雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
【悲報】「フエルモール」への不正アクセスによる個人情報漏えい(ナカバヤシ株式会社)
文具、事務機器、アルバム、家具、事務用品、収納用品など取り扱うオンラインショップである、「フエルモール」にて、不正アクセスによる情報漏洩が発生。
・クレジット情報を含む顧客情報漏洩の可能性がある件数:94件
・クレジット情報を含まない顧客情報漏洩の可能性がある件数:120,000件
-注文情報
-購入者情報(氏名/住所/メールアドレス)
-送付先情報(氏名/住所)
早速、想定損害賠償額シミュレータにて、今回の損害額を試算してみる。
【想定損害額試算結果】
1,454,660,000円
原因が「システムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため」とのことなのだが、該当サイトにおいて、クレジットカード情報が保持されていたのかが少し気になる。
クレジットカード情報の保持が無ければ最低限の対応はクリアできていると考えられる。
クレジットカード情報を保持していない前提で考えると、おそらく決済時に決済事業者につなぐ機能が改ざんされたものと考えることもできる。
こうなった場合の対応としては、万全な対策を施して再開させるのも一つの方法だが、いっそのことサイトを閉じてアマゾンや楽天等のECサイトに移行してしまうのも一つの方法と考える。
【参考】
https://www.nakabayashi.co.jp/news/2020/info/715
サイバー攻撃(攻撃する側)の費用は!?
クラウドが普及して、サーバを立てるにもサーバを買わなくて済むようになり、ストレージを確保するにもストレージデバイスを調達しなくてもよくなった。
企業でもメール等はクラウド化が進んでいると思われる。
クラウドは非常に便利である。
しかし、その利便性は一般のエンドユーザのみならず、サイバー攻撃を行う側にも出ている。
というのも、サイバー攻撃事態もクラウドサービス化されており、サービス提供事業者にコンタクトできさえすれば、低額でサイバー攻撃を委託することができる。
トレンドマイクロの調査では、攻撃のカテゴリごとに下記のような価格でサイバー攻撃の委託が可能な模様。
■DDoS攻撃に必要なBotnetの価格
■標的型攻撃等で用いられるRAT(Remote Access Tool ⇒感染させることで端末の遠隔操作が可能になるマルウェア)の価格
■ランサムウェアの価格
■SMSへのメッセージ送信の価格
金額は米ドル表記だが、法定通貨を使うとどうしても足がつくため、決済は匿名性の高い仮想通貨で行われる。
それにしても金額が安い。
防御する側はそれなりの費用をかけて行っていると思うが、攻撃側のコストが非常に低いことには少し驚いた。
Whois情報の変更履歴を確認する方法 【Domain history checker】
2020年6月2日、コインチェック株式会社より、不正アクセスのプレスリリースが流れた。
コインチェックと言えば、2018年にXEM流出事件があり、社会的信用は地に堕ちた。
その後、マネックスグループの一員となり、セキュリティ対策の強化が取られていた、はずである。
結論から言うと、今回はコインチェックの問題ではなく、コインチェックが利用しているドメイン登録サービス「お名前.com(GMOインターネット株式会社)」に対する不正アクセスであった。
今回はお名前.comの不具合を突いたドメインハイジャックであったわけだが、その解説記事で面白いサービスを見つけた。
それが、
Domain history checker
である。
通常Whois情報は現時点のものしか確認できないが、このサービスを使うと、変更履歴を追うことができる。
【参考】
https://www.onamae.com/news/domain/20200603_1/
百害あって一利なしなサービス【リボ】【サブリース】
リボ払いは恐ろしい。
昔、某カード会社でリボ払いにするとポイントが2倍になるというキャンペーンにつられて、ポイ活がてら、リボ払いにしたことがある。
毎月支払う金額以上をリボ払いの額に設定しておけば大丈夫と最初はタカをくくっていたのだが、何故か月日の経過とともに残債が増えていく。
残債が70万になった辺りで、リボ払いがアリ地獄化していることに気が付き、ボーナス一括払いでリボ残債を清算し、お礼代わりにカードも解約した。
それ以降、クレジットカードの支払いについてはニコニコ現金一括払いを徹底している。
百害あって一利なしだと思うのが下記2つである。
1.クレジットカードのリボ払い
2.不動産賃貸におけるサブリース契約
サブリースはこれまで「契約していてよかった」という声を一度も聞いた事が無い。
特に新築物件の賃貸なんかでサブリース契約を結んでしまう人の話を聞く。
新築物件なので建築当初は放っておいてく賃貸人がつく。
その状況下でサブリース契約を結んでも本来得られる賃料から無駄金を払うだけである。
築年数が経過して客付けが難しくなった辺りでサブリースに助けられるはずなのだが、そういう時に限って一方的に解約を突き付けられる。
これって、存在価値ないよね。
ちなみに自分はリボには引っかかったが、サブリースの魔の手には引っかからずに済んでいる。
ワンルームマンション投資の考え方
まず最初に結論だけ言おう。
新築ワンルームマンション投資は避けるべきである。
理屈は簡単で、新築物件には建築価格に加えて広告宣伝費が乗っかっている。
この広告宣伝費分がそのまま投資に対してデメリットとなるのである。
この広告宣伝費が差っ引かれることもあり、新築物件は登記したとたんに中古となり、2~3割価値が落ちるといわれる理由にもなる。
そのため、ワンルームマンション投資は中古で行うことが必須である。
ちなみに自分が最初に購入したワンルームマンションはあろうことか新築だった(´;ω;`)ウゥゥ
ウラケンさんの言う即死レベルにはかろうじて至っていないが、現状維持で向こう30年間の収支を試算すると辛い現実が待っている。どこかのタイミングで繰り上げ返済をせねば。。。
一方で私が勝手に師匠と呼んでいる内藤忍氏の考え方に則ると、そこまで悲観的な感じでもない。
この違いは何なんだろうと考えてみたのだが、”事業”として考えるか、”投資”として考えるかの違いのような気がしている。
”事業”として考えているのがウラケンさんで、毎月の家賃を事業収入としてきちんと損益管理を行う。
ちなみにこの前提で不動産投資を考えると、多くの人が一棟モノにチャレンジする理由が何となく分かってくる。区分は非常に効率が悪いのである。
一方、”投資”として考えているのが内藤忍さんで、毎月の家賃を投資補助金のイメージで扱う。
毎月の収支をトントンにさえすれば、区分マンションを賃貸人が買ってくれるという扱いにできるわけである。
異なる考え方であるが、いずれも正解であると思う。
が、中古ワンルームマンション投資を行うのであれば、内藤忍さんの考え方の方が精神衛生上良いかもしれない。
ちなみにワンルームマンション投資で国賊企業からババを引かれないようにするにはどうすればよいのだろうか?
ここで、まともなワンルームマンション投資の際によく聞く金融機関を紹介したい。
基本的にここと提携ローンを組んでいる不動産業者であればハズレの可能性は低くなる(安全である保証はないので注意してください)
【ワンルームマンション投資において個人的にまともだと思っている金融機関】
・ソニー銀行株式会社
・株式会社クレディセゾン
・オリックス銀行株式会社
逆に言うと、上記と提携できていない不動産業者はNGということもできる。
「バカッター」のYouTube版は?
意外と便利なradikoのタイムフリー機能
YouTubeやニコ生等のオンラインメディアに危機感を感じてか、既存メディアも便利なサービスを提供している。
テレビであれば、Tverを活用するることで、1週間以内であれば見逃したテレビ番組を見ることができるかもしれない。
当然テレビを持たない吾輩みたいなのにも助かるサービスである。
ラジオはもっと進んでいる。
radikoを利用することで、ブラウザがあればラジオを視聴することができる。
もはやラジオを視聴するのにラジオはいらない時代になっているのである。
ちなみ最近一番好きなのはTokyo FMのJet Streamである。
が、悩みがあって、あまり聞けていない。
悩みというのは、Jet Streamの前座の番組が高校生向けの番組で、個人的には聞くに堪えないのである。
んで、別の事をしていて聞き逃してしまったり、待ちきれずに眠ってしまったりしていたのである。
ある日、radikoにタイムフリー機能なるものがあることを知った。
radikoはエリアフリー機能なるものを有料で提供しており、これも有料機能だと思っていた。
駄菓子菓子
これ、無料サービスだった。
これでJet Streamがいつでも聞ける♪
不審なショートメールが来た時の対応
先日携帯電話のショートメールに知らない人から連絡が来た。
皆さんも似たような経験ないだろうか?
これは広義でウイルスメールの一種であるため、慎重な対応が求められる。
ちなみに、ショートメール本文にあるリンクに進むとどうなるのだろうか?
結論だけを先に言うと、
1.運送会社や金融機関風の偽サイトに繋がる。
2.画面の案内に沿ってアプリをインストールする(させられる)
3.携帯電話に保存されている連絡先情報が詐取され、新たな不審ショートメールの送信先として使われる。
ということになる。
つまり、送信元の携帯電話番号は被害者の可能性が高い。
折り返し電話しても、当の本人は同様の電話を大量に受けているのでそっとしてあげるのが良い。
どうしても送信元が気になる場合は、下記のようなサイトで送信元の番号を検索してみると良い。
電話番号検索@迷惑電話チェック
ここで検索することで、追加の情報が得られるかもしれない。
今回の場合、下記のような情報が得られた。
基本、この時点でアウトなので、ショートメールは削除してしまってよい。
それでもリンク先が何なのか気になるという方は、代理サイト等を使ってアクセスすることをおススメする。
ちなみに、うっかりアプリをインストールして連絡先情報が詐取されてしまった場合、関係者への謝罪連絡とスマホのOS再インストール、場合によっては携帯番号の変更が必要になる。
くれぐれも取り扱いは慎重に。。。
登録:
投稿 (Atom)