スマホリプレース～さらばXPERIA～

現在使っているスマホが購入から3～4年経過し、リプレースを検討している。

現在使用しているのは「docomo」と落書きの入ったXPERIA X Compact(SO-02J)を使っている。

実はスマホが世の中に登場した時からずっとXPERIAを愛用している。

XPERIAは寿命が近づいてくると出てくる傾向みたいのがあって、

まずSDカードが突然認識できなくなる。

その後、しばらくするとOSの挙動がおかしくなる。

先日SDカードが突然認識できなくなり、いよいよ後継を検討しなければならなくなったというわけである。

回線はIIJ mioを使っているため、XPERIAは使いたいものの、「docomo」とか「au」とか「Softbank」とか落書きの入った機種は本当は使いたくない。

そのため、海外モデルも検討してみたのだが、海外モデルはおサイフケータイが使えない。

一時期Google Payとかで対応できるんじゃないかと思ったが、いろいろ調べるとそうではないことが分かった。

おサイフケータイの件は対応するNFCの規格と関連する。

NFCの規格にはTypeA、TypeB、TypeFの3種類ある。

一般的に搭載されているのはTypeA/Bであり、TypeFというのが所謂おサイフケータイ対応の規格となる。

そもそもTypeFのFはFelicaからきているようで、Suicaの様に通勤ラッシュでも問題なく使えるように処理が高速化された規格となっており、その分コストも高くつく結果となっている。

海外ではSuicaのような高速な処理を求められるシーンがないため、必然的にコストアップの要因になるTypeFは搭載されない。

結局ガラパゴス仕様で日本国内向けのXPERIAにしか搭載されないというわけである。

で、国内で販売されるXPERIAを検討するのだが、困ったことが起きた。

何なんだ、この縦横比が大きく崩れた無駄な縦長画面は・・・

ダサイ

ソニーは一般人が理解できない際どいエリアを攻めに行ってしまったのだろうか？

正直XPERIAに欲しい機種がなく、しばらく悩んでいたところ、なんとGoogleから希望する画面サイズ感で、しかも手ごろな値段でスマホ「Google Pixel 4a」が発売されていることが分かった。

更にしばらく悩んだ結果、Googleストアで決済する運びとなった。

XPERIA以外のスマホを使うのは何気に人生初の経験である。

とりあえず後継のスマホが決まったことに安堵するとともに、ソニーのモノ作りがおかしな方向に進んでいないか若干気になる今日この頃。

さらばXPERIA。ありがとうXPERIA。

ランサムウェアREvilの中の人とRecorded Futureとのインタビュー / ‘I scrounged through the trash heaps… now I’m a millionaire:’ An interview with REvil’s Unknown（転載）

ランサムウェアREvilの中の人とRecorded Futureとのインタビュー ‘I scrounged through the trash heaps… now I’m a millionaire:’ An interview with REvil’s Unknown therecord.media/i-scrounged-th…: ランサムウェアREvilの中の人とRecorded Futureとのインタビュー
‘I scrounged through the trash heaps… now I’m a millionaire:’ An interview with REvil’s Unknown therecord.media/i-scrounged-th…

インターネットに晒されている機器を調べるサイト【ZoomEye】

こちらはZoomeyeでの調査。実はヘッダにこうやってバージョンが載ってきてしまうようで、この情報を分析すればターゲットを絞れる可能性があります。もっとも、脆弱性自体は1年前…orz:

こちらはZoomeyeでの調査。実はヘッダにこうやってバージョンが載ってきてしまうようで、この情報を分析すればターゲットを絞れる可能性があります。もっとも、脆弱性自体は1年前…orz

世界に羽ばたく”国際信州学院大学”～Le jour du poisson d'avril aujourd'hui～

 国際信州学院大学をご存じだろうか？

長野県にある大学とのことで、しっかりとしたWebサイトも作られている。最近開校した大学だろうか？

学長の言葉がなかなか素晴らしい。

JNSAの損害賠償額算出式は正しいのか？～実際の判例をもとに検証してみる～

 企業が情報漏洩を起こした際、JNSAの損害賠償額算出式を用いた想定損害賠償額を算出しているが、これって妥当なのだろうか？

先日、とある判例の話を聞けたので、それを基に検証してみたい。

【インシデント概要】
・不正アクセスによる個人情報流出

　-最大1万6798件の個人情報、うち7316件はクレジットカード情報

・流出した情報（赤字個所は特に損害賠償額に大きく響く項目）

-名前

-住所

-電話番後

-メールアドレス

-クレジットカード番号（番号、名義、有効期限、セキュリティコード含む）

-性別

-生年月日

-パスワード

【JNSAの損害賠償額算出式を用いた想定損害賠償額】

・カード流出に関わる1件当たりの想定損害賠償額：78,000円
　⇒7,316件なので、計570,648,000円(約5.7億円)

【流出企業における実際の損害額】

・SQLインジェクションを抱えたポンコツシステムの開発費：約2,100万円

・顧客への謝罪費用(クオカード)：約1,900万円

・顧客からの苦情処理費用：約500万円

・調査費用(主にフォレンジック)：約400万円

・営業損失：約6,000万円

・その他：約50万円

------------------------------

計約1.1億円

ん～。損害賠償額算出式の方がかなり上振れているな。。。

とはいえ、クレジットカードの有効期限とセキュリティコードまで流出しているので、この金額で済んだのは不幸中の幸いともいえるかもしれない。

裁判になるといろいろと細かいことが明らかになるので、興味深い。

ちなみに判例の詳細はこちら(バックアップ)

シングルサインオン(SSO)とは～概要と実装方法を簡単に整理してみる～

 先日、「こんなシングルサインオンの実装を検討しているのだが意見が欲しい」と言われ、資料を見ていたのだが、その内容はシングルサインオンとは遠くかけ離れた、ただの認証省略の仕組みだった。苦言を呈すことになったのは言うまでもないが、そんこともあり、簡単にシングルサインオンについて整理してきたい。

シングルサインオン（SSO）とは？

シングルサインオン（SSO）とは、1組のID・パスワードによる認証を1度行うだけで、複数のWebサービス・クラウドサービス・アプリケーションにログインできるようにする仕組み。

パソコンやスマートフォン、インターネットが普及し、1人でいくつものWebサービスやクラウドサービスを利用する方が増えています。以前は、これらを利用する際、サービス・アプリケーションごとに認証を行っていました。一方、これらのサービス・アプリケーションがシングルサインオンに対応していれば、認証が1回ですむようになります。

シングルサインオン（SSO）を実現する方法

代行(代理)認証方式

クライアントのパソコンにインストールした専用のエージェントが、ユーザーの代理でID・パスワードを打ち込む方式です。エージェントはパソコンに常駐し、各サービス・アプリケーションのログイン画面が起動するのを検知し、自動的にID・パスワードを入力します。

リバースプロキシ方式

リバースプロキシと呼ばれる中継サーバー上で認証を行う方式です。リバースプロキシ上で認証を追加した場合に、その後ろにあるサービスにログインができるようになります。

エージェント方式

Webサービスの専用のエージェントモジュールを組み込んで、シングルサインオンを実現する方式です。エージェントはシングルサインオン用の外部サーバーと連携し、認証やアクセス権限のチェックを行います。

SAML認証方式

SAML（Security Assertion Markup Language）認証では、IdP（Identity Provider）とSP（Service Provider）と呼ばれる2つの構成要素で、シングルサインオンを実現する方式です。

ユーザーが対象のWebサービス（SP）へアクセスすると、SPはIdPへ認証要求（SAML）を送信します。すると、IdPがユーザーのパソコンやスマートフォンに専用のログイン画面を表示させ、認証を促します。認証が成功すれば、IdPはSPに対して認証応答（SAML）を送信し、SPがそれを受け取ると自動ログインを実行するという流れです。これによって1度認証が成功すれば、SAMLに対応する別サービスへ自動でログインできるようになります。

メリット

メリット1.利便性が向上する

たくさんのWebサービス・アプリケーションを使っていると、認証の際に利用するID・パスワードの組み合わせもそれだけ増えることになり、管理に手間もかかります。また、各サービス・アプリケーションを利用する際に、いちいちログイン作業をしなくてはなりません。

一方、利用するWebサービス・アプリケーションがシングルサインオンに対応していれば、ID・パスワードの組み合わせは1つですむようになります。その上、それらWebサービス・アプリケーションの認証は1回だけ行えばよいので、より便利に利用できるようになるのです。

メリット2.パスワード漏洩のリスクが低くなる

利用すべきID・パスワードの組み合わせが増えると、その管理がおろそかになるものです。たとえば複数のサービス・アプリケーションで同じID・パスワードを使い回したり、付箋などに書いてパソコンに貼ったりする方も多いでしょう。覚えるのが面倒になり、推測されてしまいやすい簡単なパスワードを設定している方もいます。

一方、シングルサインオンを利用すれば、管理すべきID・パスワードの組み合わせは1つだけですむので、覚えるのも簡単になり管理の手間もかからなくなるわけです。そのため付箋に書いたメモを誰でも見られるようなところに置いたりすることはなくなり、適切に管理されやすくなります。ある程度複雑なパスワードを作成したとしても、1つだけなら覚えるのは苦ではないでしょう。

これらのことから、シングルサインオンを導入することによって、パスワード漏洩のリスクが減るわけです。

デメリット

デメリット1.パスワードが漏えいすると重大なセキュリティリスクにつながる

シングルサインオンで利用するID・パスワードが万が一漏洩してしまうと、そのID・パスワードを利用するサービス・アプリケーションが全て不正利用されるリスクにさらされることになります。

デメリット2.システムが停止すると関連するサービスにログインできなくなる

シングルサインオンは、特定のシステムによって認証情報が管理されています。そのため仮にその管理システムがダウンした場合、シングルサインオンでログインできるように設定している全てのサービス・アプリケーションが使用できなくなる可能性があります。

デメリット3.コスト

シングルサインオンを実現するためには、自社サーバーに専用のソフトウェアをインストールするオンプレミス型のタイプと、専用のクラウドサービスを利用するタイプがあります。オンプレミス型は特に初期導入時のコストが高額となる可能性がある一方、クラウド型は導入時のコストは少なくてすむものの、毎月の費用がかかるため利用期間が長くなれば、それだけコストがかさむことになります。

保険見直し～がん治療は通院がメインなので通院保障が重要！？～

 昔、保険会社による保険金未払い事件が多発した影響からか、毎年契約しているすべての保険会社から、現在の保険内容の確認やら、見直しやら、住所が変わっていないかやらの手紙が送られてくる。

そんな中、医療保険を契約している会社から保険内容の見直しの案内があり、がん保険の通院保障オプションの案内を見て、2019年に参加したお金のEXPOのことを思い出した。

がん保険は、昔は長期入院の伴う長い闘病生活のイメージだったが、今は長期入院せず、通院による治療がメインとなっていることから、入院保障だけではなく、通院保障が重要だという話を元SKE48の矢方 美紀さんが自身の闘病経験を踏まえて話してくれていたのだった。

やばい。今2021年なので、2年も放置してしまっていた。

幸いまだガンにはなっていない模様なので、とっとと入っておこう。

さっそく保険会社に電話して、契約内容見直しの依頼をかけた。

人生40年近く生きてきて、何となく保険との付き合い方が分かってきた気がする。

保険は早く入っておいたほうがいいとか、生涯で払う保険金は同じなのでいつでもいいとか、そもそも入る必要がないとか、いろいろ意見があるが、個人的な今のスタンスは下記である。

ちなみに掛け捨ての医療保険の話ね。

保険は若いうちに(安い保険に)入るべきである。

保険は若いうちに入ったほうが良い。高齢になってから入っても生涯で払う保険金は同じだが、若いうちに入ったほうが保険料が安く、精神的な負担額は軽く済む。

保険は入る必要がないという人がいるが、そういう意見もアリだと思う。個人的にはお守り替わりで済む程度の金額にし、万一保険料が支払われない事態になっても「しゃーない」と思える金額(=月額2000円以下)で保険に入った。

また、当然ながら保険会社の選択に際してはネットライフ生命のようなオンライン保険会社にするべきである。

テレビで有名人を起用したCMを放送しているような保険会社は厳禁である。

理由は簡単で、CM代金や有名人のギャラが保険料の跳ね返って非常に割高だからである。

かしこい人はオンラインの保険会社を選択し、情弱者はCM等で知名度の高い(割高な)保険会社を選択するのである。

諸々の情勢変化で年1.5%の保険料増加は見込むべき

医療は進歩している。

それに伴い、保険は変わる。

自分が初めて保険に入った際には無かったが、その後出てきたキーワードとして、「先進医療」とか「通院保障」がある。

これらは保険加入時には無かったため、結果として追加の保険料を払って追加する形態となる。

最初の保険加入時は1,800円/月くらいだったが、先進医療特約を付けたり、がん通院保障をつけたり、必要なオプションを追加していった結果、約15年の時を経て2,500円/月となった。

オプションで保険料が上がっていくことを考慮し、最初の保険加入時は必要最小限の保険にしておいたほうが良い。

保険は保険料控除の枠で十分

自分は若い頃にバイクで事故った際、保険が期待した働きをしなかったことから、基本的には保険に対して懐疑的な立場である。

そのため、最初の保険に入る際、どの程度の掛け金にすべきを考えた際に、たどり着いた一つの結論が「保険料控除の枠で十分」である。

つまり、介護医療保険、生命保険、年金保険、共に、それぞれ80,000円/年で十分である。

これ以上は保険料控除の枠から外れるし、保険料を払いすぎていると考えてもよいのではと思っている。

DDoS攻撃（SYN/ACK Reflection攻撃）の仕組み（転載）

Masafumi Negishi retweeted: 「IIJのSOCアナリストが検知と分析のサイクルを回すわけ　DDos攻撃検知にAIを選ばなかった理由」 logmi.jp/tech/articles/… 昨年9月開催のIIJ Technical NIGHT vol.9で登壇した #セキュリティ 本部 守田 瞬の講演がログミーの記事になりました。 全2回で、後半はDDos攻撃の観測方法について紹介。:

Masafumi Negishi retweeted:

「IIJのSOCアナリストが検知と分析のサイクルを回すわけ　DDos攻撃検知にAIを選ばなかった理由」
logmi.jp/tech/articles/…
昨年9月開催のIIJ Technical NIGHT vol.9で登壇した #セキュリティ 本部 守田 瞬の講演がログミーの記事になりました。
全2回で、後半はDDos攻撃の観測方法について紹介。

SYN/ACK Reflection攻撃はTCPの3wayハンドシェイクを悪用したものになります。リフレクション型の攻撃なので登場人物は3人。攻撃者とリフレクターと、被害者にあたる攻撃対象です。

攻撃者は何をするかというと、3wayハンドシェイクをしようと試みます。SYNパケットの送信元はIPスプーリングになるんですが、これは攻撃するサーバーのIPアドレスとか、ルーターだったら、そのルーターだったりとかに偽装されています。

リフレクターは、送信元が偽装されたSYNパケットが悪性かどうかというのは基本的に判断できないので、3wayハンドシェイクのルールに則って、素直にそのSYN/ACKパケットを偽装されたIPアドレス宛に応答として返送します。

攻撃者がスプーフしたSYNパケットをリフレクターに送ることで、スプーフされたサーバーやルーターにSYN/ACKパケットが集中してしまうというのが、DDoS攻撃の原理になっています。量が多いとDDoS攻撃が成立しちゃうよね、というのが脅威のポイントです。

当時、攻撃者はボットネットなのか攻撃ツールなのかわからないところから、実際はリフレクターなので裏にサーバーがいるんですが、我々のお客さまのファイアウォールを通過するように、SYNパケットを投げつけてきました。先ほども言った通り、SYNパケットは攻撃対象側の宛先にスプーリングされているんですが、リフレクターはSYNパケットが悪性かどうかを判断することはできません。

なので、素直に被害者側にSYN/ACKパケットを応答していたという事象を我々は1年半前ぐらいに観測しました。ファイアウォールを通過しているので、ログは情報分析基盤のデータベースに集約されています。情報分析基盤から分析をすることで、この事象を発見したというのが、スタートになります。

2019年は、ひどいときには日に数件（通知が）上がっていたんですが、どんどん観測が増えてきて早く検知を自動化したいなということで、検知コードを情報分析基盤に仕込みました。こうすること自分が能動的に「今日はSYN/ACK Reflection攻撃あったかな？」と探さずに済むような仕組みが整ったわけです。

そうすることでこの図の通り、それ以降SYN/ACK Reflection攻撃されると自動的にログが情報分析基盤に集約されて、検知コードが反応すれば私に通知が来るようになりました。通知が来たら詳細な分析を行います。

もちろん、誤検知もたまにはあるので、しっかり調査していきながら、裏付けができたものに関してはみなさんのところに（情報が）届くようにwizSafe Security Signalで紹介しています。ブログを書いているだけではなくて、裏ではこういった検知ロジックも考えながら、調査もしながらやっていたというのが実はの話です。