都心中古ワンルームマンションの価格は、ナゼ下がらないのか?(転載)


都心中古ワンルームマンションの価格は、ナゼ下がらないのか?

新型コロナウィルス感染拡大で、東京の中心部から郊外に移動する人が増え、不動産価格は下落すると言われました。しかし、今までのところ都心ワンルームマンションの販売価格は下がっていません。

これには、次のような理由があると思っています。

理由1.変わらない金融機関の担保評価

投資用マンションはローンを借りて購入する人がほとんどです。金融機関の物件評価価格が下がれば、借り入れ可能金額も下がり価格も下落します。

現状では、金融機関の都心中古ワンルームマンションへの評価は、低金利の継続と市場価格の安定から1年前とほとんど変わっていません。

理由2.家賃の高止まり

家賃が下がれば賃貸利回りが低下し、価格にもマイナスの影響となります。しかし都心中古のマンションの家賃は、都心3区などの中心部では上がり過ぎた反動から若干下がっていますが、全体ではほとんど変わっていません。

理由3.購入希望者の増加

在宅勤務の拡大により、時間が増えた人たちが、資産運用に興味を持ち始めネット証券の新規口座開設数は急増しています。金融商品だけではなく、投資用不動産にも興味を持つ人が増えてきています。

理由4.売却するオーナーの減少

既に不動産を保有している人たちは、慌てて売却するより、安定した賃料収入を引き続き得た方がメリットが大きいと考え、売却物件数が減っています。

これらの要因が相まって、投資家の都心・中古・ワンルーム購入ニーズは強く、販売会社が高く仕入れても、売れてしまうことから、販売会社間の仕入れ競争が激化しています。

自社で買取も行っている一部の会社以外は、仕入れコストは、ほとんど変わりません。商品のクオリティもほとんど変わりませんから、価格で勝負するしかありません。自社の利益を削って、価格を下げ、薄利多売で販売数を増やす動きが出てきています。

これは個人投資家にとって、購入コストの低下というメリットになります。


Labels: ,

【悲報】JALは、電子マネー・プリペイドカードへのチャージでのショッピングマイル積算終了を発表!(転載)

JALは、電子マネー・プリペイドカードへのチャージでのショッピングマイル積算終了を発表!

JALは、JALカードからの一部電子マネー・プリペイドカードへのクレジットチャージについて、3月10日請求分よりショッピングマイルの積算を終了すると発表しました。


カード年会費、楽天Edyクレジットチャージ、モバイルSuicaクレジットチャージ、SMART ICOCA、nanacoクレジットチャージ、おさいふPontaクレジットチャージ、au PAYへのauかんたん決済チャージ、PASMOクレジットチャージなどは、以前よりショッピングマイルの積算対象となっていました。



それに加え3月10日請求分から、モバイルPASMO、Google Pay Suica、Kyashアプリ、Kyash card、Vプリカ(オンライン購入含む)、Visaプリペイドカードへのクレジットチャージも、ショッピングマイルの積算が終了します。

私はJALカードをメインカードとして使っています。

電子マネーやプリペイドカードへのチャージ用に、複数のカードを利用しています。

モバイルPASMOなどへのチャージでのショッピングマイル積算が終了してしまうと、またチャージ用のカードが必要となってしまいますね。

詳細はこちらでご確認ください。→ ショッピングマイルの積算対象外となる利用分の追加について(一部の電子マネー・プリペイドカードへのチャージ)
Labels: ,

「攻撃グループLazarusが侵入したネットワーク内で使用するツール」(転載)

07-800wi.jpg


お知らせ:JPCERT/CC Eyes「攻撃グループLazarusが侵入したネットワーク内で使用するツール」:

攻撃者がネットワーク内に侵入した後、ネットワーク内の調査や感染拡大などにWindowsコマンドや正規のツールを使用することはよく知られています。攻撃グループLazarus(Hidden Cobraとも言われる)も同じく、ネットワークに侵入後、正規のツールを使用して、情報収集や感染拡大を試みます。
今回は、攻撃グループLazarusが使用するツールについて紹介します。

ネットワーク内部での横展開

まずは、ネットワーク内部での横展開(Lateral Movement)に使用されるツールです。AdFindはActive DirectoryからWindowsネットワーク内のクライアントやユーザーの情報を収集することが可能なツールで攻撃グループLazarusに限らず他の攻撃者でも使用されていることが確認されています[1]。SMBMapについては、以前のブログで紹介したとおり、マルウェアを別のホストに感染させるために使用しています。さらに、Responder-Windowsを使ってネットワーク内部の情報を収集していたことも確認されています。

ツール名内容参考
AdFindActive Directoryから情報を収集するコマンドラインツールhttp://www.joeware.net/freetools/tools/adfind/
SMBMapネットワーク内のアクセス可能なSMB共有を一覧したり、アクセスしたりするツールhttps://github.com/ShawnDEvans/smbmap
Responder-WindowsLLMNR、NBT-NS、WPADになりすまして、クライアントを誘導するツールhttps://github.com/lgandx/Responder-Windows

情報窃取

情報窃取に使用されるツールは以下の3つです。マルウェアに多くの情報窃取機能が搭載されているため、ツールが使用される場面は限られています。その中でもブラウザーやメーラーのアカウント情報を収集するためのツールが使用されています。また、情報を持ち出す際にファイルなどをRAR形式に圧縮するのが、よく見られる攻撃者のパターンですが、攻撃グループLazarusでも同じくWinRARを使用してファイルの圧縮を行っています。なお、以前のブログで記載したとおりマルウェア自体にzlib形式でファイル圧縮して送信する機能も持っているため、RAR形式以外で情報が送信されることもあります。

ツール名内容参考
XenArmor Email Password Recovery Proメールクライアントやサービスのパスワード情報を抽出するツールhttps://xenarmor.com/email-password-recovery-pro-software/
XenArmor Browser Password Recovery Proブラウザーに保存されたパスワード情報を抽出するツールhttps://xenarmor.com/browser-password-recovery-pro-software/
WinRARRAR圧縮ツールhttps://www.rarlab.com/

その他

最後にその他のツールです。攻撃者はRDPやTeamViewer、VNCなどを使用して感染したネットワーク内にバックドアを仕掛けることがよくあります。攻撃グループLazarusもVNCを使用する場合があることを確認しています。さらに、マイクロソフト純正ツールであるProcDumpを使用していたことも確認しています。ProcDump は、攻撃者がLSASSプロセスのダンプから、ユーザーの認証情報を抽出するために使用されることがあります。
その他に、tcpdumpやwgetなどLinuxではお馴染みのコマンドのWindows版ツールも使用されています。

ツール名内容参考
TightVNC ViewerVNCクライアントhttps://www.tightvnc.com/download.php
ProcDumpプロセスのメモリダンプを取得するマイクロソフト純正ツールhttps://docs.microsoft.com/en-us/sysinternals/downloads/procdump
tcpdumpパケットキャプチャツールhttps://www.tcpdump.org/
wgetダウンロードツール

おわりに

今回は、攻撃グループLazarusが使用するマルウェアではなくツールについて紹介しました。攻撃グループLazarusが使用するマルウェアは、これまで説明したとおり多機能ではありますが、足りないものは正規のツールを悪用していることが確認されています。このような正規のツールはウイルス対策ソフトで検知できないこともあるため、注意が必要です。
なお、今回解説したツールのハッシュ値に関しては、Appendix Aに記載していますので、ご覧ください。

参考情報

[1]Cybereason: Dropping Anchor: From a TrickBot Infection to the Discovery of the Anchor Malware
https://www.cybereason.com/blog/dropping-anchor-from-a-trickbot-infection-to-the-discovery-of-the-anchor-malware

Appendix A: ハッシュ値

注意: ここで記載するハッシュ値は正規のツールが多数含まれているため、インディケータとして使用する際は注意してください。

AdFind
  • CFD201EDE3EBC0DEB0031983B2BDA9FC54E24D244063ED323B0E421A535CFF92
  • B1102ED4BCA6DAE6F2F498ADE2F73F76AF527FA803F0E0B46E100D4CF5150682
  • CFD201EDE3EBC0DEB0031983B2BDA9FC54E24D244063ED323B0E421A535CFF92
SMBMap
  • 65DDF061178AD68E85A2426CAF9CB85DC9ACC2E00564B8BCB645C8B515200B67
  • da4ad44e8185e561354d29c153c0804c11798f26915274f678db0a51c42fe656
Responder-Windows
  • 7DCCC776C464A593036C597706016B2C8355D09F9539B28E13A3C4FFCDA13DE3
  • 47D121087C05568FE90A25EF921F9E35D40BC6BEC969E33E75337FC9B580F0E8
XenArmor Email Password Recovery Pro
  • 85703EFD4BA5B691D6B052402C2E5DEC95F4CEC5E8EA31351AF8523864FFC096
XenArmor Browser Password Recovery Pro
  • 4B7DE800CCAEDEE8A0EDD63D4273A20844B20A35969C32AD1AC645E7B0398220
Winrar
  • CF0121CD61990FD3F436BDA2B2AFF035A2621797D12FD02190EE0F9B2B52A75D
  • EA139458B4E88736A3D48E81569178FD5C11156990B6A90E2D35F41B1AD9BAC1
TightVNC Viewer
  • A7AD23EE318852F76884B1B1F332AD5A8B592D0F55310C8F2CE1A97AD7C9DB15
  • 30B234E74F9ABE72EEFDE585C39300C3FC745B7E6D0410B0B068C270C16C5C39
  • A7AD23EE318852F76884B1B1F332AD5A8B592D0F55310C8F2CE1A97AD7C9DB15
  • 30B234E74F9ABE72EEFDE585C39300C3FC745B7E6D0410B0B068C270C16C5C39
Tcpdump
  • 2CD844C7A4F3C51CB7216E9AD31D82569212F7EB3E077C9A448C1A0C28BE971B
  • 1E0480E0E81D5AF360518DFF65923B31EA21621F5DA0ED82A7D80F50798B6059
Procdump
  • 5D1660A53AAF824739D82F703ED580004980D377BDC2834F1041D512E4305D07
  • F4C8369E4DE1F12CC5A71EB5586B38FC78A9D8DB2B189B8C25EF17A572D4D6B7
Wget
  • C0E27B7F6698327FF63B03FCCC0E45EFF1DC69A571C1C3F6C934EF7273B1562F
  • CF02B7614FEA863672CCBED7701E5B5A8FAD8ED1D0FAA2F9EA03B9CC9BA2A3B




あバックアップ

Labels: ,

セキュリティ予算獲得のためにすべき事 / How to Boost Executive Buy-In for Security Investments(転載)


 セキュリティ予算獲得のためにすべき事

How to Boost Executive Buy-In for Security Investments

セキュリティ予算と侵害対策の成果を結びつけることで、経営陣はリスクに対する支出のバランスを取り、CISOがより高い評価を受けるようになります。

ほとんどの最高情報セキュリティ責任者(CISO)とその経営陣や取締役会との間には微妙な関係があることは周知の事実です。CISOは、岩場(原因)と困難な場所(効果)の間に挟まれています。

CISO が主導する企業のセキュリティプログラムは、セキュリティ侵害から保護することを目的としている。経営者には、ビジネスを許容できない影響から守る義務がありますが、具体的なセキュリティ侵害の結果とそれに伴う影響の管理を具体的な予算に結びつけた、定量化可能でデータに基づいたセキュリティ戦略と行動計画が提示されることは、ほとんどありません(あったとしても)。

これにより、経営者は、投資家、保険会社、反対する法律顧問、規制当局、顧客など、企業のサイバーリスクにさらされている外部からの挑戦者にさらされることになります。しかし、外部からの挑戦者はこれらだけではない。内部的には、CISO は限られた資金で他の事業部門と機会とコストの戦いを繰り広げており、投資対効果がより明確な機能との戦いになっている。

サイバーリスクに対する期待値の設定


これらの課題をより適切に処理するために、セキュリティ計画では、与えられた予算あたりのサイバーリスクの結果のレベルを想定しておく必要があります。これにより、特定の予算に対する期待値を設定するだけでなく、ビジネスが予算を削減したり増やしたりした場合に、CISOはその結果として生じるサイバーリスクの暴露の変化を実証することができます。

セキュリティプログラムの目的は、セキュリティ侵害からの保護にある程度の信頼性を持つことである。経営者は、(国家のような)高度な脅威による侵害からビジネスを保護すべきだと考えているというよりも、むしろ、(膨大な数の)洗練されていない脅威が侵害して許容できない影響を与える可能性があるかどうかを知るための信頼できる情報を持っていないのである。セキュリティプログラムは、サイバーリスクにさらされるレベルを保証できるものでなければなりません。

リスク低減の経済学を正当化する


一般的に、オペレーションリーダー(マーケティング、セールス、ITなどのトップなど)は、企業全体の能力を開発する機会を正当化することが求められています。彼らは、リターンを示すことができれば良いのですが、強いリターンを示すことができれば素晴らしいのです。これらは、どんなビジネスリーダーも逃れることができない、あるいは逃れるべきではない基本的なビジネス経済学である。

CISO は、経営者のドクトリンとうまく調和しない戦略原則という点で、事実上、ビジネスから自己分離している。歴史的に見ても、セキュリティ戦略は、主に脆弱性チェイサー、脅威検出器、フレームワークフォロワー、さらに最近ではリスク計算機を介して推進されてきました。これらは、大部分が近視眼的であったり、抽象的すぎて経営者には結びつかないものでした。

安全保障経済学的アプローチ


CISOは(良い言葉ではないが)セキュリティ経済の時代に移行できるのか?ビジネスのすべてはスライダーに乗っている。コスト対報酬のスライダーである。通常、投資に対してより良いリターンを示せば、経営者の満足度は上昇する。肯定的な結果は、多くの場合、最初から期待値がどれだけ適切に設定されているかによって決まる。CISOが結果に対する期待値を設定していない場合、どのようにしてエグゼクティブに満足してもらうことができるのでしょうか?ほとんどのCISOは、予算の量でコントロールできる違反の影響結果よりも、自分たちが何をするか(または何をしたいか)に固執しすぎているのが現状です。

CISO が経営陣に期待を寄せているのであれば、これらの疑問に答えるセキュリティ経済的なアプローチをとる必要があります。

  1. 何に重点を置いて保護を行うのか - そして、これは正当化されているのか?
  2. どのようなレベルと種類の保護を、どのようなコストで提供できるのか?
  3. 保護レベルを開発するための現実的な計画があるか。
  4. 費用対効果を確保するために、開発と運営を管理し、追跡することができるか。
  5. 私たちの結果は、独立して検証することができるか?
このようにセキュリティをフレーム化することで、リスク選好度は、潜在的なリスクの結果に対して支出のバランスを取ろうとする意思に基づいて、最も有意義な方法で明確になる。このフレームワークでは、支出やセキュリティ態勢に関連する選択肢と同様に、リスクが前面に出てくる。セキュリティ支出に関する曖昧さはなくなり、ビジネスの専門家とリスク選好度に関する最終的な決定は、エグゼクティブスイートであるべきところで行われるようになります。

生活の中で多くのものを購入するときには、サイズと品質のオプションに直面しています。セキュリティプログラムも同様です。規模とは、管理下にある資産の数(保護)であり、品質とは、その保護のレベル(どのレベルの脅威の巧妙さが許容できない影響を引き起こす可能性があるか、どのレベルの脅威が許容できるか)です。

経営者のプランにサイズや品質の異なるスライダーを提供することで、選択肢を提供することができます。これらの選択肢は、様々なレベルの保護を受けるために、あるいは逆にサイバーリスクにさらされている場合に、どの程度の予算を割り当てるべきかを示すものである。彼らが資金を提供しないオプションは、CISOは責任を負いません。

このような計画を立て、それを実現するCISOは、他のビジネスリーダーと一線を画しており、そのレベルのリーダーと見なすことができます。CISOが十分な尊敬を得られていない、あるいは聞き入れてもらえていないと考えるならば、それはリスク/報酬に基づいた分析をCスイートの仲間たちに合わせて提示していないからかもしれません。

今こそ、CISO は、岩と岩の間から、現代のセキュリティ経済的な CISO になるために、自分自身を再配置する時である。これにより、CISOは役員会や取締役会のテーブルに座ることができるようになります。




Labels: ,

(たぶん)日本初、Clubhouseで決算説明会 東証1部・GMOペパボが開催 「社長がきのう突然……」(転載)~個人的にこういう会社は嫌だ~


(たぶん)日本初、Clubhouseで決算説明会 東証1部・GMOペパボが開催 「社長がきのう突然……」

 音声SNS「Clubhouse」で2月3日夕、東証1部上場企業・GMOペパボの決算説明会が開かれる。Clubhouseで日本の上場企業が決算説明会を行うのは、おそらく日本初。佐藤健太郎社長が、リスナーからのさまざまな質問に答える。

 「社長がきのう突然、Clubhouseでやろうと言い出して……」と担当者は困惑しつつも、1日で準備を整えたという。

  GMOペパボは、2020年12月期(通期)の決算を3日午後3時半に発表。午後4時半からアナリスト・機関投資家向けの決算説明会(事前登録制で原則非公開)をWebで行い、音声のみClubhouseで配信する。

 午後5時半からは、Clubhouseに佐藤健太郎社長などが現れ、「決算振り返り会」という形でリスナーと交流する。番組のタイトルは「Clubhouse決算説明会を終えた渋谷の一部上場lT社長がだいたいなんでも答える部屋」だ。

 佐藤社長は2日朝突然「明日の決算説明会をClubhouseでもやろう」と言いだし、担当者は対応に追われたという。“Clubhouse決算説明会”の運営を検討する会議もClubhouseで行い、社外リスナーからの意見も採り入れながら内容を固めていった。

 Clubhouseは、米国発の音声SNS。現在はiOS専用で、ユーザーから招待されれば利用できる。1月末ごろから日本で急速に流行し、IT系の企業経営者や芸能人などの参加も増えている。


Labels:

CISベンチマーク 2021年1月アップデート / CIS Benchmarks January 2021 Update(転載)

CIS_Benchmarks_Community


Blog | CIS Benchmarks January 2021 Update:

CISは、以下のCISベンチマークのリリースを発表します。これらのCIS Benchmarkのリリースは、チケット、コメント、コミュニティコールへの参加など、コミュニティへの貢献者の皆様の時間とサポートなしでは実現できませんでした。皆様の貢献は、私たちのコンセンサスプロセスにとって非常に貴重なものであり、ボランティア活動に感謝しています。

CIS Cisco NX-OS Benchmark v1.0.0

Cisco NX-OS を実行している Cisco デバイスの安全な設定を確立するための規定的なガイダンス。

この初期リリースに貢献してくれた Rob Vandenbrink に感謝します。

Download the CIS Cisco NX-OS Benchmark PDF

CIS SecureSuiteメンバーは、CIS WorkBenchにアクセスして、他のフォーマットや関連リソースをダウンロードすることができます。

CIS Apache Tomcat 9 Benchmark v1.0.0

Linux 上で動作する Apache Tomcat バージョン 9.0 のために安全な設定を確立するための指針です。このガイドは、Apache が提供する tar パッケージによってインストールされた Apache Tomcat 9.0 に対してテストされました。このリリースでの主な変更点:

  • 勧告「厳格なサーブレットのコンプライアンスを有効にする」は、その影響の可能性があるため、レベル 2 に移動されました。
  • TLS の使用に関するガイダンスが更新され、TLS バージョン 1.2 および/または 1.3 を推奨するようになりました。
  • マネージャーアプリケーションパスワードを暗号化するための新しい推奨事項が追加されました。
  • アーティファクトは、CIS-CATの将来のリリースに含まれる新しい自動化された評価コンテンツをサポートするために、多数の推奨事項に追加されました。

このリリースに貢献してくれたJoern Krueger氏、James Scott氏、Ardnor Zeqiri氏に特別な感謝の意を表します。

Download the CIS Apache Tomcat 9 Benchmark PDF

CIS SecureSuiteメンバーは、CIS WorkBenchにアクセスして、他のフォーマットや関連リソースをダウンロードすることができます。

CIS Apple macOS 10.12 Benchmark v1.2.0

Apple macOS 10.12のセキュアな構成姿勢を確立するための処方的なガイダンスです。このガイドはApple macOS 10.12に対してテストされています。このリリースでの主な変更点:

  • パスワードポリシーセクションの監査と是正処置を更新しました。
  • CIS コントロール v7.1 を追加しました。

このリリースに携わってくれたロン・コルビンとウィリアム・ハリソンに特別な感謝の意を表します。

Download the CIS Apple macOS 10.12 v1.2.0 Benchmark PDF

CIS Alibaba Cloud Foundation Benchmark v1.0.0

これは、Alibaba Cloud のための新しい CIS ベンチマークである。このベンチマークには、基礎的な設定、テスト可能な設定、アーキテクチャに依存しない設定に重点を置いた、Alibaba Cloud サービスのサブセットのセキュリティオプションを設定するための指針が記載されている。ここでは、その内容を簡単に紹介する。

  • アイデンティティとアクセス管理(IAM)の設定
  • ロギングとモニタリング構成
  • ネットワーク設定
  • 仮想マシンの設定
  • ストレージ構成
  • リレーショナルデータベースサービス(RDS)の設定
  • Kubernetesエンジンの設定
  • アリババクラウドセキュリティセンターの設定

コミュニティ、編集者、Alibaba Cloudチームに感謝します。

Download the CIS Alibaba Cloud Foundation Benchmark PDF
Labels: ,

今イチオシのYouTubeチャンネル情報:Russian OSINT(転載)


今イチオシのYouTubeチャンネル情報です youtube.com/c/RussianOSINT…: 今イチオシのYouTubeチャンネル情報です
youtube.com/c/RussianOSINT…

Labels: ,

超高性能な機械翻訳システム”DeepL”の無料版で翻訳すると情報はアップロードされるか⇒YES(転載)


SttyK (してぃーきっず) retweeted: DeepLの無料版で入力された文は、アイスランドにあるDeepLのサーバー内に保存されるそうです。有料のPro版は保存されないとのことなので、機密情報の翻訳にはPro版を利用するべきだそうです。 Wikipediaにもそれらしき情報が書かれてるみたいだけど、DeepLの人がそう言ってたから確実な情報:
DeepLの無料版で入力された文は、アイスランドにあるDeepLのサーバー内に保存されるそうです。有料のPro版は保存されないとのことなので、機密情報の翻訳にはPro版を利用するべきだそうです。
Wikipediaにもそれらしき情報が書かれてるみたいだけど、DeepLの人がそう言ってたから確実な情報
Labels: ,
登録: 投稿 (Atom)