ハピタスからJALマイルへの交換開始


ハピタスというポイントサイトをご存じだろうか。

昔、ANAマイルへの交換レートが非常によく、重宝していた。

2014年頃からJALマイルメインとなったため、ほとんど使っていなかったのだが、JALマイルへの直接変換を開始したらしい。

JALマイルへの選択肢が増えることはいいことである。

個人的にはポイントサイトは広く使うよりも絞り込んで使い倒したい派なのだが、ハピタスは安心保証や友達紹介によるレートアップの制度があり、ポイントサイトの中ではかなり利用者にやさしい部類に入ると思う。

うんこお金ドリル(転載)~友達から「お金を貸して」と言われたらどうするのが正解?~


うんこお金ドリル:

 なんとうんこドリルとあの金融庁がコラボして、「うんこお金ドリル」を公表したとのこと。で、早速やってみました。で、4つの問題のうち1問を思いっ切り間違えました。というか間違いとされたのですが、私は納得がいきません。問題は、「友達から「お金を貸して」と言われた。どうすればいい?」です。

 「代わりにうんこをあげる」を押して間違えたのではありません。「すぐに貸してあげる」も選びませんでした。「事情をきいて、なっとくしたら貸してあげる」を自信を持って押したら、間違いとされました。正解は「絶対に貸さない」とのこと。マジかよ!そんなの悲しいじゃん。助け合わなくていいの?

 片やアメリカでは、子供の頃からモノポリー(ボードゲーム)で遊び、あのゲームはとにかくお金を借りて家を建てた者が勝つように出来ています。そうしてアメリカ人は借りて消費や投資をして経済を大きくし、我々は現金経済で中々成長しないのではないでしょうか?日本企業の内部留保も巨額だし。 

 ま、しかし、そんな経済の話の前に、「理由がなんであれ、友達どうしでのお金の貸し借りは絶対にいかんぞい」という解説は、まぁその気持ちも分からないでもなく、私も親からは「友達に貸す時は返ってこないと思って、それでもいい時だけ金を渡せ」と小さい頃に聞かされた記憶があるのですが、政府が、金融庁が公言することかとなると、私にはそうは思えません。うんこプリプリ!

BAファーストクラスのミールキットをご自宅にお届け!実際に試してみる / Get a BA First Class meal kit delivered to your door – we try it out(転載)



Get a BA First Class meal kit delivered to your door – we try it out

ブリティッシュ・エアウェイズは、プレミアム・ミールキットのトレンドに乗り、ファーストクラスの食事を注文して自宅で組み立てる機会を提供しています。各ミールキットは2人分の4コースで構成されており、価格は80ポンドから100ポンドです。

British Airways Feast Box First Class meal kit

What’s on the menu?

食事はブリティッシュ・エアウェイズとDO&COが開発したもので、ベジタリアン、ペッシー、肉食の3種類から選ぶことができます。どんな食事が出てくるかというと、こんな感じです。

ロッホ・ファイン社製スモークサーモンのティンバーレ、ハニーマスタードドレッシング添え

じっくり煮込んだ英国産牛の頬肉、ハラペーニョ風味のポテトグラタン、ブロッコリー、チミチュリー添え

Caws Golden cenarth、Snowdonia Black Bomber Cheddar、Harrogate blue、Kidderton ash goats cheeseのチーズセレクション、チャツネ添え

ダークチョコレートとオレンジリキュールを使ったパンとバターのプディング、バニラソース添え

ミールキットは、ヒースロー空港にあるDO&COの巨大な新キッチンで組み立てられますが、ここ1年はかなり閑散としていたようです。DO&COは、注文を受けてから毎日新鮮な状態でボックスを準備します。

British Airways Feast Box First Class meal kit 2

Taste test

ファーストクラスのミールボックスはFeast Box社と共同で開発されたため、BA社はFeast Box社の確立されたプロセスの恩恵を受けることができました。たとえば、配送に関するタイムリーなテキストアップデートや効率的な梱包などです。

箱の中には、ブリティッシュ・エアウェイズの機内で使用されているものと同じようなパッケージやカートンが入っており、より親しみを感じました。

箱の中に入っているすべての食材をリストアップしたメニューカードが用意されていて、4つのコースを組み立てるためのガイドになっています。4つのコース料理というだけあって、食材の数は意外と多い。オリーブオイルや塩・コショウまで用意されているので、家にあるものだけで完璧な料理を作ることができます。

私が感心したのは、すべてのパッケージがリサイクル可能であるということでした。メインボックスのデザインは斬新で、ビニールテープが必要ありません。カートンや内箱には、リサイクル可能なカードが使われています。

The menu

私はベジタリアンミールを選びました。

アスパラガス、グリルした茄子、火を通したピーマン、フムス、クレームフレーシュを添えたサラダ。

手作りアンニョロッティ、モレル、アスパラガスのフライ、パンナソース、続いて....

ゴールデンセナース、ブラックボンバー、ハロゲートブルー、キダトンアッシュの各チーズに続いて、....。

ダークチョコレートとオレンジリキュールを使ったパンとバターのプディング、バニラソース添え

Making a meal of it

レシピはそれほど専門的なものではありませんでしたが、このレシピは、ただ単にすべてのものを30分間オーブンに入れるだけのレシピボックスではありません。

デザートのように温めるだけのものもありますが、全粒粉のサラダのキヌアを炊いたり、茄子を焼いたり、ピーマンを焼いたりと、かなりの準備が必要でした。

提供されたレシピには、ファーストクラスのキャビンと同じ基準で料理を提供するための詳細が記載されており、非常に明確な指示がありました。デザートに添えられたミントの葉や、チーズと一緒に食べるブドウのミニ房など、ファーストクラスの体験を再現するためのすべてが用意されていました。

レシピはわかりやすいものでしたが、一つだけ批判したいのは、タイミングを計るのが難しいということです。ガイドでは、前菜とメインの両方を用意してからサーブすることになっていますが、そうするとパスタがかなり冷たくなってしまいます。そこで、前菜を食べた後にパスタを茹でることにしました。

In conclusion

タイミングの問題はさておき、本当に美味しい料理でした。素材の質が高く、レシピのおかげで非常に贅沢な4品のコースを楽しむことができました。

毎日調理されているので、メニューには季節感があり、野菜もとても新鮮でした。すべてのコースをとても楽しみましたが、メインはちょっとした見せ場でした。アスパラガスとモレルを添えた風味豊かなパスタの上に、リッチなクリーミーソースがかかっていました。

先着500箱まで無料で提供されるHattingley Valleyのイングリッシュ・スパークリングワインも素晴らしく、特に前菜のサラダとの相性は抜群でした。

80~100ポンドと決して安くはありませんが、量がとても多く(残った全粒粉のサラダを何回か昼食に食べています)、レストランが閉店してから最も贅沢な食事をした気分になりました。

もし、私たちがまだ拘束されている間に、特別な日を迎えるのであれば、ファーストクラスのスタイルでお祝いする方法として、BA First Class Feast Boxを検討する価値があると思います。

CIS Controls Version 8が2021年春に登場 / CIS Controls Version 8 is Coming Spring 2021(転載)


Blog | CIS Controls Version 8 is Coming Spring 2021:

当社は、お客様からのフィードバック、進化する技術、変化し続ける脅威の状況に基づいてCIS Controlsを更新することで、常に適切な状態を保つよう努めています。より多くの組織がクラウドサービスやリモートワークに移行しているのを見て、私たちは、CIS Controlsとそれをサポートするセーフガード(旧バージョンではサブコントロールと呼ばれていた)を再検討し、私たちの推奨事項が効果的なサイバー防御を提供していることを確認する時期だと感じました。その結果、CIS Controls Version 8が誕生しました。CIS Controls Version 8では、以下の推奨事項が更新されています。

  • Cloud-based computing(クラウドコンピューティング)
  • Mobile environments(モバイル環境)
  • Changing attacker tactics(攻撃者の戦術の変化)

CIS Controls Version 8では、デバイスを管理する人ではなく、活動によってコントロールを組み合わせ、統合しています。物理的なデバイス、固定された境界、セキュリティ実装の孤立した対策は重要ではなくなり、v8では用語やセーフガードのグループ化によってこれが反映されています。その結果、コントロールとセーフガードの数は減少し、コントロールは18(従来は20)、セーフガードは153(従来は171)となっています。

各セーフガードは、可能な限り「一つのこと」を、明確で解釈を必要としない方法で求めています。さらに、各セーフガードは、測定可能なアクションに焦点を当て、プロセスの一部として測定を定義しています。企業にとって、CISコントロールの実施状況を把握することは重要なことです。この目的のために、CISコントロール自己評価ツール(CSAT)をv8に対応させる予定です。また、多くのお客様がv7.1を使用されていると思いますので、v8に移行する時間を確保するために、両バージョンをサポートします。

CIS Controls v8は2021年5月中旬にリリースされる予定です。今後、CIS Controls v8やサポートツールに関するウェビナー、ポッドキャスト、ブログなどの最新情報をお届けしますので、引き続きご利用ください。

JPCERT/CC Eyes「日本の組織を狙った攻撃グループLazarusによる攻撃オペレーション」を公開。国内で確認したLazarusの攻撃オペレーションで使用されたマルウェア(VSingle、ValeforBeta)をご紹介しています(転載)



watoly retweeted: JPCERT/CC Eyes「日本の組織を狙った攻撃グループLazarusによる攻撃オペレーション」を公開。国内で確認したLazarusの攻撃オペレーションで使用されたマルウェア(VSingle、ValeforBeta)、および侵入したネットワーク内部で使用したツールをご紹介しています。^MM blogs.jpcert.or.jp/ja/2021/03/Laz…:
watoly retweeted:
JPCERT/CC Eyes「日本の組織を狙った攻撃グループLazarusによる攻撃オペレーション」を公開。国内で確認したLazarusの攻撃オペレーションで使用されたマルウェア(VSingle、ValeforBeta)、および侵入したネットワーク内部で使用したツールをご紹介しています。^MM blogs.jpcert.or.jp/ja/2021/03/Laz…

複数の釣り具通販サイトに不正アクセス - クレカ情報流出か(転載)~想定損害賠償額は1.2億円程度か~

複数の釣り具通販サイトに不正アクセス - クレカ情報流出か
「イシグロオンラインショップ」への不正アクセス

イシグロが運営する釣り具の通信販売サイトが不正アクセスを受け、利用者のクレジットカード情報が流出し、悪用された可能性があることがわかった。

同社によれば、2020年5月27日から10月22日にかけて「イシグロメイキングパーツ専門オンライン」「イシグロ中古つり具専門」を利用した顧客3171人分のクレジットカード情報4026件が流出し、不正に利用された可能性があることが判明したもの。

外部からシステムの脆弱性を突く不正アクセスがあり、クレジットカードの名義、番号、有効期限、セキュリティコードなどを窃取するよう決済アプリケーションが改ざんされていた。

2020年11月6日にクレジットカード会社から流出の可能性について指摘を受け、問題が判明。1月21日に調査が完了し、同社では3月11日に警察への被害相談を行い、個人情報保護委員会へ報告を行った。

対象となる顧客には、4月5日より書面で報告や謝罪を行っており、心当たりのない請求が行われていないか確認するよう求めている。 

プレスリリース(バックアップ)

「せんたく便」「マイスターせんたく便」からのカード情報流出(転載)~想定損害賠償額は23億円程度か~


 宅配クリーニングに不正アクセス - 意図しない外部公開も
「せんたく便」「マイスターせんたく便」からのカード情報流出

宅配クリーニングサービスを提供するウェブサイト「せんたく便」が不正アクセスを受け、顧客のクレジットカード情報が外部に流出した可能性があることがわかった。また一部顧客情報が、外部よりアクセスできる状態で保存されていたことも判明したという。

同サイトを運営するヨシハラシステムズによれば、2020年4月より稼働するシステムが不正アクセスを受けたほか、システム移行時における旧システムのデータが、外部よりアクセス可能な状態となっていたもの。最大5万8813人分のクレジットカード情報が流出し、悪用された可能性がある。

具体的には、2020年4月27日以降に稼働している新システムが、SQLインジェクションの脆弱性を突く不正アクセスを受けた。

同システムでは、クレジットカード情報をトークンとして保管するシステムを採用していたが、調査を行ったところ、新規に登録したり、変更が行われた会員のクレジットカード情報4万4891件が外部に流出した可能性が判明した。

これとは別に、同社では新システムへの移行にあたり、開発目的で旧システムの一部顧客のデータ1万3922件をサーバ上で保管していたが、公開領域だったため、2020年4月27日以降、外部からアクセス可能な状態となっていた。

プレスリリース(バックアップ)

[OSINT]Googleドキュメントの所有者を調査する / Investigating Google Doc Owners(転載)


Investigating Google Doc Owners:

Doxxingの容疑者がGoogle Docsを使って被害者と共同作業をしているのをよく見かけます。オンラインアカウント、電子メールアドレス、電話番号、自宅の住所などの詳細を見つけ次第、追加していきます。これらの文書は、舞台裏の貴重な情報を表示することができます。例を挙げてみましょう。

私は、以下のリンクで私のOSINT本のPDF版を無料で提供すると主張するGoogleドキュメントを見つけました(スパイウェアの可能性があります!)。

https://docs.google.com/spreadsheets/d/1KXksB1vj7fXPNS4OYL0idQne3HXVnamtUP1h0ut3xwk

ページのソースコードにはオーナーの詳細は含まれていませんが、Google APIには含まれています。この情報を照会する最も簡単な方法は、xeuledocというPythonアプリケーションです。

https://github.com/Malfrats/xeuledoc

拙著『Open Source Intelligence Techniques, 8th Edition』のチュートリアルで作成したOSINT VMへのインストールは非常に簡単です。Terminalで以下のように入力します。

sudo -H python3 -m pip install xeuledoc

xeuledoc "と入力してプログラムを実行し、続いて目的のGoogle Docを入力します。私の例では以下のようになりました。

xeuledoc https://docs.google.com/spreadsheets/d/1KXksB1vj7fXPNS4OYL0idQne3HXVnamtUP1h0ut3xwk

その結果、作成日、修正日、所有者名、所有者の電子メールアドレス、所有者のGoogle IDが特定されました。以下に再編集したコピーを掲載します。

誰がドキュメントを作成してアップロードしたかがわかりました。次のコマンドでいつでもxeuledocを更新することができますが、あなたのカスタムアップデートスクリプトに追加することもできます。

sudo -H python3 -m pip install xeuledoc -U

このプログラムを含むように、私のウェブサイトのLinuxステップとLinux自動インストールスクリプトを更新しました。この情報は、本に同梱されているURL/ユーザー/パスワードからアクセスできます。これは、出版後に登場した新しいOSINTツールの中で、おそらく私のお気に入りです。