後継のパスワード管理ツールを考える

トレンドマイクロのパスワードマネージャがデータ消失してしまったため、パスワードマネージャーの課題を踏まえて後継のパスワード管理ツールの選定を進める。

■有償か無償か

無償版でもいいやつがあるのかもしれないが、自分の大切な情報を預ける以上、必要な対価は払うべきである。

今回も有償版を軸に検討。

ただし、買い切りタイプではなく、月額ベースのサブスクリプションパッケージを検討する

■対応端末

メインはWindows OS(ノートパソコン)だが、ブラウザのアドオンで使えるようになっていれば利便性が上がる。

Chrome対応は必須。

あとはAndroidでも使えれば尚可

■バックアップ機能

必須だけど、サブスクリプションの場合、基本データはクラウド管理なので、あまり気にしなくてもいいかも。

ちなみにトレンドマイクロのパスワードマネージャーはオンライン環境では世代バックアップ等は無い。

PC版のアプリを使うことでデータのエクスポートが手動で可能となる（最近追加された機能だろうか？データ消失事件が起きて調べるまでこの機能のこと知らなかった・・・。）

■オフライン利用

これ、意外に重要。

■自動登録

ID/パスワードを管理ツール上でいちいち手入力していくのはかなり手間なので、自動登録機能はあったほうが良い。

ただ、半自動くらいでいいかな。勝手に登録していく機能だとかえってうざい。

登録のないサイトにアクセスした際に自動で検知して登録有無を確認してくれる感じがいい。

■自動入力

この機能もあると助かる。

ただ、勝手に入力せずに、入力前に確認ダイアログを出してくれるほうがいい。

同一サイトで複数アカウントある時、勝手に入力されると迷惑なのだ。

ちなみにトレンドマイクロのパスワードマネージャーはこの機能が弱い。

具体的には自動入力を期待しているのに、ツールが反応しないというケースがよくある。

■パスワードチェッカー

まー、あってもいいけど、無くても困らない。

パスワードチェッカーで引っかかったところで、サイトの制約上貧弱なパスワードにせざるを得ない時がどうしてもある。

■パスワードチェンジャー

いらない。

パスワードは各サイトごとに異なるものを設定すべきであるが、ある程度パターン化しておけばよいと考えている。

つまり、パスワード管理ツールにすべてを託すのではなく、基本パターンは自分で考え、補助的な位置づけでツールを使うのである。

パスワードチェンジャーなんか使って、トレンドのパスワードマネージャーみたいにデータ消失したら、ショックは図りえないものとなる。

以上、いろいろなチェックポイントがあるが、後はランキング記事等を参考に決めていけばよいと思う。

で、今回選定したのは、

1Password

カナダのスタートアップっぽい感じ。

パスワード管理ツールで検索すると大体ランキングされているので、大丈夫かと思ったのと、個人的に一番の選定ポイントは下記。

「削除されたパスワードも365日間までさかのぼって復元可能」

これが今回選定のポイント。

当然トレンドのパスワードマネージャーにはこんな機能は無い。

ちょっと(余計な)機能が多く、金額も高めだが、ま良しとしよう。

【参考】
https://wired.jp/2020/05/28/coronavirus-quarantine-start-using-password-manager/
https://my-best.com/2909
https://ranking.goo.ne.jp/select/9602

【悲報】トレンドマイクロ パスワードマネージャーの(自分の)データが消失

パスワード管理については、サイトごとに同じパスワードを使いまわすのではなく、異なるパスワードを設定するのが良い。

しかしサイトごとに異なるパスワードを使っていたら当然覚えられない。

そこで登場するのがパスワード管理ツールとなるのだが、自分はトレンドマイクロ社の「パスワードマネージャー」を使用している。

使い始めてかれこれ7年くらい経ち、細かいトラブルはあったものの、それなりにパスワード管理ツールとして利用できていた。

さすがに7年も使うとデータがたまってくる(その数約400弱)ため、最近データの断捨離を行った。

ここで事件が起きる。

パスワードマネージャーはブラウザ上で管理データの編集を行う。

削除するデータにチェックを入れ、最後に削除ボタンを押すだけのシンプルな処理なのだが、削除対象のデータ複数個所のにチェックを入れ、削除ボタンをクリックすると、しばらく反応が無い。

しばらく待ってからパスワードマネージャーにアクセスると、

すべて消えてる・・・・

とりあえず、サポートに問い合わせてみるか。

7年間パスワードマネージャーを使ってきて、ざっくりとしたアーキテクチャはイメージできているつもりだが、そこから想像するに、復旧は難しいのではと踏んでいる。

恐らく原因は管理画面の機能のバグと想定される。複数選択するときに何かが起きるとまとめて消してしまうのではないのだろうか？

パスワード管理ツールは、ツール自体からの情報漏洩は言語道断である。

一方で今回のようなツールの不具合で誤削除されてしまった場合の対策(利便性!?)も両立できていなければならない。

トレンド社パスワードマネージャーのうたい文句は

「あなたにかわって覚える、守る」

であるが、覚えてもらったものを忘れ去られてしまってはシャレにならない。

こういうインシデントが起きた製品は二度と使えないので、並行して、後継のパスワード管理ツールの検討を進めることにしよう。

【転載】JALが最大1万円の「また旅に出ようクーポン」

JALが最大1万円の「また旅に出ようクーポン」:

JALがコロナ後の「未来の旅に使える」クーポンを配布開始。
1名以上の予約・行き先の指定ナシで使える用途範囲の広いクーポンで、ダイナミックパッケージ（航空券とホテル予約のセット予約）に利用できる。

JAL また旅に出よう

これまで抑えてきた”旅をしたい”気持ちを少しでも多くのお客さまに実現していただくために、特別なクーポンもご用意いたしました。

クーポンは複数あり、最大1万円（10万円以上の予約で利用可能）。
そのほか3万円以上の予約で利用可能な3000円クーポンなどもあり、実質的には「最大10%割引のクーポン」ということになる。

予約期間は6月30日、対象の旅行期間は3月末まで。

予約受付	2020年6月30日
対象旅行期間	2020年7月31日～2021年3月31日

対象期間も広く、割と使いやすいクーポンだなと思います。

クーポン配布範囲

今回のクーポンは一応「お客さま限定クーポン」となっている。
クーポンの雰囲気からして全員に配っていそうな感じもしたが、そうでもないのかな？

上記の特設ページにログインするとクーポンが配布されているか分かるほか、対象者にはメールでのお知らせもきているかと思います。

本当に「お客さま限定クーポン」だった場合、その配布している対象範囲は不明です。

ほい。

そんな感じ。

【転載】AWSの設定ミスで顧客情報が閲覧可能状態に（ケアプロ）

AWSの設定ミスで顧客情報が閲覧可能状態に（ケアプロ）:

• 
  
  
  
  トップページ
  
• 
  
  
  
  リリース（個人情報閲覧の可能性に関するお詫びとご報告）
  
• 
  
  
  
  リリース（対策と対応）
  

予防医療事業と在宅医療事業をプロデュースするケアプロ株式会社は6月4日、同社物流業務の委託先データベースにて顧客情報を第三者が閲覧可能であったことが判明したと発表した。



これは同社の物流委託先が、旧サーバから Amazon Web Service サーバ（AWS）へのデータ移行時に、AWSのストレージにケアプロ社のデータをバックアップとして保管していたが、ストレージを公開設定としていたために第三者が閲覧可能な状態となっていたというもの。ケアプロ社に対し2019年12月11日に、Amazon Web Service から委託先のアカウントの1つが不正利用された可能性について連絡があり、委託先での調査過程で判明した。なお、AWS 及び委託先社内で調査を行ったが不正利用の形跡は無かった。



閲覧可能であったのは、2012年1月18日から2019年12月20日までにケアプロ社でイベント開催した顧客622件のイベント開催場所名、物品送付、返送先住所、物品受渡の担当者名を含む情報。



物流委託先では、クラウドサービスが不正利用されない為にWebサービスが必要最小限の設定になっていること、同じID・PW を他システムで利用しない等見直しを実施、不要なアカウントは即時削除されていることの3点を確認済み。また、全PCから重要情報が漏えいしないよう、ハードディスクが暗号化されていること、全PCにウイルス対策ソフトが導入されていることを確認するとともに、AWS への不正アクセス防御の為に、AWS サポートと連携の上で使用履歴をWeb 画面で確認し、海外で利用されていない事を継続的に確認する。



ケアプロ社では2020年1月9日に、警視庁渋谷警察署生活安全課保安係サイバー担当に経緯を相談済みで、二次被害等が発生した場合には、関係官庁や警察機関と連携を取り対応を進めるとのこと。
《ScanNetSecurity》

1/4貯金と住居費1/10（種銭の作り方）

高橋ダンさんのYouTubeを見ていたら、ウラケンさんの教えと重なる所があったので、ちょっと整理してみたい。

高橋ダンさんの動画の要旨は下記の通り（タイトルがイマイチなのだが思ったよりも良い動画だった。）

・支出における居住費の割合がとても高い

・買い物は通販が良い
　-価格が安い
　-無駄な買い物をしなくて済む

・人生で一番大きなウエイトを占める支出は老後(リタイア後)
　-日本でも年金2000万問題で話題になったが、米国では老後資金として8000万ドル弱が必要とされている。

高橋ダンさんはトレーダーなので、投資が難しいといって、利息0%のタンス預金にするくらいなら、過去の実績で年利10%近くをたたき出しているS&P500に毎月1万円ずつでも投資したほうがいいという結論だった。

高橋ダンさんの動画は、買い物の部分の話がよく理解できなかったのだが、話のポイントは、種銭を作って、それを運用して増やしていかなければいけないということである。

この種銭の作り方で、以前ウラケンさんが動画を出していたのを思い出した。

普段の支出に占める住居費の割合はどこの国も高いようである。

そのため、住居費の目安を、収入の1/10とすることで、種銭を貯めることができるという話をしていた。

また、収入の1/4を同様に種銭に回す。

こうすることで種銭を増やすことができる。

年金制度は信用できない。

それは自分が学生時代の時から認識していた。

んで、そのためにどのような対策をとるか。

最初に取り組んだのは貯金だったのだが、貯金だけでは将来の不安を払しょくできないことが分かり、覚悟を決めて投資の世界に突撃。

当初は国内の投資信託をメインに進めていたが、リスク分散の観点で米国ETFや不動産投資にも対象を広げている。

最近感じているのは、リタイアまでに〇〇〇〇万円貯めるのではなく、リタイアまでに毎月〇〇万円の不労所得が得られる状況を作り出すことである。

コツコツ派の自分としては2023年を目指して種銭を作り、不動産投資を進めていきたい。

また、種銭作成の過程でS&P500等にも投資していきたい。

長期的に右肩上がりでの上昇を期待できる銘柄はVOOしかないらしい。

なので、基本はVOOに投資を続けることとなる。

一方でリーマンショックや武漢ウイルスショックによる一時的な暴落に備え、ヘッジとしてSPXSを持ち、リバランスを行うことで、VOOの平均購入価格を抑え、トータルのパフォーマンスをアップさせることができるかもしれない。

自分の場合、一応家賃は収入の約1/10になっているため、後は1/4を投資に回すべく、コストコントロールの強化を図らねばならない。

断る技術 【エッセンシャル思考】

『エッセンシャル思考』を読んでいるのだが、非常に参考になる。

自分はロングスリーパー系で、6時間睡眠だと足りず、7時間～8時間くらい寝ないと満足しない。

それ故に、3時間睡眠で元気な人がとても羨ましかったのだが、この本を読んで、3時間睡眠で元気な人が哀れに思えるようになった。

何でもかんでもはいはい言って仕事をしている人は、ぱっと見受けが良いように思えるが、仕事を受けている本人にはおそらく何も残らない。

それ故に、自分が注力する領域を意識し、その他の(重要ではない)依頼はどんどん断っていかなければならない。

とはいっても、単に「ノー」と言って断ればよいというわけではなく、ちゃんと断り方というものも当然ある。

本でそんな断り方が紹介されていたので、メモがてら残しておきたい。

■とりあえず黙る

誰かに何かを頼まれたら、少しだけ黙ってみる。

ゆっくり3つ数えてから自分の意見を言う。

慣れてきたら相手が気まずくなって何か言うまでじっと待ってみる。

■代替案を出す

代替案を出して、相手に歩み寄りながら断る。

「今は〇〇で手一杯なんです。終わったら対応させていただきます。1か月後でどうでしょう？」

■予定を確認して折り返す

ついつい「イエス」と言ってしまう人は、この手を使ってまずは時間稼ぎをするのが良い。

いったん時間をおいて考えると、断ることが容易になる。

■自動返信メール

今や多くのメールに装備されているであろう自動返信メールを使うのも一つの方法。

〇〇のため、返信が遅くなる旨だけでも自動返信メールで回答しておくようにすると、苦情や文句はなくなるらしい

■どの仕事を後回しにするか

上司からの仕事の依頼は断りにくい。

機嫌を損ねたら面倒なことになる。

しかし、安請け合いすると結果は悲惨なことになる。

この場合は、上司にトレードオフを求める。

「はい。ではこの仕事を優先でやります。今抱えている仕事のうち、どれを後回しにしますか？」

「今かなりの仕事を抱えているので、これを無理やし差し込むと品質が落ちてしまいます。」

こうすると、たいていの上司は何でも引き受ける”非エッセンシャル思考”のメンバーに仕事を持っていく。

■冗談めかして断る

親しい間柄であれば、冗談めかして断ってしまう

■肯定を使って否定する

喜んで引き受けるふりをして実は断るというテクニックも存在する。

例えば、

「どうぞ僕の車を使ってください。キーはここに置いておきますからね」

というのは、親切な言葉を使いつつも、運転は引き受けないという意思をきっぱりと表している。

■別人を紹介する

「僕は無理だけど、彼は興味を示すんじゃないかな」と、別の人に回してしまう。

【悲報】「フエルモール」への不正アクセスによる個人情報漏えい（ナカバヤシ株式会社）

文具、事務機器、アルバム、家具、事務用品、収納用品など取り扱うオンラインショップである、「フエルモール」にて、不正アクセスによる情報漏洩が発生。

・クレジット情報を含む顧客情報漏洩の可能性がある件数：94件

・クレジット情報を含まない顧客情報漏洩の可能性がある件数：120,000件
　-注文情報
　-購入者情報（氏名/住所/メールアドレス）
　-送付先情報（氏名/住所）

早速、想定損害賠償額シミュレータにて、今回の損害額を試算してみる。

【想定損害額試算結果】
1,454,660,000円

原因が「システムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため」とのことなのだが、該当サイトにおいて、クレジットカード情報が保持されていたのかが少し気になる。

クレジットカード情報の保持が無ければ最低限の対応はクリアできていると考えられる。

クレジットカード情報を保持していない前提で考えると、おそらく決済時に決済事業者につなぐ機能が改ざんされたものと考えることもできる。

こうなった場合の対応としては、万全な対策を施して再開させるのも一つの方法だが、いっそのことサイトを閉じてアマゾンや楽天等のECサイトに移行してしまうのも一つの方法と考える。

【参考】
https://www.nakabayashi.co.jp/news/2020/info/715

サイバー攻撃(攻撃する側)の費用は！？

クラウドが普及して、サーバを立てるにもサーバを買わなくて済むようになり、ストレージを確保するにもストレージデバイスを調達しなくてもよくなった。

企業でもメール等はクラウド化が進んでいると思われる。

クラウドは非常に便利である。

しかし、その利便性は一般のエンドユーザのみならず、サイバー攻撃を行う側にも出ている。

というのも、サイバー攻撃事態もクラウドサービス化されており、サービス提供事業者にコンタクトできさえすれば、低額でサイバー攻撃を委託することができる。

トレンドマイクロの調査では、攻撃のカテゴリごとに下記のような価格でサイバー攻撃の委託が可能な模様。

■DDoS攻撃に必要なBotnetの価格

■標的型攻撃等で用いられるRAT（Remote Access Tool ⇒感染させることで端末の遠隔操作が可能になるマルウェア）の価格

■ランサムウェアの価格

■SMSへのメッセージ送信の価格

金額は米ドル表記だが、法定通貨を使うとどうしても足がつくため、決済は匿名性の高い仮想通貨で行われる。

それにしても金額が安い。

防御する側はそれなりの費用をかけて行っていると思うが、攻撃側のコストが非常に低いことには少し驚いた。