたい。

【nmap、zenmap入手先】
https://nmap.org/download.html

【バックアップ】
https://www.dropbox.com/sh/gowyxvg2lhdkxbw/AACp0y1j1NgHvYrYt64Gp3Vta?dl=0

【参考】
https://www.websec-room.com/2014/02/08/1788
Labels:

生活苦になったら不動産ローンどうするか?


武漢ウイルス(通称コロ助)の蔓延により、IMFなんかは大恐慌以上の不況が来るとか言っている。

そうなると企業の倒産の増加とともに、借金による自殺者なんかも増えてくることが想定される。

僕の大好きな難波金融伝 ミナミの帝王では「こんな紙切れで人は人生を狂わすんや」ってセリフがありましたが、まさにその通り。

借金が増えて首が回らなくなってくると、正常な判断が下せなくなるらしい。

目の前のお金(=利息)の調達しか頭が回らなくなって、闇金に行ってしまうんだとか。

難波金融伝 ミナミの帝王は好きだけど、闇金と借金苦の自殺は避けるようにしたいものだ。

今回は不動産投資ローンがある人が不況で(空室発生で持ち出しが発生し)生活苦に陥った場合に取るべきステップについて整理したいと思う。

1.ローンの返済を止める

ま、生活が苦しいんだから、仕方ないですわな。

ローン返済のお金を生活費に充当して命を繋ぎます。

2.返済方法の見直し

ローンの返済が止まれば、当然銀行から連絡が来る。

返済計画のリスケジュールと言って、金利を下げてもらったり、元金の返済を後ろ倒しにする等の対応が可能らしい。

3.任意売却(任売)

難波金融伝 ミナミの帝王でもおなじみのフレーズではないだろうか。

ちなみに任意売却は銀行の承諾が必要になるらしい。

難波金融伝では競売にすると脅して銀行に任売を認めさせるようなシーンを見た記憶がある。

4.民事再生

これ、実はウラケン不動産のYouTubeチャンネルで初めて知った。

サラリーマン大家には「給与所得者等再生」と言うのがあって、
銀行等の債権者の同意なしに実行できる。

自分は物件売却しても残債が残っている場合、全額頑張って返していかなければならないと思っていた。

ところが、残債全部を返す必要は無いようなのである。

その内容は、

物件売却後の残債額の1/10

もしくは

給与所得の可処分所得(給料-生活費)の2年分

のどちらか多いほうを3年~5年で返済するというもの。

例えば、物件を売却して残債が1000万円残ったとしても、
給与所得の可処分所得が2年で300万(年収460万の例)の場合、
300万円を3年~5年で返済すればよい。

ん、なんか割に合わないな。

そう。

債権者の同意なしに実行できる分、使い勝手が悪くなっている。

民事再生にはもう一つ、「小規模個人再生」というものがあり、こちらは債権者の同意が必要だが、返済額は「給与所得者等再生」よりもお得になる。

尚、民事再生を使うと家、車、給与等が差し押さえられることは無く、ある程度社会的身分を維持したまま再生が図れるが、クレジットカード作成やローンは5年程度不可能となる

5.自己破産

 いわずとしれた、最後の手段。

5000万円までであれば、民事再生を使えるチャンスがあるが、5000万円超は自己破産しか選択肢が無くなる。

ただ、借金が帳消しになる代わりに、車や家など換金性のあるものは没収される。

さらに、給与収入も1/4程度差し押さえられる可能性が出てくる。

クレジットカードは5年~10年は作れなくなり、ローンは10年程度組むことができなくなる。

ちなみに自己破産は最後の手段にもかかわらず、申請には収入印紙等で数万円が必要となる。

自己破産くらい無償で受け付けてあげればいいのにと思う今日この頃。

【参考】
https://www.youtube.com/watch?v=9zSxiiiUasM
https://izumi-fujisawa.jp/column/saimuseiri/kojinsaisei-kyuyosyotokusya
Labels:

LAN内のPC情報を調査するためのツール【Advanced IP Scanner】


LAN内の端末情報を調査したい時は無いだろうか。

メジャーどころとしてはExPingがあり、シンプルにpingを打ってIPのup/downを調べるのに非常に便利である。

もう少し詳細な情報が必要な際に活用できそうなのが、

Advanced IP Scanner

である。

Advanced IP ScannerではLAN内の下記の情報の収集が可能である。

・機器の起動状態

・名前

・IPアドレス

・NetBiosグループ

・製造メーカ

・Macアドレス

・稼働プロトコル
 SMB、HTTP、HTTPS、FTP、RDP、SSH、ping、telnet等

【入手方法】
本記事投稿時点での最新版は下記から入手
https://www.advanced-ip-scanner.com/jp/

【バックアップ】
https://www.dropbox.com/sh/zefz0wbcdjcqwk6/AACtgqO5_sduf-G_Yqgopv-ka?dl=0
Labels:
登録: 投稿 (Atom)