ユピテル、会員情報40万件流出 不正アクセスから3年以上経ち、脅迫され公表(転載)~想定損害賠償額は48億円程度か~

ユピテル、会員情報40万件流出 不正アクセスから3年以上経ち、脅迫され公表
 

株式会社ユピテルは2021年6月8日、同社が提供する会員サービス「My Yupiteru」が外部からの不正アクセスを受け、氏名や住所、電話番号などの会員データ40万5,576件が流出したと明らかにしました。

発表によると、同社は2017年10月31日に外部からの不正アクセスを確認しており、この時点で会員データが流出していたとのこと。当時は不正アクセスの発生は事実であるものの情報流出はないものと判断しており、公表を控えていました。

ところが2021年5月25日になり、同社に匿名の脅迫メールが届きます。脅迫者は同社から2017年に会員情報を盗み取ったと告げる一方で、同社に金銭の支払いを要求したとのこと。このため、同社は関係当局に報告のうえで、流出の事実の公表に踏み切りました。

株式会社ユピテルによると、不正アクセスの影響で2017年10月以前に「My Yupiteru(ity.クラブ、ATLASCLUB、を含む)」に登録したユーザーの会員情報40万5,576件に流出の危険性が生じています。

流出した情報は氏名や住所、電話番号およびメールアドレスなどの情報で、クレジットカード情報は含まれていないとのこと。ただし、連絡先が流出していることから、今後被害者には不審な電話やダイレクトメールが生じる可能性があるとしています。

なお、同社によると不正アクセスの原因自体は2017年以降に対策を進めているとのことです。

My Yupiteru会員様情報の一部流出のお詫びとお知らせ

バックアップ

SOCMINTとは?(転載)


警察が今話題のSOCMINTってやつに興味を示していることはよくわかった。 en.wikipedia.org/wiki/Social_me…: 警察が今話題のSOCMINTってやつに興味を示していることはよくわかった。
en.wikipedia.org/wiki/Social_me…

ソーシャルメディア・インテリジェンス(SMIまたはSOCMINT)とは、組織がユーザーのニーズに基づいて、会話を分析し、ソーシャルシグナルに反応し、ソーシャルデータポイントを意味のあるトレンドや分析に合成するためのツールやソリューションの集合体を指します。ソーシャルメディア・インテリジェンスでは、ソーシャルメディアサイトからの情報収集を、侵入または非侵入の両方の手段を用いて、オープンまたはクローズドのソーシャルネットワークから利用することができます。この種の情報収集は、OSINT(Open-Source Intelligence)の一要素です。

この言葉は、2012年にデビッド・オマンズ卿、ジェイミー・バートレット、カール・ミラーが、ロンドンのシンクタンクDemosのCentre for the Analysis of Social Mediaに寄稿した論文で生まれました。

この論文では、ソーシャルメディアが諜報活動や安全保障活動において重要な役割を果たしているが、ソーシャルメディアが強力な新しい諜報活動とみなされるためには、技術的、分析的、規制的な変化が必要であり、そのためには2000年英国調査権規制法の改正が必要であるとしています。

ソーシャルメディアとソーシャルメディア・モニタリングがダイナミックに進化していることを考えると、ソーシャルメディア・モニタリングが組織のビジネス価値創造にどのように役立つかについての現在の理解は不十分です。そのため、組織が(a)事業に関連するソーシャルメディアデータを抽出・分析する方法(Sensing)と、(b)ソーシャルメディアモニタリングから得られた外部情報を特定のビジネスイニシアチブに活用する方法(Seizing)を研究する必要があります。

調査によると、Twitter、Facebook(一般的なソーシャルネットワーキングサイト)、YouTube(最大の動画共有・ホスティングサイト)、ブログ、ディスカッションフォーラムなど、インターネット上の様々なソーシャルメディアプラットフォームが、過激派グループによって、自分たちの信念やイデオロギーを広めたり、過激化を促進したり、メンバーを募集したり、共通のアジェンダを持つオンライン仮想コミュニティを作るために悪用されていることがわかっています。また、Twitterなどの人気マイクロブログサイトは、内乱関連イベントの計画・動員時に、情報共有やコミュニケーションのためのリアルタイムプラットフォームとして利用されています。

広義には,ソーシャルメディアとは,コミュニティの間でコンテンツを生成し,広め,コミュニケーションを行う会話型の分散型モードを指します。放送を中心とした伝統的なメディアや産業メディアとは異なり、ソーシャルメディアは著者と読者の間の境界を取り払い、情報の消費と普及のプロセスは、情報の生成と共有のプロセスと本質的に絡み合ってきています。

1R区分のレジェンドが指南する1Rマンションの見極め方(転載)


 区分の生き字引「芦沢晃」と街散歩、1Rマンションの見極め方

不動産向け融資が厳しい中、比較的低価格で購入できる中古ワンルームマンションの購入を検討する人もいるのではないでしょうか? しかし、安易に購入してしまうと、修繕費など思わぬ費用が発生してしまう恐れもあります。

そこで今回は、有名投資家が街歩きをしながら、外観から分かる物件のチェックポイントを紹介。解説してくれたのは、中古ワンルームマンション59室を保有し、年間家賃収入は3600万円にも上るというベテラン大家の芦沢晃さんです。

この記事では、すでに公開中の以下の動画の中から、物件チェックに役立つポイントをピックアップしてご紹介していきます。


今回芦沢さんが訪れたのは、東京都のJR立川駅周辺。立川駅はJR中央線の乗降客数が東京と新宿に次いで3位で、西東京の代表駅です。そんな立川駅から徒歩10分程度、賃貸物件が立ち並ぶエリアを歩いていると、さっそく芦沢さんが動き出しました。

芦沢さんが確認したのは、「ゴミ収集場」。「ゴミ収集場の管理状態から、入居者のモラルが分かる」と話し、ゴミが散乱していないか、ゴミ出しのルールは守れているかなどを確認していきます。

「あまりにもゴミが散乱している物件は、購入後に入居者クレームなどのトラブルが起こる可能性もあるため、できるだけ購入しないようにしています」(芦沢さん)


次に芦沢さんがチェックしたのは、建物外構によくある植栽です。雑草が生えたままになっていないか、樹木の手入れは施されているかを見ていたようです。

植栽を綺麗に保つためには、専門業者に手入れを依頼する必要があり、当然費用が発生します。この費用は管理組合の修繕積立金から出しますが、「マンションの修繕積立金が枯渇しているような場合には、入居者の生活に大きな影響は与えない、植栽の手入れなどは後回しにされがちです」と芦沢さん。

つまり、植栽がきちんと手入れされているということは、修繕積立金が不足している状況ではないと推測ができるのだそうです。

潤沢な管理費・修繕積立金がないと、突発的な修繕が発生した際、余計な費用が発生する恐れもあるため注意が必要だと言います。


そのまま街歩きを続けると、エントランスの窓ガラスが破損しているマンションがありました。これを見た芦沢さんは、「共用部にある窓ガラスが割れたり、自動ドアが故障したりしている場合には、管理組合の保険を適用して直すか、修繕積立金で修繕するんです」と解説。

そのため、「物件の購入をする際には、管理組合が加入している保険の内容にじっくりと目を通してほしいですね」と芦沢さんは語ります。

「物件を紹介してもらった仲介会社に相談すれば、その物件の保険証書や、修繕積立金の積み立て状況などの詳細資料を持っていることがあります」と芦沢さん。物件を購入する前に管理会社に相談し、どのような保険に加入しているのか、修繕積立金はいくら貯まっているのかなど、詳細資料を確認しておくようにしましょう。


投資歴26年という芦沢さん。これまで多くの区分マンションを見てきた経験をもとに、購入する区分マンションを選ぶ上での注意点についても話してもらいました。

まず芦沢さんは「収支をきちんと確認することが重要です」と言います。

例えば、築年数が浅いマンションは、立地が良く見た目がきれいなことも多いため、初心者が購入しがちだと指摘。こうしたマンションは、購入当初は家賃が周辺相場よりも高く得られることが多いです。

ただし、築年数が経過すれば徐々に家賃が下がり、修繕積立金が徐々に上がっていく傾向にあります。購入金額や諸費用以外に、将来発生する恐れのある修繕費用もシミュレーションに盛り込んだ上で、購入前の段階で収支を確認する必要があると芦沢さんは言います。

また、「周辺の競合物件の調査を怠らないようにしてほしい」と呼びかけます。その際、注意したいのは競合物件の選定。「中古ワンルームマンションの競合は、周辺の古い木造戸建てやコインパーキングなども含まれるので、中古マンションだけの調査では不十分」なのだそうです。

相続などをきっかけに、木造戸建てやコインパーキングが賃貸アパートになるなど、いつの間にか競合物件が誕生することもあると話します。

一方、案外見落としがちなポイントですが、災害リスクは十分に調べておく必要があるという芦沢さん。例えば、今回見た立川エリアには『立川断層』という活断層があります。

こうした活断層のあるエリアにある物件を買った場合、地震が起きた際に大きな影響が出る可能性も考えられます。そのため、「活断層があるエリアで物件を購入する際は、管理組合が加入している保険証書を確認して、地震保険に加入しているのかといったチェックも重要でしょう」と話しました。


不動産投資にはさまざまなリスクがあるため、エリアや時期など「広く分散する必要がある」と芦沢さん。

不動産投資をする上では、震災リスクや競合が乱立することによるリスクなど、長期スパンでさまざま検討しなくてはなりません。そのため、「場所(購入エリア)や時期(購入タイミング)などを分散することで、リスクを減らしていくことはできます」と指摘します。

また、芦沢さんはこれから不動産投資を始めようとする人に向けて、「建物全体の将来の修繕はどうなるか、修繕積立金で修理できるか、管理組合に修繕積立金はあるかなど、多くのことを見極めた上で、投資判断をしていただければと思います」とアドバイスを送りました。

欺術~気になるワード集~


2003年に初版発行の本だが、書かれている内容は2021年でも通用するものも多く、テクノロジーが進化しても「人」の部分はあまり変わらないのだなと気付かされる。

移行、読んでいて気になった部分を記載してみる。

第1部 騙しの楽屋裏

第1章 セキュリティのウィーケストリンク

  • アルバート・アインシュタインはこう言った「無限なものは二つしかない。それは宇宙と人間の愚かさだ。ただし、宇宙はもしかして有限かもしれないが。」 

  • セキュリティは製品ではない。それはプロセスである 

  •  セキュリティは技術の問題ではない。それは、人間とマネージメントの問題である。

第2部 犯行の手口

第2章 無価値な情報の価値

  • 社員番号のような、簡単に外部に知られてしまう情報を、認証のための情報として使ってはならない。社員は情報を請求するとき、本人性を証明するだけでなく、情報を必要とする正当な理由を報告しなければならない。  

  •  外部者から質問を受けたり、情報を求められたときには、とりあえず丁寧に断ること。そして、要求の正当性と合法性が確認できたときに、あらためて、情報を提供するようにすること。 

 第3章 直接攻撃:ただ「それをくれ」と言うだけ

  • セキュリティ教育訓練には、次の点を盛り込まなければならない。電話をしてきた人間や訪ねてきた人間が、会社の人間の名前や、会社内の専門用語や、業務の手順などを知っていたからといって、その人間が自称する本物の当人であるとは限らない。 

  • セキュリティ教育の極意は、疑え!そして、一に確認、二に確認、三に確認、四にも五にも確認だ! 

第6章 「助けてください。」

  • キャンディ・セキュリティ(Candy Security):外側はファイアウォールなどで堅固に守っているが、その内部のシステム基盤が脆弱なネットワークのこと。このキャンディは、M&Mのチョコレートキャンディを指し、そのこころは、「外側が硬くて中が柔らかい」 

  •  スピークイージー・セキュリティ(Speakeasy Security):情報がどこにあるかという知識は一応秘密にされているが、その知識が分かればだれにでもアクセスできてしまうセキュリティ。コンピューターシステム上のある情報に、簡単な言葉や名前を使ってアクセスできる状態。 

  • 何かを求めてきた人物の本人性を確認するための、一つの良い方法は、その人物の電話番号に電話をしてみることだ。電話の主が犯人なら、この確認電話には本物の本人が出るだろう。

  •  会社の業務手順や専門用語を知っていることは、本物の社員であることの証拠にはならない。どんなに本物らしく聞こえても、必ず正式な確認検査が必要である。

第3部 侵入者への警戒

第10章 建物への侵入

  • ごみに対して意識的になる

機密情報を機密性の程度に基づいて分類する

機密情報を捨てる場合の捨て方を全社的に規則化する 

 機密情報はすべて、シュレッダーにかけてから捨てることを義務化する。

シュレッダーに掛からないような小さな用紙の使用は禁止する。

外部記憶媒体(光学メディア、テープ、HDD)を捨てる際は、データを完全に消すか、使用不可能な状態にしてから捨てるべき

コンピュータ上でファイルを”削除”しても、データは消えないことに注意する。 

 会社の清掃をする人々に対しては、身元調査をすべきである。 

  •  辞める社員への対策

機密情報へのアクセス権を持っている社員が辞めるときに、情報部門~セキュリティ部門がとるべき手順手続きを、細かく具体的に定めておくこと。

退社した人物が物理的に会社の建物を去る前に、その人物のコンピュータへのアクセス権を停止すること(悪用の防止) 

辞めた社員と同じワークグループに所属する社員は全員、パスワードを変えるべきである(とくにその人物がクビになった場合)

第4部 守りを固める

第15章 セキュリティの自覚と教育訓練

ソーシャルエンジニアたちが利用する”人間性の六つの弱さ”

  • 権威に弱い 

人間には地位や権力などの権威を持っているものからの要求に従う傾向がある。ソーシャルエンジニアは、会社のIT部門の者、重役、あるいは重役の下で仕事をしている者である、などと名乗って、社員をだまそうとする 

  •  好き嫌いに弱い

 人間は、感じの良い人物からの要求や、関心や信念や態度などが自分と同じ人物からの要求に従う傾向がある。ソーシャルエンジニアは、会話を通じて、被害者の趣味や関心対象を聞き出し、自分もそれと同じ趣味や対象に熱中している、とホラを吹く。

  •  お礼に弱い 

 人間は”お礼に何々するから/あげるから”というタイプの要求に、自動的に従う傾向がある。社員はIT部門の者だと名乗ろソーシャルエンジニアからの電話をもらう。ソーシャルエンジニアは、会社のコンピューターの一部がウイルス対策ソフトで認識できない新しいウイルスに感染した、と告げ、その対策を社員に親切に教えた。それに続いてソーシャルエンジニアは、ユーザーがパスワードを変更するためのプログラムを最近アップグレードしたので、ちょっと試してみてほしいと社員に頼む。その社員は、ウイルス対策を今教えてもらったばかりの人物からの頼みをなかなか断れない。社員は、ソーシャルエンジニアの頼みを聞き入れることによって、お礼をした。

  •  約束に弱い

人間は、ひとつのものごとに自分が積極的にかかわったり、肯定的な意思表示をした場合に、そのものごとに関連するその後の要求をなかなか断れない傾向がある。 

  • 横並び社会に弱い

人間は、その要求を聞き入れたら自分もほかの人たちと同じになる、横並びになる、と感じた要求には従う傾向がある

  • 希少性に弱い 

 人間は、供給量が少ないものを入手したいがために競争する。また、賞品が、一定の短期間しか入手できないものだと、検証に熱心に応募しがちだ。

BAやIBでAviosを購入するには、最低1Avios保有していることが必須(転載)


 【注意】BAやイベリア航空でAviosを購入するには、最低1Avios保有していることが必須

ブリティッシュエアウェイズ(BA)やイベリア航空(IB)のAviosはJAL特典航空券にお得に交換することができます。

しかし、購入するためには、購入したい方の航空会社で1以上のAviosポイントを事前に有していないといけません!!

BAのAvios購入に関するterms&conditions

Aviosの購入

  1. 購入者は、1暦年につき最大200,000 Aviosポイントを購入することができます。
  2. Aviosポイントは最少購入を1,000Aviosとして、特定のポイント数でのみご購入いただけます。
  3. Avios購入は実施されるキャンペーン活動にて時折修正されることがあります。詳細はBa.comをご覧ください。
  4. 購入者は、Executive Clubのアカウントに反映され次第、購入したAviosポイントを使用することができます。 Aviosポイントがアカウントに加算されるまで若干時間がかかる場合があります。 詳細については、最寄りのサービスセンターまでお問い合わせください。
  5. Aviosポイントは、Ba.com上でAviosポイント購入申し込みフォームを使用する方法、または、ブリティッシュ エアウェイズのExecutive Clubコンタクトセンターでのみご購入いただけます。
  6. 購入者は、18歳以上のブリティッシュ・エアウェイズのExecutive Clubメンバーでなければなりません。
  7. 購入者は、ブリティッシュ・エアウェイズのExecutive Clubアカウントに最低1 Aviosポイントが必要です。
  8. ご利用条件で定められている通り、Aviosポイントをご購入になると、Aviosの36ヵ月の失効ルールがリセットされます。
  9. お客様は、ご購入のAviosポイントが未使用の場合に限り、ご購入から14日以内であればAviosポイントのご購入をキャンセルいただける権利を有しています。Aviosポイント購入をキャンセルする権利を行使するには、オンライン・クエリ・フォームで、書面にてその旨の要請を行っていただくか、ご購入いただいた国のExecutive Club事務局までお電話いただく必要があります(お問い合わせ先の詳細はba.comでご確認ください)。以下のキャンセル用テンプレートをご利用いただくことができます。キャンセルをされる場合、弊社がお客様からキャンセルの通知を受けてから14日以内に、お支払いの全額を不当な遅延なく払い戻しいたします。

ブリティッシュエアウェイズHPから抜粋)

イベリア航空のAvios購入に関するterms&conditions

9. The Buyer must also have been a holder of the Iberia Plus card for at least 3 months or have a balance of more than 0 Avios.

(イベリア航空HPから抜粋)

両航空会社ともに規約に明記されています。。。。

購入前にあらかじめAviosを入手するには、クレジットカードのポイント、又は、ホテルのポイントから移行しましょう。

Aviosに交換できるクレジットカードとして代表的なカードは以下になります。

①VISAカード(ANAカード等含む):

200円決済でVポイント1Pが貯まり、500Pで250Aviosと交換可能です(BAのみ)

②SPGアメックスカード:

100円決済でマリオットポイント3Pが貯まり、3,000Pで1,000Aviosと交換可能です(BA、イベリア航空ともに可)

ホテルポイントからのAvios移行(BAのみ)

・マリオット:9,000Marriott Bonvoyポイントを3,000Aviosに交換

・ヒルトン:10,000 オナーズポイントを1,000 Aviosに交換

・IHG:10,000 IHG®リワーズクラブポイントを2,000 Aviosに交換

・ハイアット:5,000ワールド オブ ハイアット ポイントを2,000 Aviosに交換

旅行好きの方であれば、上記のクレジットカードまたはホテルポイントを持っている方は多いと思われます。

また、BAとイベリア航空間のAviosの移行は手数料等なしに即日で可能です。

なので、クレジットカードやホテルポイントはBAとイベリア航空のどちらに移行しても良いと思います。

ただし、アカウント作成から3か月が必要であることと、アカウントの完全一致が必要となる点に注意です。

イベリア航空でAviosがゼロの場合は、購入ページに移動してもAviosを購入することはできません。

“Sorry, you currently don’t meet the terms and conditions to buy Avios”と表示されてしまいます。


ということで、初めてBAまたはイベリア航空でAviosを購入される際には、事前に何らかの方法(BAまたはイベリア航空のフライトを利用、クレジットカードまたはホテルのポイントを移行)でアカウントに1以上のAviosを保有しておきましょう。

また、イベリア航空の全AviosをBAに移行しないようにしておきましょう。イベリア航空サイトからAviosを購入したときに備えておきましょう。

ATT&CKへのマッピングの自動化:脅威レポート ATT&CK マッパー(TRAM)ツール / Automating Mapping to ATT&CK: The Threat Report ATT&CK Mapper (TRAM) Tool(転載)

Automating Mapping to ATT&CK: The Threat Report ATT&CK Mapper (TRAM) Tool

ATT&CK マッピングを含むサイバー・スレット・インテリジェンス・レポートの発行数が増加していることは喜ばしいことであり、分析者がこれらのマッピングを簡単かつ迅速に作成できるようにしたいと考えています。ATT&CK のグループページやソフトウェアページに新しいレポートを追加するたびに、同様のプロセスを経ているので、ATT&CK マッピングの作成プロセスが難しいことは承知しています。アナリストが全266種類の技術に精通し、情報がどのようにマッピングされているかの機微を理解するには時間がかかります。我々自身のマッピングでは、毎日のように新しいレポートが発表されるため、追加したいレポートのバックログが尽きることがありません。私たちのチームの将来のアナリストの負担を軽減し、他のコミュニティを支援するために、私たちはこのプロセスを自動化する方法の開発に着手することにしました。

当社が開発したツール、Threat Report ATT&CK Mapper (TRAM)は、レポートを分析し、ATT&CK テクニックを抽出するための合理的なアプローチを提供することを目的としています。ATT&CKへのマッピングを自動化することで、分析者の疲労を軽減し、ATT&CKのカバー率を高め、脅威情報のマッピングの一貫性と精度を向上させることができると期待しています。TRAMのパブリックベータ版をATT&CKコミュニティに提供できることを嬉しく思います。

どうやってここまでたどり着いたのか?

レポーティングのテクニックを見つける方法を考え始めたとき、私たちは最も簡単そうな方法から始めました。曖昧な文字列検索です。私たちは、名前からテクニックを探すコマンドラインツールを作りました。すぐにわかったのは、この方法はうまくいく場合とまったくうまくいかない場合があるということでした。例えば、「Mshta」は非常に高い再現性を持っていましたが、「DLL Search Order Hijacking」は非常に低い再現性しかありませんでした。そこで私たちは、より高度な自然言語処理(NLP)プロセスをこの問題に適用することにしました。

以下は、私たちのNLPプロセスです。

  1. まず、トレーニング用のデータが必要です。基本的には、モデルにしたい各項目の正解を集めたアンサーキーが必要です。ここでは、テクニックごとにモデルを作りたいので、ATT&CKのサイトにある「Procedure Examples」をテクニックごとに使用しています。

  2. 次に、データを処理しやすい状態にする必要があります。これは、コンピュータが理解しやすいように、テキストをできるだけシンプルなバージョンにすることです。例えば、「masquerade」「masquerading」「masqueraded」はすべて同じ意味ですから、単語の時制ではなく、その意味に基づいてモデルを構築します。同様に、テキストをトークン化する必要があります。これは、テキストをトークンと呼ばれる小さな単位(多くは単語)に分割することです。このトークンによって、コンピュータはデータのパターンを理解することができます。例えば、文中の単語数を数えたり、2つの単語が隣り合って現れる頻度を数えたりすることができます。

  3. これで、それぞれの技術に応じたモデル(パターン)を構築することができるようになりました。現在はPythonのSci-kitライブラリを使用しています。ロジスティック回帰と呼ばれる手法を使用していますが、これは予測を行うのに適しており、ある文章にどのようなテクニックがあるかを予測します。また、この手法は、出力すべきもの(つまり、特定の技術)がわかっているので、教師付き学習と考えられます。

  4. 新しいデータでモデルを使用する前に、正しい答えがわかっているデータでモデルをテストする必要があります。そのために、ATT&CKにマッピングされているレポートを使って、モデルが十分な性能を発揮するかどうかを確認しました。

  5. モデルが期待通りのデータを見つけられることが確認できたら、今度はコンピュータが見たことのないデータ(例えば、ウェブサイトから出荷されたばかりのレポート)に対してモデルを使用することができます。

幸いなことに、Pythonのpickleファイルを使って、これらのモデルを「キャッシュ」形式で保存しています。つまり、このツールを使うたびにこのプロセスを繰り返す必要はないのです。私たちのNLPプロセスについてもっと知りたい方は、10月に行われたTRAMに関するBSides DCのプレゼンテーションをご覧ください。

TRAMはどのように使うのですか?

TRAMはローカルで動作するWebツールで、ユーザーはWebページのURLを送信することができます(PDFはまだありません)。TRAMがページを取得して解析することができれば、レポートの分析には1分近くかかることがありますが、これはフードの下で多くのことが行われているからです。

注:すぐに「レビューが必要」というカードが表示される場合は、一般的にWebサイトがスクレイピングの試みを好まなかったか、サイトの何かが解析できなかったことを意味します。この問題については現在調査中で、近日中に修正できると思います。


ニーズレビューの欄にカードが表示されたら、いよいよ分析を開始しましょう


TRAMのロジスティック回帰モデルは、テクニックを発見したと予測すると、関連するテキストをハイライトし、予測されたテクニックを右側のボックスに表示します。現在のデータセットは非常に限られているため、モデルの精度は100%ではありません。そのため、このツールではアナリストがテクニックの予測を確認し、「Accept」または「Reject」を行う必要があります。裏では、「Accept」ボタンがクリックされると、その文章と技術はデータベースの「True Positives」テーブルに入り、「Reject」がクリックされると、その文章は「False Positives」テーブルに入ります。これらのテーブルを使って、モデルを再構築することができます。より多くのデータがツールに入力され、アナリストがレビューし、モデルが再構築されることで、これらの予測はより正確になることが期待されます。


文章がハイライトされていてもいなくても、手動でテクニックを追加する必要がある場合は、その文章をクリックし、表示されるボックスで灰色の「Add Missing Technique」ボタンをクリックすることで、追加することができます。追加したいATT&CKのテクニックを入力し、表示されたらクリックします。文章がハイライトされていない場合は、ハイライトが表示されます。さらに、受け入れられた技術と拒否された技術のように、不足している技術が追加された場合は、「True Negatives」テーブルに入れられ、モデルを再構築する際に同様に考慮されます。

分析者がレポート全体を確認した後、ページの上部中央にある「Export PDF」ボタンをクリックすると、TRAMSの結果をPDFとしてエクスポートできるようになりました。エクスポートすると、レポートの生のテキスト版と、ATT&CKの手法とそれに対応する文章を表にしたものがPDFとして作成されます。一部の表の例を以下に示します。


TRAMの次のステップは何ですか?

現在のツールを共有し、ATT&CKへのマッピングを支援できることを嬉しく思っています。しかし、まだまだできることはたくさんあると思っています。TRAMは現在、機能的なプロトタイプであり、継続的に改良・開発されています。今後数ヶ月の間に、いくつかの機能を実装したいと考えています。これらの機能が追加されるたびに、新しい変更点を発表し、公開リポジトリを最新の状態に保つようにします。

次のステップとしては、以下のようなものがあります。

  • 追加のファイルタイプ(例:.doc、.pdf、.txt)を取り込む機能。
  • 出力形式の追加(例:CSV、JSON、STIX
  • 複数のユーザーを同時にサポートする機能
  • ダッシュボードと分析(例:レポートから見えるテクニックのトップ10、時系列でのテクニックの頻度、など

TRAMはどうやって入手できますか?

TRAMの完全なソースコードは、https://github.com/mitre-attack/tram にあります。READMEには、ツールを実行するための手順が記載されています。

ご自由にダウンロードしてお試しください。これはベータ版なので、バグや問題があることは承知しています。GitHub issue trackerを使って、これらの問題の追跡にご協力ください。

エア・インディアは、450万人の顧客に影響を及ぼすデータ障害を公表。 / Air India disclosed a #databreach affecting 4.5 million of its customers.(転載)


Air India disclosed a #databreach affecting 4.5 million of its customers. https://www.bleepingcomputer.com/news/security/air-india-data-breach-impacts-45-million-customers/#.YKj_zFrqz-Q.twitter:

Air India disclosed a #databreach affecting 4.5 million of its customers. bleepingcomputer.com/news/se…

エア・インディアは、2021年2月に旅客サービスシステムを提供するSITAがハッキングされてから2ヶ月後に、約450万人の顧客に属する個人情報が流出したことを明らかにした。

エア・インディアは3月19日、SITAがサイバー攻撃の被害に遭ったことを乗客に初めて伝えました。

"エア・インディアは、週末に送信した情報漏洩の通知の中で、「旅客サービスシステムのデータ処理会社であるSITA PSS(旅客の個人情報の保存と処理を担当)が最近、サイバーセキュリティ攻撃を受け、特定の旅客の個人情報が漏洩したことをお知らせします」と述べました。

"この事件は、世界中の約450万人のデータ対象者に影響を与えました」と述べています。

エアインディアは、2011年8月から2021年2月までに登録された乗客のデータに影響があったと付け加えました。

しかし、このセキュリティインシデントを調査した結果、クレジットカード情報やパスワードデータへのアクセスはなかったことが判明しています。

しかしながら、エア・インディアは、お客様に認証情報を変更していただくようお願いいたします。

"エア・インディアは、2011年8月26日から2021年2月3日の間に登録された個人情報には、氏名、生年月日、連絡先、パスポート情報、航空券情報、スターアライアンス、エア・インディアのフリークエント・フライヤー・データ(ただし、パスワード・データは影響を受けていません)、およびクレジットカード・データが含まれていました(参照)。

"ただし、この最後のデータに関しては、CVV/CVC番号は当社のデータ処理会社では保有していません」と述べています。

お客様の個人情報の保護は当社にとって最重要事項であり、ご迷惑をおかけしたことを深くお詫びするとともに、お客様の変わらぬご支援とご信頼に感謝いたします。- エア・インディア

エア・インディア以外の航空会社が、航空券の予約から搭乗までの手続きを行うSITAの旅客サービスシステム(PSS)への侵入により、一部のデータがアクセスされたことを乗客に報告しました。

また、SITAは、3月初旬に、影響を受けたPSSの顧客とすべての関連組織に連絡を取ったと、この事件を確認しました。

今回の侵入は、以下のような複数の航空会社の乗客のデータに影響を与えるとのことです。

  • ルフトハンザ - 子会社と合わせてヨーロッパで第2位の旅客数を誇る航空会社で、スターアライアンス加盟航空会社、Miles & Moreパートナー。
  • ニュージーランド航空 - ニュージーランドのフラッグキャリア航空会社
  • シンガポール航空 - シンガポールのフラッグ・キャリア航空会社
  • SAS - スカンジナビア航空(情報開示はこちら)。
  • キャセイパシフィック航空 - 香港のフラッグキャリア航空会社
  • 済州航空 - 韓国の最初で最大のローコスト航空会社
  • マレーシア航空 - マレーシアのフラッグ・キャリア航空会社
  • フィンエアー - フィンランドのフラッグ・キャリアであり、最大の航空会社
  • 日本航空 - 日本で最も長い国内線と国際線の歴史を持つ航空会社。
  • 全日本空輸 - 売上高ベースで日本最大規模の航空会社。

セキュリティ知識分野(SecBoK)人材スキルマップ2021年版


日本ネットワークセキュリティ協会からセキュリティ知識分野(SecBoK)人材スキルマップ2021年版なるものがリリースされた。

セキュリティ知識分野(SecBoK)人材スキルマップ2021年版
 

資格もそうだが、こういった細分化や可視化/定化は海外が非常に進んでいて、人材スキルマップもグローバルスタンダードでNIST SP800-181rev.1(NICE Framework)が既に存在している。

海外はジョブ型雇用が一般化しているため、細分化されたうえで、各分野のプロフェッショナルが存在するが、日本の場合リレーションシップ型雇用が一般的のため、NICE Frameworkでは細分化されすぎてマッチしないのであろう。

そこで、日本の環境になじむように整理しなおされたのが人材スキルマップなのである(と勝手に思っている)

NICE Frameworkのロール数がざっと50を超えるのに対し、人材スキルマップのロール数が16となっているのは、日本企業がいかにジョブディスクリプションの定義がヘタクソかを物語っている気がする。

ちなみに、その16のロールを改めて書き出してみる。

  1. CISO(最高情報セキュリティ責任者)
  2. POC(Point of Contact)
  3. ノーティフィケーション
  4. コマンダー
  5. トリアージ
  6. インシデントマネージャー
  7. インシデントハンドラー
  8. キュレーター
  9. リサーチャー
  10. セルフアセスメント
  11. ソリューションアナリスト
  12. 脆弱性診断士
  13. 教育・啓発
  14. フォレンジックエンジニア
  15. インベスティゲーター
  16. リーガルアドバイザー
  17. IT企画部門
  18. ITシステム部門
  19. 情報セキュリティ監査人

こういったロールを意識して日々の業務に取り組むと、自身のキャリアパスやキャリアプランの方向性を立てやすくなるかもしれない。