【悲報】ヴァージン・オーストラリア破綻


武漢ウイルスによる影響が広がりだしてきた。

オーストラリア2番手の航空会社、ヴァージン・オーストラリア(VA)が武漢ウイルスの感染拡大による需要の急減で手詰まりとなり、ついに事実上経営破綻した。

運航は継続しつつ新たなスポンサーを探すようだが、武漢ウイルスの影響による大手航空会社の破綻は、これが世界初のケースとなる。

VAはオーストラリア政府の支援を望んでいたが、VAの株主構成における外国人比率が高く政府は見捨てる形となった模様。

航空業界は固定費に割合が高く、飛行機の運航が止まっても固定費の支出が続くため、このような景気悪化の影響をもろに受ける。

このような事態に備えて政府とは密な連携が求められるのだと思う。

オーストラリア政府はVAは見捨てても、カンタス航空は確実な支援をしてくると思われる。

日本も同様で、JALやANAは政府が確実な支援を行うものと思われる。

外資であるエアアジアや春秋航空はほぼ間違いなく救わないだろう。

スカイマークとかソラシドエアとかスターフライヤーとかはどうなるんだろう?

爪痕がこれ以上大きくならないことを願うばかりである。

【参考】
https://news.nifty.com/article/magazine/12208-639430/
https://www.msn.com/ja-jp/money/news/%EF%BD%A2%E7%BE%BD%E7%94%B0%E5%B0%B1%E8%88%AA%E5%BB%B6%E6%9C%9F%EF%BD%A3%E3%81%AE%E8%B1%AA%E3%83%B4%E3%82%A1%E3%83%BC%E3%82%B8%E3%83%B3%EF%BD%A4%E3%82%B3%E3%83%AD%E3%83%8A%E3%81%A7%E7%A0%B4%E7%B6%BB-%E3%82%AA%E3%83%BC%E3%82%B9%E3%83%88%E3%83%A9%E3%83%AA%E3%82%A22%E7%95%AA%E6%89%8B%EF%BD%A4%E7%B5%8C%E5%96%B6%E4%B8%8D%E6%8C%AF%E3%81%AB%E8%BF%BD%E3%81%84%E6%89%93%E3%81%A1/ar-BB132fsC?srcref=rss
https://voyageavance.global/va-miles-after-bankruptcy

ベネッセ&SB合弁会社「Classi」、学校教育アプリに不正アクセスされ高校生ら約122万人のIDなどが流出


ベネッセと言うと、2014年に発生した3500万件の情報漏洩のイメージが強いが、またベネッセ絡みで情報漏洩事件が発生した。

ベネッセホールディングスとソフトバンクの合弁会社「クラッシー」は2020年4月13日、学校教育支援アプリのシステムがサイバー攻撃を受け、高校生ら約122万人分のIDなどが流出したと発表した。

2020年4月16日時点で具体的に漏れた情報は下記の模様。

 ・Classiを利用するためのID(約122万人分)

 ・パスワードが暗号化された文字列(約122万人分)
  ※パスワード自体が漏れたわけではない。

 ・任意記入の教員の公開用自己紹介文(2,031件)

早速想定損害賠償額シミュレータで損害を試算してみる。

今回はIDの漏洩なので、漏洩件数が多いものの、個人情報は実質漏洩していないと考えられる。

【試算結果】

24億4000万円

不正アクセスによる漏洩は残念だが、パスワードをハッシュ化して保存する等、必要な対策が取られていた点は評価したい。

【参考】
http://mop5542.livedoor.blog/archives/24505367.html
https://snjpn.net/archives/190799


安全に悪いことをする方法を考える(やられサイトの活用)


脆弱性スキャンのツールを知ると、当然それを使ってみたくなるのが人の性と言うものである。

ただ、実際にサービス提供しているサイトに対してスキャンを行うと不正アクセスとされてしまい、下手するとサツのお世話になりかねない。

そこで登場するのがやられサイトである。

世の中にはいくつかやられサイトを提供するサービスがある。

悪いことをする際は、やられサイトを使って安全に行いたい。

1.BadStore

Webアプリケーションの脆弱性だけではなく、OSやWebサーバなどの脆弱性も含まれている。

ISOイメージで配布されていて、Linux(Trinux)とWebサーバ(Apache)がすでにインストールされている。

やられWebアプリケーションも設定済みの状態で入っているので、面倒なインストール作業がほとんどないのがメリット。

デメリットとしては、公式サイトが閉鎖されてしまい、公開されていない事

バックアップを保存してあるので、興味のある方はどうぞ。

BadStoreバックアップ


2.WebGoat

国内では「OWASP Top Ten Project」などで有名なOWASP(The Open Web Application Security Project)が提供しているやられWebアプリケーション。

JavaとTomcatをインストールした環境があれば、WindowsやUNIXなどで動作。

[入手先]
https://owasp.org/www-project-webgoat/

[バックアップ]
https://www.dropbox.com/sh/fiafhx0ycyv8m4q/AAAL80-s8Pkx0GfSiGKi-Gzza?dl=0

3.Hacme Casino

以前はMcAfeeが提供していたのだが、終了した模様。

基本的にはWindows環境で動くらしい。

[バックアップ] 
https://www.dropbox.com/sh/2u9hfla7imgzg0i/AADKF9Mrg1mcA2y3zYP0u2rpa?dl=0

※Hacme Casinoのバックアップは汚染されている可能性あり。最悪マルウェアに感染しても構わない環境でお願いします。

【参考】
https://www.atmarkit.co.jp/ait/articles/0910/23/news112.html

【悲報】シャープ マスク販売によりアクセス過多でIoT制御システムを道連れにダウン


シャープが2020年4月21日午前10時から自社サイト上で、マスク販売をスタートさせた。

が、アクセスが殺到してつながりにくい状態になり、「ただ今、アクセスが集中しており、販売サイトにつながりにくい状態が続いております。お時間をおいて再度お試しください。ご迷惑をお掛けしますとことお詫び申し上げます。」とお詫びを掲載する事態となった。

ここまでであれば、よくあるアクセス集中によるサイトダウンの話なのだが、マスク販売サイトのシステムと、IoT家電の制御系システムが同じネットワーク上に存在していたようで、IoT家電も巻き添えを食った。

その結果、何が起きたかと言うと・・・・

「SHARPのマスクでサイト落ちているけど、我が家のホットクックのアプリまで巻き添え食らっておちてる」

「シャープマスクの販売でサーバー止まってアプリから IoT 機能使えないってツイート見たから試したらホントに使えないわ」

「ログインサーバーがしんでるからアプリ立ち上げ時の認証が出来なーい!普段携帯から操作してたからリモコン探すの面倒だわ~」

「COCORO KITCHENに接続できず、ホットクックのレシピがダウンロードできません。恐らく、マスク販売サイトとサーバを共有しているかと思われますが、御社のIoT機器全てに影響が出ています。サーバを分けていただけませんか?」

「シャープのマスクで鯖落ちしてIoT機器死んでるの猫用トイレ(アプリでトイレ行った回数とか見られる)まで影響受けてるのワロタ」

と、まぁ散々たる状況。。。

シャープのサイト自体はCDN(Limelight Networks)が導入されており、不正アクセスやDDoS攻撃に対する保護はしっかりしていたのだと思う。

しかし、今回は正常アクセスのアクセス過多ですからなぁ、結果論になるけど、構成設計に不備があったと言わざるをえない。

とはいえ、短時間での対応であったのは否めないので暖かく見守りたい。

恐らく自社サイトでの販売はシステムリソースの観点から難しいと思われるので、販売サイトをAWS等のIaaS環境に構築するか、Amazonや楽天市場等のECプラットフォームを使うことを検討するのではなかろうか。

【参考】
https://www.sankei.com/west/news/200421/wst2004210026-n1.html
http://mop5542.livedoor.blog/archives/24488672.html
http://mop5542.livedoor.blog/archives/24489260.html
https://maidonanews.jp/article/13315598
https://host.io/jp.sharp
https://japanese.engadget.com/jp-2020-04-20-iot.html?fbclid=IwAR23dEBmIU_qoWljMMr9kqsyHZt_mHY0Z8caFZAzp5HRXZhGhnXSqt0ijJA

【新記録】2020年4月20日 ついに原油価格がマイナスに!



2020年4月20日の米市場で、原油の価格が史上初めてマイナスをつけた。

先物の5月限月の決済が4月21日との事で、売りの嵐になったようだ。

しかし、一瞬とはいえマイナス40ドルとは・・・。

景気後退で原油の需要は明らかに落ちているため、原油を生産しても貯蔵タンクがいっぱいで買い手が全くつかなくなり、通常はお金をもらって打っている原油を、お金を払ってでも引き取ってもらう状況になっていると思われる。

先日、飛行機の燃油サーチャージが2020年6月から0円になったというニュースがあったが、この辺からも原油余りが伺える。

ただ、原油は倒産することは無いので、未来のプチ石油王を目指して少しずつ買い足していこうと思う。

【参考】
https://www.youtube.com/watch?v=EidRLe6-CNc

住居確保給付金


「住居確保給付金」という制度をご存じだろうか。

武漢ウイルスの広まりを受けて、2020年4月20日から制度が拡充するらしい。

自分は制度拡充のアナウンスで初めて聞いた。

難波金融伝 ミナミの帝王での名セリフが頭をよぎる

「法律ゆうんは弱いもんの味方やない、知っとるもんの味方するんや」

制度的には現在借りている部屋の家賃支払いが困難になった時に使うイメージだろうか。

当然受給にはいくつかの条件がある。

まずは収入。

基準が各都道府県ごとに異なるようだが、東京都の場合、給与額面で単身の場合138,000円未満であることが条件となる。

次に資産。

これも基準が各都道府県ごとに異なるようだが、世帯の預貯金合計額が基準額を下回っている必要がある。

基準額は100万円が上限となっているため、100万円未満が共通ルールだろうか。

都市部の単身者は50万円未満となっている模様。

負債がある場合に預貯金と相殺して・・・みたいなことは行われない。
逆に株式や保険等を持っていても、それは預貯金と合算されないらしい(ルールが預貯金合計額だからね。)

最後にハローワークに求職しに行っているか。

以前は細かいルールがあったため、あまり活用されなかった制度のようだが、制度改定により、ハローワークに求職を求めれば条件を満たせるようになっている模様。

ただし、職業訓練受講給付金をもらっている人はNGになる。

受け付けはハローワークなのかと思いきや、「自立相談支援機関」なる所に行かなければならないらしい。

あと、申請時に必要な書類は下記の通り

・免許証

・離職関係書類

・収入関係書類

・通帳

・賃貸借契約書

最後に、この給付金は申請者ではなく、大家に直接振り込まれる。

こういうご時世だからこそ、お国のセーフティネットはしっかり学んでおかないといけないと感じている。

繰り返すが、

「法律ゆうんは弱いもんの味方やない、知っとるもんの味方するんや」

である。

【参考】
https://www.youtube.com/watch?v=gcgsqmt5sWo

Cloudflareで『また』障害発生

CloudflareというCDNサービスをご存じだろうか。

CDNサービスと言えば、最も有名なのはAkamaiである。

Akamai=アカマイ=赤米 ではない。

※「知性」を意味するハワイ語に由来するとのことで、日本語とは関係ない。

CDNサービスとは、Webコンテンツ(Webサイト、画像、Flashコンテンツ、動画など)をスピーディに安定配信するための負荷分散・配信ネットワーク。

これらのサービスを活用することで、クライアントは実際の配信元のサーバにアクセスするのではなく、CDNサービスにアクセスしてWebコンテンツを入手することとなるため、配信元サーバの負荷軽減に役立つ。

また、クライアントはCDNサービス経由でのアクセスとなることから、コンテンツ配信のみならず、DDoS対策やクラウドWAFとしても利用される。

ここまで話せばお気づきだと思うのだが、CDNサービスで障害が発生してしまうと、いくら配信元のサーバが元気に稼働していても、クライアントはWebコンテンツにたどり着くことができない。

つまり、CDNサービスとは稼働率100%が求められるのだ。

そんなCDNサービス事業者の一つであるCloudflare社が2019年から大規模障害を連発させている。

2019年は7月2日午後11時50分ごろ(日本時間)から約30分間にわたり、世界中で全面的にダウン。端的な原因はオペミス(問題のあるソフトウェアをデプロイ)と言われている。

2020年は日本時間の4月15日午前0時31分から午前4時52分まで、ダッシュボードおよびAPIがダウン。こちらも原因はオペミス(データセンター内でパッチ盤からケーブルを引っこ抜いてしまった)であった。

落ちてはいけないクラウドサービスの割には正直緊張感が無さすぎると思う。

クラウドサービスでこういう体たらくな事件が連発すると、「クラウドからオンプレに」っていう話に繋がっていくと思う。

クラウド事業者は緊張感をもってオペレーションに取り組んでほしい。

【参考】
https://www.itmedia.co.jp/news/articles/1907/03/news068.html
https://www.itmedia.co.jp/news/articles/2004/20/news076.html

ポートスキャンツール【nmap】【zenmap】


自分のPCや、自分が管理しているサーバにおいて、どのポートが解放されているのか、知りたい時は無いだろうか。

空いているポートが、外部に向けて空いているべきポート(80、443等)であれば問題ないが、内部ネットワーク内での利用を想定したポート(23、135、137、138)がインターネットに公開されている場合、注意が必要となる。

23:telnet(ネットワークに繋がれたコンピュータを遠隔操作)

135:DCE endpoint resolution(RPCに利用されるポートで、ネットワーク上の異なるマシンで処理を実行)

137:NETBIOS Name Service(NetBios名前解決サービス)

138:NETBIOS Datagram Service(NetBiosのコンピュータ一覧を得るブラウジングサービス)

ポートスキャンツールとして最もメジャーなのが、

nmap

である。

nmapはCUIベースのツールで、Linux環境で使われることが多いイメージ。

ちなみに

zenmap

はGUIのツールでWindowsでも利用することが可能。

そのため、ポートスキャン実施の敷居は結構低くなっていると感じている。

ただ、敷居が低くなっているからと言って、気軽に実施することはオススメできない。

ポートスキャンを攻撃者視点で考察した場合、攻撃対象に潜入するための足掛かりとして、使うツールでもある。

つまり、使い方を誤ると不正アクセスとされてしまう可能性がある。

「できる」「できない」と、「やってよい」「やってはいけない」はしっかり分別した上で、これらのツールを活用していきたい。

【nmap、zenmap入手先】
https://nmap.org/download.html

【バックアップ】
https://www.dropbox.com/sh/gowyxvg2lhdkxbw/AACp0y1j1NgHvYrYt64Gp3Vta?dl=0

【参考】
https://www.websec-room.com/2014/02/08/1788