[怪談]VirusTotal沼のお話(転載)~VirusTotalに気軽にファイルアップロードするとどうなるかが良くわかる(笑)~


[怪談]VirusTotal沼のお話(対策含):

こんにちは。今回はセキュリティ関連の調査で非常に便利なサイトである、皆様お馴染みのVirusTotalについて書いてみようと思います。もちろん、タイトルにある通り、「怪談」ですので、一般的な使い方のお話についてはしませんよー。

VirusTotalの裏コマンド「VTENTERPRISE」

 やや煽り気味のタイトルですが、VirusTotalには大きく二つの「サービス」があることはご存じでしょうか?一般の方が使うのはいわゆるVirustotalといわれるこちらです。こちらは無料で使えます。

画像1

 他方、セキュリティ企業やセキュリティを重視する企業がお金(年額120万円以上/Person)を払う事で使えるのが、Virustotal Enterpriseというものです。

画像2

VirusTotal Enterpriseは無償のVirusTotalと比較すると様々な機能が追加されています。大きくこのような機能が提供されています。

・アップロードされているファイルを閲覧、ダウンロードする機能
・ファイルを様々な条件を用いて検索する機能

 ダウンロードについては読んでそのままですので、「沼」としては検索機能が該当するのではないでしょうか?

[VT Intl]様々な条件を用いて検索する機能

  セキュリティ企業等は、VTENTERPRISEの機能を使い、調査を行います。その調査に使われるのが、VirusTotal Intelligence(VT Intl)と呼ばれる機能です。

画像3

[search]を使って検索 

実際にどのような検索ができるのか、ちょっと見てみましょう。

画像4

 詳細についてはこちら(VirusTotal Intelligence Introduction)にご紹介があります。色々できることがわかるかと思います。例えば"File name"検索もできます。メタデータであるとかも検索が可能です。ちなみに、ファイルに含まれる文字列の検索も可能です。

Huntingを使ったファイルの調査

 searchでは、search機能を使ったファイルの検索について書きました。VT Intlにはもう一つ、ファイルを検索する機能があります。それがVT Huntingと呼ばれる機能です。VT Huntingは"YARA"と呼ばれるエンジンとYARA Rulesと呼ばれるルールを用いて条件(ruleに係れている条件)に一致したファイルを見つけます(YARAは本来、グルーピングを目的としているため、「検索」としてしまうのは言葉としては相応しくないかもしれません)。
 VTHuntingには大きく二つの機能があります。一つ目は「Livehunt」です。LivehuntはVirustotalに新規にアップロードされてきたファイルを見つけます。もう一つが「Retrohunt」です。Retrohuntは過去90日(※日数はライセンスに依存)、Virustotalにアップロードされてきたファイルを見つける機能です。Virustotalで実際につかっているYARA Ruleについて、簡単なサンプルをお見せしたいと思います。

画像5

 ルールはこのようにして書きます。このルールだとGoogle Chrome Extension、CRX3フォーマットのファイルでかつ、Antivirusエンジン2種以上がマルウェアとして判定しているファイルを見つけます。Livehuntの結果はこのような感じです。

画像11

 このYARAは常時稼働しており、条件に一致したファイルがVirustotalにアップロードされてくるとアラートを発報させることが可能です。

VirusTotal沼と怪談

 ここまでで、VirusTotalの一般的な機能についてご紹介をしました。ここからは本題の「沼」と「怪談」についてお話をします。沼、というかビッグデータというか…沼と書いたのは、調べ始めると抜け出せなくなる、という観点で沼とかきました。怪談はこれまた恐ろしいお話です…

VirusTotalにはどんなファイルがアップロードされているのか?

 ここまででご紹介したファイル検索等の機能を用いて調べていくと、VirusTotalには様々なファイルがアップロードされていることがわかります。「真っ当な」ところから行ってみましょう。

画像6

 こちらはLODEINFOと呼ばれるAPT(Advanced Persistent Threat)で使われたMalwareです。このようなファイルがアップロードされてくることがあります。さて、沼の本領発揮はここからでしょうか? 例えば~という名前が含まれるファイルを探してみます。

画像7

 な…なんか香ばしい名前のファイルが見えてきました💦 VirusTotal上で見てみましょう。VTENTERPRISEでは、一部のファイルはVT上で閲覧することが可能です。

画像8

げ。。。。気を取り直して。。。💦

画像9

ちょおま。。。警視総監ってだれよ

画像10

 Orz げにおそろしや。まさに怪談です(?)。

画像20

画像22

これは絶対ダメだろう…実は組織も特定できていますが、その組織がセキュリティ対策としてどのような部分を強化しようとしているのか丸見えです。2017年時点でOSINT能力の向上を図る他、Celebrite…(恐)
実はこのほかにも沢山、絶対に表ではかけないようなものも沢山見つかります。探し出して分析するとそれこそ無限にあるのでは?というほど出てくる、そう、始めると沼にはまります。そんな沼、過去に見つけたものとして、日本国内の空港のフロア図面であるとか(恐)。相手先が特定できるものについては連絡を取ることもあります。

なぜこのようなことが起きるのか?

 今回のBlogの目的はこういう実態を晒すことが主目的ではありません。なぜこのような事が起きるのか?機微な情報をアップロードしてしまった組織の担当者の方にヒアリングした結果見えて理由が二つありました。

原因1: 従業員が不審と思ったファイルを勝手にアップロードした

 一番想像に難くないのがこの理由ではないでしょうか?もし貴方の組織が情シスなりセキュリティ部門があるのであれば、これについては対処すべきです。時々見るのが標的型メール訓練につかわれたマテリアルがアップロードされているケースです。

画像12

画像13

 このケース、アップロードした従業員だけに非があるのでしょうか?個人的にはそうは思いません。

原因1への対応: 教育とアクセス制限の実施

 まずは教育です。このような外部のサービス(約款に基づく外部サービス)にアップロードすることのリスクについて、具体的に説明をするべきです。外部にファイルをアップロードすると、必ず誰かに見られている=情報は漏洩している、という事を、教育によって具体的な脅威を意識付ける事が大切です。コンサルティングをしていると従業員向けに「情報漏洩に繋がる事から外部にファイルをアップロードしてはならない」といった記載が見受けられますが、VTのようなLegitなサービスにおいても、そのようなリスクがある、ということ(Legit、特にマルウェア解析系サービス)はインプットすべきです。
 と同時に、企業など組織においては、可能であればアクセス制限を実装することを推奨します。HTTPSが標準化されている昨今、アクセス制限実装のハードルが高くなっている事も事実です(※)。HTTPSをPROXY等を用いてデコードをしている場合はHTTPのPOST量制限を行いUpstream通信の量を制限する事も一つの選択肢となります。
(※ハードル:ここでいうハードルは大きく二つあります。一つはHTTPSはデータが暗号化されていて可読ではない事。もう一つは可読とする場合、追加投資が必要な他、実装する装置に大きな負荷がかかり、スループットが極端に落ちる事が挙げられます。)

原因2: ブラウザエクステンションにより、バックグラウンドでアップロードされた

 意外と多いのがこのケースです。かなり詳しい方(だからこそ起きやすい事故ではあるのですが)を中心に、情シスやセキュリティ担当部門で発生するケースがこれです。VirusTotalにはFireFox、Chrome向けにブラウザエクステンションが用意されています。

画像14

Browser Extensions

 このブラウザエクステンション、Scan downloads before storing them と呼ばれる機能があります。

画像15

 この機能の注釈をよく読んでいただければわかると思います。日本語訳(意訳含む)したものがこちらです。

親友のJohnDoeからスライドプレゼンテーション付きのメールが届いたとします。これらのスライドには、コンピュータを危険にさらすエクスプロイトコードが含まれていることがよくあります。ウェブメールのスライドプレゼンテーションをクリックすると、ダウンロードダイアログが表示されます。あなたは用心深いユーザーなので、まずはVirusTotalでファイルをスキャンすることにしました。ファイルがVirusTotalパートナーおよびプレミアム顧客と共有されるという事実を考慮し、ファイルの内容が共有に適していること十分に理解しています。

 そのうえで次の内容を見てみましょう。

画像16

You can also decide if you want to send Documents to VirusTotal. This is important because you should not send documents with sensitive information to VirusTotal.

 実はデフォルトではファイルは送られません。しかし、設定によっては、ダウンロードしたファイルがVirustotalに送られてしまう事がここからもわかるかと思います。
 最近ではMUAを持たず、ブラウザ経由のWeb Mailでメールを読むことが多いかと思います。VTに漏洩したケースについて当該組織にヒアリングすると、Web Mailを使っていたユーザが、メールの添付ファイルをブラウザ経由でローカルにダウンロードした結果、このExtensionによりすべてのファイルがVirustotalに送られてしまったケースを多数聞いております。

原因2への対応: Browser Extensionの管理(と教育)

 ChromeではBrowser Extensionの管理が可能です。そのような機能を使って、対象組織へガバナンス、エクステンションの利用制限を効かせることが、一つの対策になります。また端末内のファイル操作をモニタリングをすることでもある程度の把握は可能です。
 本件の趣旨からは逸脱しますが、Browser ExtensionについてはPUPsに該当するような不審なExtensionを観測する機会も増えています。組織においてはBrowser Extensionの管理について、実施検討をすすめられも良いかもしれません。

追加: あげないほうが良いファイル

 よく見かけるのがメール関連のファイル(.eml、.msg等)です。メールについてはメール本体をアップロードしても、良い結果を得る事はほぼありません。むしろ…

画像17

 このような形でヘッダが見られてしまう事から、どこの組織がファイルを送ったのか、特定ができてしまいます。過去に標的型攻撃につかわれたメールをそのままアップロードしていたケースもあり、その結果どこの組織が狙われていたのかがわかってしまいました。メールについて、もし不審な点があるようであれば、「何もしないで削除する(特に個人の場合)」か、「担当部署に相談する(組織の場合)」が正解です。先にも書きましたがメール本体をアップロードしても、良い結果を得る事はほぼありません。私に今夜のオカズを提供したいのであれば、ぜひお願いします。メールのアップロードは監視対象としています。

誤ってあげてしまった場合の対処

 VirusTotalについては、個人情報や機密情報が含まれるファイルについては削除に応じています。もし誤ってファイルがアップロードされてしまった場合は速やかにVirustotalに連絡をして、削除等の依頼をしてください。ただし、そのファイルがMaliciousと判定されていた場合、その対応は容易ではないこと(断られる)は留意してください(過去にそのようなケースがありました)。
I accidentally uploaded a file with confidential or sensitive information to VirusTotal, can you please delete it?

画像18

まとめ:

 今回は「Virus Total沼」と題して、VirusTotalを使う事で発生しうるリスクについて書かせていただきました。しかし、これはVirus Totalに限った話ではありません。他のファイルスキャンサイトであったり、ファイル変換サイトであったりと、様々なところで、リスクになりうるサービスとその利用が考えられます。その点については十分に注意をされることを推奨します。
 さて、最後に、「沼」と書かせていただきましたが、結局はこれは何かと言うと、私が独自に作成したルールに合致したファイルを毎日にように見て、晩御飯のおかずにして、そしてそれがいつまでたっても終わりが見えない様を「沼」と表現していました。今後もおかずを安定供給していただきたく、機微度の高いファイルがアップロードされてくるのを待っておりますぞ!(本当にやばかったらすぐにCSIRTにDMしますので、ご安心ください)

サイバー攻撃者、誤って盗んだ資格情報をGoogle検索可能にして手の内を暴かれる / Passwords stolen via phishing campaign available through Google search(転載)

phishingPasswords stolen via phishing campaign available through Google search:

フィッシングキャンペーンの運営者の悪手が、攻撃で盗まれた資格情報を公開し、Google クエリで公開していた。

チェック・ポイント・リサーチ社とサイバーセキュリティ企業オットーリオ社の専門家が、世界の数千の組織を標的にした大規模なフィッシング・キャンペーンに関する調査の詳細を発表しました。

このキャンペーンは8月から行われており、攻撃者はXeroxのスキャン通知を装った電子メールを使用し、受信者に悪質なHTML添付ファイルを開くように促していました。このトリックにより、攻撃者は Microsoft Office 365 Advanced Threat Protection (ATP) フィルタリングを回避し、1000人以上の企業従業員の資格情報を盗み出すことができました。

専門家は、フィッシングキャンペーンの背後にあるオペレーターがエネルギーと建設会社に焦点を当てていることに気づいたが、簡単なグーグル検索で一般に公開されている攻撃で盗まれたクレデンシャルを誤って公開してしまった。

建設・エネルギー部門を標的としたフィッシング・キャンペーンの運営者が、簡単なGoogle検索で一般に公開されている攻撃で盗まれた資格情報を公開しました。

"興味深いことに、攻撃チェーンの単純なミスにより、フィッシング・キャンペーンの背後にいる攻撃者が盗んだ資格情報を、攻撃者が使用していた数十台のドロップゾーン・サーバにまたがって、公衆インターネットに公開してしまいました。Google で簡単に検索すれば、誰でも、漏洩して盗まれたメールアドレスのパスワードを見つけることができました。

被害者がHTMLファイルをダブルクリックすると、文書内にあらかじめ設定されたメールが入ったぼやけた画像がブラウザで開かれます。

HTMLファイルを起動すると、バックグラウンドでJavaScriptコードが実行され、パスワードを収集し、攻撃者のサーバーにデータを送信し、ユーザーを正規のOffice 365ログインページにリダイレクトします。

フィッシャーは、独自のインフラストラクチャと、盗まれたデータを保存するために使用されるWordPressのウェブサイトを侵害した両方を使用していました。

"悪質なPHPページ(名前は「go.php」、「post.php」、「gate.php」、「rent.php」、「rest.php」)をホストし、フィッシング攻撃の犠牲者からのすべての受信資格情報を処理する数十台の侵害されたWordPressサーバーを発見しました。"と投稿は続きます。

"攻撃者は通常、既存のウェブサイトの知名度が高いため、自社のインフラではなく、侵害されたサーバーを利用することを好みます。評判が広く認知されていればいるほど、セキュリティベンダーによって電子メールがブロックされない可能性が高くなります。

メールはMicrosoftのAzure上にホストされているLinuxサーバーから送信され、PHP Mailer 6.1.5を使用して送信され、1&1のメールサーバーを使用して配信されることが多かった。

また、攻撃者は危険なメールアカウントを介してスパムメッセージを送信し、正当なソースからのメッセージであるかのように見せかけています。

ドロップゾーンのサーバーに送られたデータは、Googleがインデックスを作成できるように、公開されたファイルに保存されました。これは、Googleで簡単な検索をすれば誰でも利用できることを意味します。

盗まれた資格情報~500件のサブセットを分析した結果、被害者はIT、ヘルスケア、不動産、製造業など幅広い対象業界に属していることが明らかになりました。

チェック・ポイントは、その調査結果をGoogleと共有しました。

専門家は、このキャンペーンで使用されたJavaScriptのエンコーディングが、2020年5月に行われた別のフィッシングキャンペーンで使用されたものと同じであることに気づいた。

[OSINT]Shodanを使ってFileZenを探せ(転載)~すごく参考になるOSINTの事例~



VTの件、なかなかウケが良かったのは嬉しかったです。 あわせてこちらも改めて… [OSINT]Shodanを使ってFileZenを探せ その1|__aloha__ #note note.com/hiro_shi_note/…: VTの件、なかなかウケが良かったのは嬉しかったです。
あわせてこちらも改めて…

はじめに

FileZenというツールをご存じでしょうか?FileZenはソリトンシステムズ(株)が開発する、ファイル共有アプライアンスです。FileZenを使っている層は官公庁、地方自治体や企業等の法人です。FileZenでGoogle検索をすると、このように広告が載る事からも、主なターゲットは自治体と言えます。

画像1

そんなFileZenですが、2020年12月2日に脆弱性が公表されました。脆弱性についてはJPCERT/CCからも注意喚起が発出されたことからも、それなりに注目度が高い、と言えます。残念ながら現時点ではCVEは確認できず、脆弱性の種類も何なのか、不明といった状況です。(情報更新:12月10日にソリトンシステムズ(株)から脆弱性に係る情報が詳細の公開されました。https://www.soliton.co.jp/support/2020/004278.html

画像26

今回はそんなFileZenを、前回の記事同様、主にShodanを使って調査をしてみたいと思います。なお、記事の長さの関係上、その1とその2にわけて記します。その2については後日、公開をします。

1章: Filezen特定の足掛かりを見つける。

 Shodanを使って調査をする場合、まずは調査の起点となる足掛かりを見つけることから始めます。FileZenのフィンガープリントを探すためにFileZenの公開サーバを探します。この手のツールはだいたい、Youtubeで使い方を公開していたりします。今回はCTCさんが動画を公開していました。


これをみているとわかるのですが、

画像3

ログイン画面が存在しており、画面内から"FileZen, Copyrights(C)"の文字列がありそうな事が伺えます。この辺は調査に使えそうです。しかもCopyrightsにYearも入っています。これはもしかして…
 それではGoogleを使ってFileZenを使っているホストを特定します。Googleで"Filezen"を検索します。検索結果のほとんどはSolitonさんのページなのですが、その中に一つ気になる結果が含まれています。

画像4

 どうもPDFでつくられた利用マニュアルのようです。実際に見てみましょう

画像5

早速URLが特定できました。その他、参考になる情報がいろいろ含まれていました。実際にアクセスをしてみます。

画像6

FileZenですね。その他、以下のように調査すると「それらしい」結果が返ってくることわかっています。

画像7

まずは滋賀案件を手掛かりに調査を進めます。

画像8

IPが特定できました。

2章 足掛かりをもとに実調査のフェーズ

第1章ではIPの特定までできました。それでは調査を進めていきます。このIPをShodanをつかって検索します。

画像9

 見つかりました。ここからもう少し掘り下げていきます。"View Raw Data"からスキャン結果を見ていきます(ここからは要ログイン、課金が必要な場合があります)。
 Raw Dataですが、Finger printとして使えそうなデータが多数含まれています。今回は大きく二つ、Finger printの候補がみつかりました。一つはfavicon、もう一つはtitleです。

画像10

これは攻撃者にもよくみられる「パッケージで買ってきたものを変更しないままデフォルトで使ってしまう」という”Bad habbit”が見られる箇所です。特にFaviconについては存在に気が付かない事があり、デフォルトのまま残ってしまう事も多く、攻撃者インフラの特定にも使える技術となります。今回のこのケースですがどうもデフォルトでFileZenのFaviconが使われているようです。下がそのFaviconになります。

画像11

 もう一つはTitleですが、これは変更済ケースがあることを先のGoogle検索の結果から得られています。とはいえ、デフォルト運用している、”より意識の低い”組織の特定には使える要素です。
 それではハッシュ値を使った検索手法で調査をします。検索式は
”http.favicon.hash -1338145819”  です(要ログイン)。

画像12

このFaviconを使っていたホストは224IPあることがわかりました。
ちなみに、タイトル検索についてはhttp.title:FileZenの検索結果はこちらです。

画像13

 それぞれの結果をORで集計して重複を排除すればホストの特定はできそうです。個人的にはホストを特定するところは技術的な観点では興味がないのでやりません。その2で結果のバルクダウンロードのテクニックも書こうと思いますので、もしご興味あるかたはやってみてはいかがでしょうか?
 さて、この検索結果を得て、内容を見ていて、「モヤっ」とした、あることに気が付きました。それが次の章です

3章: モヤっ1?他に調査手法・観点があるのでは?

 得られた結果について、ぜひじっくり見ていただければと思います。そして違和感に気が付くのではないでしょうか。それはResponse headerです。

画像14

2012年です。あまりに古すぎて違和感を感じます。別のホストを見てみましょう。

画像15

これもLast-Modifiedが同じだ。まさかこの2012年のLast ModifiedはFilezen特有のものではないか?と感じたら検索です。
"Last-Modified: Sat, 29 Dec 2012 06:08:22 GMT"

画像16

 上図の結果をみていただければおわかりいただけると思いますが、Faviconを変更したとしてもFileZenで動いているホストが見つかってしまっています(もっとも、タイトルがFileZenですので、タイトル検索の結果からもこのホストに係る情報は得られています)。この検索手法の場合、関係のないホストが結果に出てしまう欠点はあるのですが、調査の手掛かりのヒントにはなります。さて、このLast Modifiedですが、これがさらなるモヤッにつながります。

4章: モヤっ2?Last Modiedのヘッダは、何に依存?

 'Last-Modified: Sat, 29 Dec 2012 06:08:22 GMT'の謎は何なのか。実際にこのResponceヘッダを返してくるホストにアクセスしてみます。 

画像17

ここのホストにアクセスしてみます。注目は表示されたWebページのフッタです。

画像18

 2008-2018年のCopyrightです。実は他のホストも同じような傾向を示しています。別のヘッダをみてみます。

画像19

このケースは2019年です。このWebを見ると以下となります。

画像20

2019年のヘッダの場合、Copyrightは2019年までとなっています。2020年のヘッダの場合は

画像21

画像22

となっています。すべてを調べているわけではありませんが、どうもヘッダのLast Modifiedを以てFileZenのファームウェアのバージョンの特定まではいかないものの、バージョンの推測ができるかもしれません。そこであらためて今回発出された注意喚起を見てみます。

画像23

 今回の脆弱性については2019年1月30日にリリースされたバージョン以降に該当するとの記載が確認できます。

 ヘッダが示す2012年のホストに存在するCopyrightが2018年まで、となると、2012年のLast Modifiedを持つホストは脆弱性パッチが当たっていないのでは?=脆弱性が存在している、と疑いの目を持っている次第です。

その1のまとめ

 今回の脆弱性について、幸い、POC(Proof Of Concept: 脆弱性を実証するコード)は確認できていないため、攻撃を成立させる事はキディレベルであれば難しいと考えられます。また、そもそも脆弱性が不明という事もあり狙うためのモチベーションも高くならないのではと想像します。
 とはいえ、過去に公開されたFilezenの脆弱性を確認すると

画像26

RCEとDirectory traversalです。少し気になっているのが、今回リリースされたパッチは、過去のバージョンに遡って対応をしている事です。脆弱性の種類については現時点では不明ですが、この時の修正漏れが原因であれば、同様の脆弱性である可能性は想像に難くありません。
 いろいろと書き連ねてきましたが、エンタープライズ、個人においてもパッチ管理はセキュリティにおける基本中の基本。特にインターネットに公開されているシステムについては脆弱性が公開された場合、即時対応が基本だと考えます。
 そういった観点ですと、

画像24

 CAO=内閣府さんに限らずですが、公開サーバのパッチマネジメント、大丈夫ですか?と心配になってしまいます(余計なお世話)。と同時に開発側も、バージョンを推測できるような不用意な実装な避けるべきでしょう。もちろん、今回のケースではバージョンが確実にこれだ、と特定できたわけではありません。しかし、攻撃の戦略を組み立てる中で最小限の工数で最大限の成果を得ることは基本です。バージョンが推測できるなら、まずはそこを狙うのは攻撃者の心理として想像に難くないと考えます。もしこれが、デコイなのであれば、心配は稀有であり、流石です、の一言になります。

もし明日、逮捕されたら~無罪にできる可能性がある唯一の手段~


家族や身内が、もし逮捕されたら。

普段、決して想像することのない事案となり、長い人生においてもニュースやネット記事だけの話で一切関与しない方もいるでしょう。

勿論、あってはならないことです。

仮に逮捕されれば、留置所に収監されてしまうことになり、その後起訴に至れば、有罪率は“99.9%”。

初犯で微罪の場合は”執行猶予”が付く可能性もありますが、そうでない場合、刑務所行きは確定です。

従って可能であれば、いえ絶対に起訴されることは避けたいところ。

今回、そんな絶望的な状況下でも奇跡的に起訴されずに済む、要は“無罪”になるかも知れないという唯一の手段をご紹介いたします。

現在は無縁の方も、頭の隅にでも入れておくだけで役に立つ話です。

現代の日本では、ある手段により逮捕されても、起訴を回避できて“無罪”にできる可能性があります。

それは“贖罪(しょくざい)寄付”。

贖罪寄付(Wikipedia)

“贖罪”とは、その名の通り、罪を贖い、償うという意味となります。

そして“贖罪寄付”は、その反省の思いを金銭に代えて、慈善団体や弁護士会などに”寄付”する行為で被害者がいない犯罪や、被害者に示談に応じてもらえないケースで情状酌量の手段の1つになります。

一般的な重刑の場合、効果は余り期待できませんが、”贖罪寄付”により、刑事事件の処分が軽くなり本来、起訴の流れとなる事案でも不起訴への可能性が高くなります。

“贖罪寄付”をする時期に関しては送検された後が一般的のようです。

“贖罪寄付”を依頼される弁護士は国選弁護士より私選弁護士の方が費用は掛かりますが効果的ですし“法テラス”でも受付をしています。

贖罪寄付のご案内(法テラス)

逮捕されて地獄に落ちてしまう前残されている1つ救済措置となり覚えておいても損はないでしょう。

区分投資のレジェンド、 芦沢晃さんによる、不動産投資で失敗しないための勉強の仕方~役に立った書籍や勉強会~(転載)


不動産投資で失敗しないための勉強の仕方。役に立った書籍や勉強会。

不動産投資での失敗は文字通り、命取りになります。そこで大切になるのが勉強です。私が大家さんの色々な集まりのお仲間に入れて頂くようになって、15年程度が過ぎました。今も機会があれば、色々な会合へ参加して勉強させてもらっています。

そこでお会いする方の中には、複数の投資区分分譲マンションを多額の融資で購入し、毎月持ち出しになっているという方もいらっしゃいます。投資される前に、こういった会で先輩大家さんのアドバイスを受けていれば…と痛感致します。

そこでふと思い浮かんだのが、私が青春時代に愛読した作家の一人、中島敦です。


 格調高い漢文調の洗練した文体の「 山月記 」は、唐代、孤高の秀才、隴西の「 李徴 」が虎になってしまう。という清朝の説話集『 唐人説薈 』中の「 人虎伝 」( 李景亮の作 )が素材になっているといわれ、ドイツの文豪カフカの「 変身 」にも似たフィクション物語です。

李徴が虎になってしまった原因は、自身の臆病な自尊心、尊大な羞恥心故に、周囲と交わらず切磋琢磨しなかった怠惰だと気付き、虎の姿で偶然再会した旧友に之を語る。という、芸術家の運命の悲哀や狂気を告白的に描いているストーリーです。

李徴ならずとも、心当たりのある方は多いように思います。株式投資なら一人、孤高のデータ分析で勝てるかもしれませんが、不動産投資はどんな優秀な人でも周囲とのネットワークなしに成功はあり得ません。

マネーの「 虎 」と化し、一人孤独に多額の負債を背負い、「 人 」を辞めないまでも法人破産して事業主をやめることになってしまう…。そうならないよう、ぜひ、大家さん仲間を作り、勉強の機会を増やしていきましょう!

初期の頃の私の勉強の仕方


私の不動産投資の師匠は沢孝史氏です。2004年に筑摩書房さんから「 お宝不動産で金持ちになる 」を出版され、ご自身も大家仲間の相互交流を目指して「 お宝不動産セミナー 」を主催されました。( 今は開催されていません )


私も縁あって、ボランティア( 無理やりおしかけて弟子入り? )でセミナーをお手伝いさせていただきました。そのおかげで今の自分があると本当に感謝しています。

このセミナーの根底は「 主催者=講師=不動産投資家、同じ立ち位置で勉強&実践する 」ことでした。この「 同じ立場 」で切磋琢磨しあうことが非常に大切だと感じています。

それまで、マンション業者さんの販売セミナーや、ハウスメーカーさんの地主さん向けセミナー等はありました。しかし、「 大家仲間相互供与のセミナー 」はなかったように思います。

例えばその集まりでは、戸建大家の方が講師の会では、地中を含めたセルフリフォームの話を伺い、その難易度は兼業大家には容易でないと感じました。部分的ですが、区分物件に生かせる方法を実践するヒントも頂けました。

元不動産賃貸仲介会社店長の方が講師だった時は、区分零細兼業大家の非力さを思い知らされました。弱者なりに、自主管理の賃貸付けのヒントをキャッチすることで、どうすれば客付業者さんの心を掴めるのかを考え、トライするきっかけとなりました。

RC一棟物に投資されている方が講師だった時は、管理組合での建物管理や設備保守の維持費について、スケール感を掴めました。

また、融資と物件購入のタイミング&巨額の資金ハンドリング等を整合させる難しさを知りました。同時に、キャッシュの強さと現金買いのフットワークの軽快性を再認識できました。

自主企画の木造狭小新築アパートを運営されている講師のお話も面白かったです。そのようなアパートは好立地の駅近区分マンションの強力なライバルとなります。自分の物件に何を取り込んでいったら競合生存できるのか?を研究するきっかけになりました。

2次会の席で、銀行員の参加者の方に、区分物件の担保価値の弱さについて、プロの目で語っていただき、戦略を立てる上で役立ったこともあります。他の投資手法を実践する方の話をフィードバックすることで、自分の区分物件運営に活用できたわけです。

物件を買う前に不動産投資家同士の集まりに参加しよう


私は26年間大家を続けています。区分物件での零細個人大家業のままですが、当時、「 お宝不動産セミナー 」へ参加されていた方々は、それぞれに成功した不動産ビジネスモデルを確立され、各分野でご活躍中です。( 俗に言う、キラキラ大家や、共食い大家ではなく… )

大家業はもちろん、メディアを通じての情報発信、インターネットでの投資不動産販売、不動産情報サイトの運営、教材販売、良心的コンサルタントなどなど。中には東証1部上場を果たし方もいらっしゃいます。

その時代の権威や格式に縛られず、変革期に有志が集まり、多くの人材を生んだ、緒方洪庵の「 適塾 」や吉田松陰の「 松下( しょうか )村塾( そんじゅく ) 」のようです。

沢孝史氏の「 塾 」に集った逸材が、互いに切磋琢磨して、世襲地主さんだけの世界だった大家業にパラダイムシフトを興したともいえます。

現在も各地で「 不動産投資家同士の集まり 」があります。同じ仲間同士で対等な立場で知識や経験などの情報を交換しあい、切磋琢磨しあえる関係を入門者の方は是非、作っていただくことをお勧めします。

業者の話だけしか聞かずに物件を買い進め、失敗する人が後を絶ちません。投資する前に、大家さんが書いた本を何冊か読んで、体系的な知識を身に着け、その後、大家さんの会で筆者ご本人や、同じ大家仲間から本音でリアルな情報を聞くことで失敗を防げます。

本を読む時の注意点


学習には読書も有効です。その時、どんな立場の筆者が何の目的で出版したのかを見極めて読むことが極めて重要です。大家さんが執筆した本ならいいというわけではありません。

販売数を伸ばす為、出版社さんからは独自性( 武勇伝とまでは言わずとも )を打ち出すようリクエストが入ります。しかし、属性も違えば時代背景も違う中で、著者の方がうまくいった手法がこの先、再現できるとは限りません。

とはいえ、やはり書籍には著者の知識を体系だって学べるというメリットがあります。大家さんの会などでは、苦労・失敗談等の本音のお話を聞けますが、短時間の会話では、断片的な切れ切れの情報に留まってしまいます。

大家さんの情報を得るためには、ネット上のホームページ、ブログ、SNS等から繋いで行っても良いでしょう。ただし、ネットだけですとタイムリーに自由発言される反面、情報は玉石混合ですので、リスクに注意しましょう。

これらで知識武装したうえで、実際の投資をスタートさせると、最初の一歩での失敗を防げると思います。

筆者も現在、星野陽子さんが運営されている「 マネサロ 」、古くからある「 大家さん学びの会 」などに参加しています。もちろん、特定のグループに入会せずとも、大家仲間で情報交換しながら一緒に歩んでみる方法もあります。

最初から一つのやり方に絞らず、広い投資手法を学ぼう


大切なのは、中古区分物件投資へ入門する場合でも、ぜひ、戸建、木造アパート、RC、自主企画新築など、色々な先輩大家さんから生のお話を伺うということです。場合によっては、株式投資家やもっと広い事業投資家の情報も有益な場合があります。

はじめる前から一つのやり方に固執するのではなく、幅広く情報を集めることが大切です。これらの情報群から色々な得失を自分の立場で理解し、その結果、自身に合った手法が見えてきます。そこから、少しずつ実践していけば良いと思います。

10を知って1を成すより、100を知って1を成す方が成功率は上がります。こうして第一歩を踏み出せば、そこから自然に今度はプロの業者さんとの関係が生まれて発展し、運営チームが、きっと創られてゆくことでしょう。