BAやIBでAviosを購入するには、最低1Avios保有していることが必須（転載）

 【注意】BAやイベリア航空でAviosを購入するには、最低1Avios保有していることが必須

ブリティッシュエアウェイズ（BA）やイベリア航空（IB）のAviosはJAL特典航空券にお得に交換することができます。

しかし、購入するためには、購入したい方の航空会社で1以上のAviosポイントを事前に有していないといけません！！

BAのAvios購入に関するterms&conditions

Aviosの購入

1. 購入者は、1暦年につき最大200,000 Aviosポイントを購入することができます。
2. Aviosポイントは最少購入を1,000Aviosとして、特定のポイント数でのみご購入いただけます。
3. Avios購入は実施されるキャンペーン活動にて時折修正されることがあります。詳細はBa.comをご覧ください。
4. 購入者は、Executive Clubのアカウントに反映され次第、購入したAviosポイントを使用することができます。 Aviosポイントがアカウントに加算されるまで若干時間がかかる場合があります。 詳細については、最寄りのサービスセンターまでお問い合わせください。
5. Aviosポイントは、Ba.com上でAviosポイント購入申し込みフォームを使用する方法、または、ブリティッシュ エアウェイズのExecutive Clubコンタクトセンターでのみご購入いただけます。
6. 購入者は、18歳以上のブリティッシュ・エアウェイズのExecutive Clubメンバーでなければなりません。
7. 購入者は、ブリティッシュ・エアウェイズのExecutive Clubアカウントに最低1 Aviosポイントが必要です。
8. ご利用条件で定められている通り、Aviosポイントをご購入になると、Aviosの36ヵ月の失効ルールがリセットされます。
9. お客様は、ご購入のAviosポイントが未使用の場合に限り、ご購入から14日以内であればAviosポイントのご購入をキャンセルいただける権利を有しています。Aviosポイント購入をキャンセルする権利を行使するには、オンライン・クエリ・フォームで、書面にてその旨の要請を行っていただくか、ご購入いただいた国のExecutive Club事務局までお電話いただく必要があります（お問い合わせ先の詳細はba.comでご確認ください）。以下のキャンセル用テンプレートをご利用いただくことができます。キャンセルをされる場合、弊社がお客様からキャンセルの通知を受けてから14日以内に、お支払いの全額を不当な遅延なく払い戻しいたします。

（ブリティッシュエアウェイズHPから抜粋）

 

イベリア航空のAvios購入に関するterms&conditions

9. The Buyer must also have been a holder of the Iberia Plus card for at least 3 months or have a balance of more than 0 Avios.

（イベリア航空HPから抜粋）

両航空会社ともに規約に明記されています。。。。

購入前にあらかじめAviosを入手するには、クレジットカードのポイント、又は、ホテルのポイントから移行しましょう。

Aviosに交換できるクレジットカードとして代表的なカードは以下になります。

①VISAカード（ANAカード等含む）：

200円決済でVポイント1Pが貯まり、500Pで250Aviosと交換可能です（BAのみ）

②SPGアメックスカード：

100円決済でマリオットポイント3Pが貯まり、3,000Pで1,000Aviosと交換可能です（BA、イベリア航空ともに可）

ホテルポイントからのAvios移行（BAのみ）

・マリオット：9,000Marriott Bonvoyポイントを3,000Aviosに交換

・ヒルトン：10,000 オナーズポイントを1,000 Aviosに交換

・IHG：10,000 IHG®リワーズクラブポイントを2,000 Aviosに交換

・ハイアット：5,000ワールド オブ ハイアット ポイントを2,000 Aviosに交換

旅行好きの方であれば、上記のクレジットカードまたはホテルポイントを持っている方は多いと思われます。

また、BAとイベリア航空間のAviosの移行は手数料等なしに即日で可能です。

なので、クレジットカードやホテルポイントはBAとイベリア航空のどちらに移行しても良いと思います。

ただし、アカウント作成から3か月が必要であることと、アカウントの完全一致が必要となる点に注意です。

イベリア航空でAviosがゼロの場合は、購入ページに移動してもAviosを購入することはできません。

“Sorry, you currently don’t meet the terms and conditions to buy Avios”と表示されてしまいます。

ということで、初めてBAまたはイベリア航空でAviosを購入される際には、事前に何らかの方法（BAまたはイベリア航空のフライトを利用、クレジットカードまたはホテルのポイントを移行）でアカウントに1以上のAviosを保有しておきましょう。

また、イベリア航空の全AviosをBAに移行しないようにしておきましょう。イベリア航空サイトからAviosを購入したときに備えておきましょう。

ATT&CKへのマッピングの自動化：脅威レポート ATT&CK マッパー（TRAM）ツール / Automating Mapping to ATT&CK: The Threat Report ATT&CK Mapper (TRAM) Tool（転載）

Automating Mapping to ATT&CK: The Threat Report ATT&CK Mapper (TRAM) Tool

ATT&CK マッピングを含むサイバー・スレット・インテリジェンス・レポートの発行数が増加していることは喜ばしいことであり、分析者がこれらのマッピングを簡単かつ迅速に作成できるようにしたいと考えています。ATT&CK のグループページやソフトウェアページに新しいレポートを追加するたびに、同様のプロセスを経ているので、ATT&CK マッピングの作成プロセスが難しいことは承知しています。アナリストが全266種類の技術に精通し、情報がどのようにマッピングされているかの機微を理解するには時間がかかります。我々自身のマッピングでは、毎日のように新しいレポートが発表されるため、追加したいレポートのバックログが尽きることがありません。私たちのチームの将来のアナリストの負担を軽減し、他のコミュニティを支援するために、私たちはこのプロセスを自動化する方法の開発に着手することにしました。

当社が開発したツール、Threat Report ATT&CK Mapper (TRAM)は、レポートを分析し、ATT&CK テクニックを抽出するための合理的なアプローチを提供することを目的としています。ATT&CKへのマッピングを自動化することで、分析者の疲労を軽減し、ATT&CKのカバー率を高め、脅威情報のマッピングの一貫性と精度を向上させることができると期待しています。TRAMのパブリックベータ版をATT&CKコミュニティに提供できることを嬉しく思います。

どうやってここまでたどり着いたのか？

レポーティングのテクニックを見つける方法を考え始めたとき、私たちは最も簡単そうな方法から始めました。曖昧な文字列検索です。私たちは、名前からテクニックを探すコマンドラインツールを作りました。すぐにわかったのは、この方法はうまくいく場合とまったくうまくいかない場合があるということでした。例えば、「Mshta」は非常に高い再現性を持っていましたが、「DLL Search Order Hijacking」は非常に低い再現性しかありませんでした。そこで私たちは、より高度な自然言語処理（NLP）プロセスをこの問題に適用することにしました。

以下は、私たちのNLPプロセスです。

1. まず、トレーニング用のデータが必要です。基本的には、モデルにしたい各項目の正解を集めたアンサーキーが必要です。ここでは、テクニックごとにモデルを作りたいので、ATT&CKのサイトにある「Procedure Examples」をテクニックごとに使用しています。
   
   
2. 次に、データを処理しやすい状態にする必要があります。これは、コンピュータが理解しやすいように、テキストをできるだけシンプルなバージョンにすることです。例えば、「masquerade」「masquerading」「masqueraded」はすべて同じ意味ですから、単語の時制ではなく、その意味に基づいてモデルを構築します。同様に、テキストをトークン化する必要があります。これは、テキストをトークンと呼ばれる小さな単位（多くは単語）に分割することです。このトークンによって、コンピュータはデータのパターンを理解することができます。例えば、文中の単語数を数えたり、2つの単語が隣り合って現れる頻度を数えたりすることができます。
   
   
3. これで、それぞれの技術に応じたモデル（パターン）を構築することができるようになりました。現在はPythonのSci-kitライブラリを使用しています。ロジスティック回帰と呼ばれる手法を使用していますが、これは予測を行うのに適しており、ある文章にどのようなテクニックがあるかを予測します。また、この手法は、出力すべきもの（つまり、特定の技術）がわかっているので、教師付き学習と考えられます。
   
   
4. 新しいデータでモデルを使用する前に、正しい答えがわかっているデータでモデルをテストする必要があります。そのために、ATT&CKにマッピングされているレポートを使って、モデルが十分な性能を発揮するかどうかを確認しました。
   
   
5. モデルが期待通りのデータを見つけられることが確認できたら、今度はコンピュータが見たことのないデータ（例えば、ウェブサイトから出荷されたばかりのレポート）に対してモデルを使用することができます。

幸いなことに、Pythonのpickleファイルを使って、これらのモデルを「キャッシュ」形式で保存しています。つまり、このツールを使うたびにこのプロセスを繰り返す必要はないのです。私たちのNLPプロセスについてもっと知りたい方は、10月に行われたTRAMに関するBSides DCのプレゼンテーションをご覧ください。

TRAMはどのように使うのですか？

TRAMはローカルで動作するWebツールで、ユーザーはWebページのURLを送信することができます（PDFはまだありません）。TRAMがページを取得して解析することができれば、レポートの分析には1分近くかかることがありますが、これはフードの下で多くのことが行われているからです。

注：すぐに「レビューが必要」というカードが表示される場合は、一般的にWebサイトがスクレイピングの試みを好まなかったか、サイトの何かが解析できなかったことを意味します。この問題については現在調査中で、近日中に修正できると思います。

ニーズレビューの欄にカードが表示されたら、いよいよ分析を開始しましょう

TRAMのロジスティック回帰モデルは、テクニックを発見したと予測すると、関連するテキストをハイライトし、予測されたテクニックを右側のボックスに表示します。現在のデータセットは非常に限られているため、モデルの精度は100%ではありません。そのため、このツールではアナリストがテクニックの予測を確認し、「Accept」または「Reject」を行う必要があります。裏では、「Accept」ボタンがクリックされると、その文章と技術はデータベースの「True Positives」テーブルに入り、「Reject」がクリックされると、その文章は「False Positives」テーブルに入ります。これらのテーブルを使って、モデルを再構築することができます。より多くのデータがツールに入力され、アナリストがレビューし、モデルが再構築されることで、これらの予測はより正確になることが期待されます。

文章がハイライトされていてもいなくても、手動でテクニックを追加する必要がある場合は、その文章をクリックし、表示されるボックスで灰色の「Add Missing Technique」ボタンをクリックすることで、追加することができます。追加したいATT&CKのテクニックを入力し、表示されたらクリックします。文章がハイライトされていない場合は、ハイライトが表示されます。さらに、受け入れられた技術と拒否された技術のように、不足している技術が追加された場合は、「True Negatives」テーブルに入れられ、モデルを再構築する際に同様に考慮されます。

分析者がレポート全体を確認した後、ページの上部中央にある「Export PDF」ボタンをクリックすると、TRAMSの結果をPDFとしてエクスポートできるようになりました。エクスポートすると、レポートの生のテキスト版と、ATT&CKの手法とそれに対応する文章を表にしたものがPDFとして作成されます。一部の表の例を以下に示します。

TRAMの次のステップは何ですか？

現在のツールを共有し、ATT&CKへのマッピングを支援できることを嬉しく思っています。しかし、まだまだできることはたくさんあると思っています。TRAMは現在、機能的なプロトタイプであり、継続的に改良・開発されています。今後数ヶ月の間に、いくつかの機能を実装したいと考えています。これらの機能が追加されるたびに、新しい変更点を発表し、公開リポジトリを最新の状態に保つようにします。

次のステップとしては、以下のようなものがあります。

• 追加のファイルタイプ（例：.doc、.pdf、.txt）を取り込む機能。
• 出力形式の追加（例：CSV、JSON、STIX
• 複数のユーザーを同時にサポートする機能
• ダッシュボードと分析（例：レポートから見えるテクニックのトップ10、時系列でのテクニックの頻度、など

TRAMはどうやって入手できますか？

TRAMの完全なソースコードは、https://github.com/mitre-attack/tram にあります。READMEには、ツールを実行するための手順が記載されています。

ご自由にダウンロードしてお試しください。これはベータ版なので、バグや問題があることは承知しています。GitHub issue trackerを使って、これらの問題の追跡にご協力ください。

エア・インディアは、450万人の顧客に影響を及ぼすデータ障害を公表。 / Air India disclosed a #databreach affecting 4.5 million of its customers.（転載）

Air India disclosed a #databreach affecting 4.5 million of its customers. https://www.bleepingcomputer.com/news/security/air-india-data-breach-impacts-45-million-customers/#.YKj_zFrqz-Q.twitter:

Air India disclosed a #databreach affecting 4.5 million of its customers. bleepingcomputer.com/news/se…

エア・インディアは、2021年2月に旅客サービスシステムを提供するSITAがハッキングされてから2ヶ月後に、約450万人の顧客に属する個人情報が流出したことを明らかにした。

エア・インディアは3月19日、SITAがサイバー攻撃の被害に遭ったことを乗客に初めて伝えました。

"エア・インディアは、週末に送信した情報漏洩の通知の中で、「旅客サービスシステムのデータ処理会社であるSITA PSS（旅客の個人情報の保存と処理を担当）が最近、サイバーセキュリティ攻撃を受け、特定の旅客の個人情報が漏洩したことをお知らせします」と述べました。

"この事件は、世界中の約450万人のデータ対象者に影響を与えました」と述べています。

エアインディアは、2011年8月から2021年2月までに登録された乗客のデータに影響があったと付け加えました。

しかし、このセキュリティインシデントを調査した結果、クレジットカード情報やパスワードデータへのアクセスはなかったことが判明しています。

しかしながら、エア・インディアは、お客様に認証情報を変更していただくようお願いいたします。

"エア・インディアは、2011年8月26日から2021年2月3日の間に登録された個人情報には、氏名、生年月日、連絡先、パスポート情報、航空券情報、スターアライアンス、エア・インディアのフリークエント・フライヤー・データ（ただし、パスワード・データは影響を受けていません）、およびクレジットカード・データが含まれていました（参照）。

"ただし、この最後のデータに関しては、CVV/CVC番号は当社のデータ処理会社では保有していません」と述べています。

お客様の個人情報の保護は当社にとって最重要事項であり、ご迷惑をおかけしたことを深くお詫びするとともに、お客様の変わらぬご支援とご信頼に感謝いたします。- エア・インディア

エア・インディア以外の航空会社が、航空券の予約から搭乗までの手続きを行うSITAの旅客サービスシステム（PSS）への侵入により、一部のデータがアクセスされたことを乗客に報告しました。

また、SITAは、3月初旬に、影響を受けたPSSの顧客とすべての関連組織に連絡を取ったと、この事件を確認しました。

今回の侵入は、以下のような複数の航空会社の乗客のデータに影響を与えるとのことです。

• ルフトハンザ - 子会社と合わせてヨーロッパで第2位の旅客数を誇る航空会社で、スターアライアンス加盟航空会社、Miles & Moreパートナー。
• ニュージーランド航空 - ニュージーランドのフラッグキャリア航空会社
• シンガポール航空 - シンガポールのフラッグ・キャリア航空会社
• SAS - スカンジナビア航空（情報開示はこちら）。
• キャセイパシフィック航空 - 香港のフラッグキャリア航空会社
• 済州航空 - 韓国の最初で最大のローコスト航空会社
• マレーシア航空 - マレーシアのフラッグ・キャリア航空会社
• フィンエアー - フィンランドのフラッグ・キャリアであり、最大の航空会社
• 日本航空 - 日本で最も長い国内線と国際線の歴史を持つ航空会社。
• 全日本空輸 - 売上高ベースで日本最大規模の航空会社。

セキュリティ知識分野（SecBoK）人材スキルマップ2021年版

日本ネットワークセキュリティ協会からセキュリティ知識分野（SecBoK）人材スキルマップ2021年版なるものがリリースされた。

セキュリティ知識分野（SecBoK）人材スキルマップ2021年版
 

資格もそうだが、こういった細分化や可視化/定化は海外が非常に進んでいて、人材スキルマップもグローバルスタンダードでNIST SP800-181rev.1(NICE Framework)が既に存在している。

海外はジョブ型雇用が一般化しているため、細分化されたうえで、各分野のプロフェッショナルが存在するが、日本の場合リレーションシップ型雇用が一般的のため、NICE Frameworkでは細分化されすぎてマッチしないのであろう。

そこで、日本の環境になじむように整理しなおされたのが人材スキルマップなのである（と勝手に思っている）

NICE Frameworkのロール数がざっと50を超えるのに対し、人材スキルマップのロール数が16となっているのは、日本企業がいかにジョブディスクリプションの定義がヘタクソかを物語っている気がする。

ちなみに、その16のロールを改めて書き出してみる。

1. CISO（最高情報セキュリティ責任者）
2. POC（Point of Contact）
3. ノーティフィケーション
4. コマンダー
5. トリアージ
6. インシデントマネージャー
7. インシデントハンドラー
8. キュレーター
9. リサーチャー
10. セルフアセスメント
11. ソリューションアナリスト
12. 脆弱性診断士
13. 教育・啓発
14. フォレンジックエンジニア
15. インベスティゲーター
16. リーガルアドバイザー
17. ＩＴ企画部門
18. ITシステム部門
19. 情報セキュリティ監査人

こういったロールを意識して日々の業務に取り組むと、自身のキャリアパスやキャリアプランの方向性を立てやすくなるかもしれない。

fastlyのCDNで障害発生 / Fastly: global internet outage caused by a software bug（転載）～クラウドサービスのリスク事例～

Fastly: global internet outage caused by a software bug:

fastlyのCDNで発生したシステム障害についてまとめてみた
 

世界各地で発生した大規模なインターネット障害の原因となったFastly Inc.は2日、この事件は同社の顧客が設定を変更した際に発生したソフトウェアのバグが原因であると発表した。

2021年6月8日に発生した障害は、インターネットが少数のインフラ企業に依存していることに疑問を投げかけるものでした。Fastly社の問題により、「The Guardian」や「New York Times」などのニュースプロバイダーをはじめ、英国政府のサイト、「Reddit」、「Amazon.com」など、トラフィックの多いサイトが停止しました。

日本のサイトでも、メルカリ、楽天市場、読売新聞、日本経済新聞、ABEMA、環境省、金融庁、国土交通省関係サイト、厚生労働省関係サイト、広島大学、Yahoo! JAPAN、note、Paravi、TVerなどが影響を受けています。

"Fastly社は、同社のエンジニアリングおよびインフラストラクチャー担当上級役員であるニック・ロックウェル氏のブログで、「今回の障害は広範囲かつ深刻なものであり、お客様およびお客様に依存しているすべての方々に影響を与えたことを心よりお詫び申し上げます」と述べています。

ロックウェル氏は、この問題は予想されていたはずだと述べています。Fastly社は、世界中に戦略的に配置されたサーバー群を運営しており、顧客がエンドユーザーの近くにコンテンツを迅速かつ安全に移動・保管できるよう支援しています。

同社の投稿には、出来事の時系列が記載されており、Fastly社が自社のテストプロセスでソフトウェアのバグを検出できなかった理由を調査し、説明することを約束している。

Fastly社によると、このバグは2021年5月12日に顧客に出荷されたソフトウェア・アップデートに含まれていましたが、正体不明の顧客が設定変更を行って問題が発生するまでは、「当社のネットワークの85％がエラーを返す原因となった」と述べています。

Fastlyは、09:47 GMTに発生した障害に1分以内に気づき、10:27 GMTにエンジニアが原因を突き止めました。問題の原因となった設定を無効にしたところ、同社のネットワークのほとんどがすぐに回復しました。

"49分以内にネットワークの95％が正常に動作するようになりました」と同社は述べています。

同社のネットワークは12:35GMTに完全に復旧し、17:25GMTには恒久的なソフトウェア修正プログラムの配布を開始したとFastly社は述べています。

2021年版、灯台下暗しの実例～逃亡したヘビを17日間延べ200人以上動員して捜索するも、飼い主の屋根裏で発見されるというオチ～

 

【新大学生向け】まず最初に買うべきものブランド3選（転載）

(タイトル不明):

ユーザーに不利益な選択をさせるデザイン「ダークパターン」を通報できるウェブサイトが登場（転載）

 

ユーザーに不利益な選択をさせるデザイン「ダークパターン」を通報できるウェブサイトが登場

　製品購入やサービス解約などの手続きにおいて、ユーザーに不利益な選択をさせることを目的としたデザイン、いわゆる「ダークパターン」を通報できるサイトが米国で登場した。

　「Dark Pattern Tipline」と名付けられた同サイトは、ユーザーの誤クリックを誘発するために「Yes」「No」の色や配置を前のページと入れ替えるなど、悪意のあるデザインを用いているウェブサイトの通報を受け付けることを目的としている。こうした悪意を持ったデザインは「ダークパターン」と呼ばれ、近年その呼称が急速に広まりつつあるが、今回のウェブサイトはそれらを周知するとともに、運営者に改善を促すことを目的としており、スクリーンショットに企業名やURL、具体的な被害などを添えて投稿する仕組み。米国ではこうしたダークパターンを禁止する法律の制定が進みつつあり、電子フロンティア財団らが中心になって設立された同サイトは、そうした取り組みの一環とみられる。今後の活動に要注目だ。

• Dark Pattern Tipline
  https://darkpatternstipline.org/
• 
  
• Dark Patterns Tip Line: Tell Us Your Experiences with Manipulative Design Practices（Digital Lab at Consumer Reports）
  https://digital-lab.consumerreports.org/2021/05/19/dark-patterns-tip-line-tell-us-your-experiences-with-manipulative-design-practices/
• 
  
• 告知ツイート（Twitter）
  https://twitter.com/CRAdvocacy/status/1395031496671567875