ココイチでバイトテロ!陰毛をカレーに・・・・


 今度はココイチで「バイトテロ」、不衛生行為をSNSで限定公開→予期せず拡散 店は一時営業停止に...運営会社「厳正な対応を行う」

再び目立つようになった「バイトテロ」が、今度は「カレーハウス CoCo 壱番屋」で発覚した。

店の休憩室で、アルバイトの男性がカレーに「不適切行為」をしたものだ。運営会社の壱番屋は2021年6月14日、「お客様にご不快、ご不安な思いをさせた」として公式サイトで謝罪した。

男性店員が、左手で股間に手を入れ、カレーに振りかける

黒いTシャツと黄色い半ズボンをした若い男性店員が、左手で股間に手を入れた。

「なんしてるんですか? は?」。また手を入れると、別の店員がこう声をかける。

すると、男性は、その左手で食べかけのカレーの上に何かをばらまいた。別の店員は、「うわー!」と声を上げるが、男性は、「スパイスを振りかけました」とつぶやく。カメラがカレーに近づくと、男性の陰毛らしきものがライスの上に乗っていた。

別の店員は、「この人...」と呆気に取られるが、男性は、その場で踊り始め、右隅にいた3人目の店員は、あきれた様子で顔を両手で押さえていた。

この15秒ほどの動画は、インスタグラムに投稿され、6月13日には、ツイッターで転載されるなどして騒ぎになった。

壱番屋の経営企画室は14日、J-CASTニュースの取材に対し、福岡県内にあるフランチャイズ加盟店で12日夕に実際にあったことだと認めた。

今回も鍵付きインスタに投稿し、「仲間うちだけで見るつもりだった」

それによると、バイトの男性店員が店の休憩室で、客に提供するのと同じまかないのカレーを食べていると、動画の男性が、カレーに対して「不適切な動作」を行った。

同社では、この行為は、いじめではなく、お互いに面白がっていた単なる悪ふざけだと説明した。動画の最後に顔を両手で覆った男性は、また別の店員だという。

動画は、食事をしていた男性がスマートフォンのカメラで撮り、行為があった直後に、自らのインスタに投稿していた。インスタは、鍵付きのアカウントで、24時間で消える「ストーリー」に動画をアップしたため、仲間うちだけで見るつもりだったという。

それがなぜネット上で流出したのかは不明だというが、12日の深夜には拡散が始まり、それに気づいた別の店から本部に通報があったそうだ。

壱番屋は14日昼過ぎ、「店舗従業員による不適切な行為とお詫びについて」のタイトルでお知らせを出した。「従業員による不適切な SNS 投稿があったことが発覚いたしました」と報告し、「このような、店舗内の休憩室での不衛生で不適切な行為によって、お客様に大変ご不快でご不安な思いをさせてしまいましたことを深くお詫び申し上げます」と謝罪した。

発覚当日に店の営業を停止し、再発防止に向けた指導を行うとともに、店における衛生管理の確認や清掃などを行い、翌日から営業を再開したという。

バイト店員2人については、「事実関係を認め、素直に反省しておりますが、弊社といたしましては規程に則って厳正な対応を行う所存」だとしている。


プレスリリース:店舗従業員による不適切な行為とお詫びについて

バックアップ



区分一筋26年、59室を「現金買い」した兼業大家の軌跡(転載)~購入価格は500万~1000万円くらい、家賃5万円を得られる物件を目指す~


区分一筋26年、59室を「現金買い」した兼業大家の軌跡

1989年、自宅用として購入した区分マンションをきっかけに不動産投資を開始。現在に至るまで59室の中古ワンルームマンションを現金で買い進め、家賃年収3600万円の大家となった芦沢晃さん。

投資歴26年、これまで区分マンション一筋で購入し続けてきた「区分投資の生き字引」である芦沢さんは、これまでどのように規模を拡大してきたのだろうか。そして、無借金で物件を買い進めてきた「堅実投資術」について、インタビューで語ってもらった。

初めての不動産投資は「マイナス100点」

―現在の投資規模について教えてください

これまで26年間で、59室の中古ワンルームマンションを無借金で購入してきました。現在の総資産は3億円、年間家賃収入3600万円です。主に西東京、神奈川の横浜・川崎などの京浜地区に物件を所有しています。

毎月発生する管理費・修繕積立金や、固定資産税、所得税などを差し引いた税引き後CFは、だいたい2000万~2400万円です。現在は入居率95%で運営しています。

―初めて購入したのはどのような物件だったのでしょうか。

実は、収益用のマンションを購入する前に、自宅用に不動産を購入しているんです。1989年のことです。当時は会社の独身寮に住んでいたのですが、30歳を過ぎたら出なくてはいけない決まりだったので、新居を探していたんです。

当時は、都内の新築住宅は毎年1000万円ずつ高騰しているようなバブル期。「数年後に購入するよりも、今買った方が良いだろう」と思い、思い切って物件を購入しました。八王子市の約3000万円、2DKの中古区分マンションです。

―居住用として購入された物件が最初だったんですね。

その6年後、結婚して子どもが生まれ、2DKだと手狭になってしまうので引っ越すことにしました。そこで購入した物件を売却しようと不動産会社に相談したのですが、バブルが崩壊してしまって。3000万円で購入した物件が、半値にしかならないことがわかったんです。

それで、やむを得ず賃貸に出しました。これが大家の始まりです。


―問題なく運営はできたのでしょうか?

入居はついたのですが、毎月の返済が7万円、家賃も7万円でした。管理費・修繕積立金や税金を支払うと赤字でしたね(笑)。

不動産投資家としては、「マイナス100点」の物件だったと思います。物件の評価が半値になってしまいましたし、収支もボロボロでしたから。

でも、この物件を貸し出したことで不動産投資を知ることができました。この物件がなければ、現在のように不動産投資で資産を築くことはできなかったと思います。だから、自己投資という側面で見れば300点くらいかな?

―その失敗を、次の物件購入に生かしたのでしょうか。

いえ、次の物件も失敗したんですよ(笑)。

1戸目の物件が赤字ですので、なんとかして、収支がプラスになるように挽回しようと思いました。1戸目の物件を賃貸に出した半年後くらいに、2戸目の物件を購入しました。投資用として購入した初めての物件です。

鶯谷駅にある1000万円の中古ワンルームマンションをフルローンで買いました。収支は家賃6万円で返済額が5万5000円だったので、これで「やっとお財布にお金が入るぞ!」と喜んでいましたね。

でも実際に運営してみると予想外の出費が発生してしまい、年間の収支はマイナスだったんです。

固定資産税などの税金、エアコンや給湯器などの故障による修繕費、退去による原状回復費用を、計算に入れていなかったんですね。退去があった際は家賃が入らないですし。

また、管理組合の積立金も赤字だったということも購入後に分かりました。

―2戸目での失敗は、芦沢さんの不動産投資にどのような影響を及ぼしたのでしょうか?

この経験から、2つのことを学びました。

1つは「ローンを組むと収支が回りにくくなる」ことです。銀行返済をする必要があるからです。一棟物件の場合は、複数の部屋があるため、退去や修繕が発生しても他の部屋の家賃でカバーがしやすいです。

しかし、私が購入している1Rマンションの場合、得られる家賃収入は少ないため、専有部で修繕が発生すると、ローンを組んでいた場合すぐに手出しが発生します。また、部屋も1室しかないため、退去があればその期間の家賃は得られません。

2つ目は「マンションの修繕積立金の金額を必ずチェックすること」です。築年数が経過するにつれ、エレベーターや外壁といった共用部など、いたるところで修繕が必要になります。仮に修繕積立金が不足している場合、オーナーが費用を捻出しなければなりません。

修繕積立金の積立金額は、目安1室あたり50万~100万円程度で見ています。大規模修繕が発生したとしても、これくらいの積立金額があればひとまず安心だと判断しています。

できるだけ支出額を少なくするためにも、この2つは気を付けなければいけないと、失敗から学びました。

そして、次の物件から現金購入をしていこうと決めました。

「コツコツ現金購入」を確立し、59室まで拡大

―年表を見ると、2戸目から3戸目を購入する間に3年の間があいているんですね

そうなんです。この3年間は、経験とお金を貯める時期にしていました。

2戸目の物件を購入したものの、不動産投資の収支がどのようになっているのか、何にお金が発生するのか、ほとんど理解していませんでした。そのため、所有している不動産を運営しながら、賃貸経営の収支や管理の方法などを学んでいったんです。

また区分マンションを2戸、融資を組んで購入したことで手出しが多く発生しましたから、「中古ワンルームマンション投資は現金で買わなくてはダメだ」と反省し、貯金に専念しました。

―どのようにお金を貯めていったのでしょうか?

倹約と資産運用です。独身の頃から、必要な生活費以外は毎月すべて投資に回しており、コツコツお金を増やしていました。

当時は投資商品が今ほど豊富ではありませんでしたが、財形貯蓄や株式累積投資、持株会などを行い、毎月15万円くらい投資しました。あとは社内預金が5万円くらいで、合計毎月20万円以上は預金と投資に回していました。

―そのように貯めたお金で購入した3戸目は、どのような物件だったのでしょうか。

3戸目は、田園都市線の駅徒歩4分の場所にある、630万円のワンルームマンションです。家賃は7万円。この物件は現金で購入したので、返済がありません。そのため、固定資産税や所得税などの税金を支払った後の年間の手残りは50万円くらいです。この物件からは、すべて現金購入をしています。


―その後、2004年から2012年にかけて、一気に30室近くの区分マンションを購入されたんですね。



はい。会社からまとまったお金をもらいまして…。実は、2004年くらいに会社からリストラされたんです(笑)。退職金が入ってきたので、それを原資にコツコツ購入しました。リストラではありましたが、退職金をもらったときは「ラッキー!」と思いましたね。

また、2008年にリーマンショックが起きて、日本の不動産市場に影響が出て、安い物件が多く出たんですよ。その時に仲の良い不動産会社から物件を紹介してもらいました。不動産会社と関係性が構築できていたことも大きかったと思います。

リスク回避をする「建物分散」

―物件を購入する際、どのように選んでいますか?

まず、基本的には自分とゆかりのあるエリアを選ぶようにしています。生活圏や勤務圏ですと周辺に何があるのか、ある程度土地になじみがあるため、どのような賃貸需要が見込めるのかを予測することができるからです。

ちなみに、私は神奈川県に生まれて、今は西東京で生活をしているため、東京の西側や神奈川の東側で物件を購入することが多いです。

購入価格は500万~1000万円くらい、家賃5万円を得られる物件という条件を定めています。

販売価格が500万円より安ければ、利回りは高くなるかもしれません。しかし、修繕リスクが高くなりランニングコストの不確定要素が多くなってしまう。一方、価格が1000万円以上だと、資金回収効率が悪くなってしまいます。

資金回収は税金や修繕費などのランニングコストを考慮しても、10数年くらいで回収することを基準にしています。

―家賃5万円を基準にしているのはなぜでしょうか?

家賃が5万円以下だと、維持費負けしてしまうからです。区分マンションの場合、管理費・修繕積立金が毎月発生します。家賃が低すぎると、毎月のキャッシュフロー(CF)が少なくなってしまうため、スピード感が出ないんです。

一方、家賃が6万~7万円であればCFが出るのが利点です。しかし、その分買い手が増え、競合が多くなります。よって販売価格が高くなるため、投資回収率が悪くなってしまいます。

そのため、家賃は5万円を基準にしています。

また、管理費・修繕積立金が大体家賃の3分の1程度に収まるかどうかも確認しています。例えば、家賃が5万円であれば管理費・修繕積立金が1万5000円です。築年数が経過していくにつれ、管理費・修繕積立金は徐々に高くなっていきます。10~30年と長期間にわたって物件を保有するのであれば、家賃が下落していくことも考えられますから、そこも重要なポイントと言えます。

―修繕積立金は、どのようにチェックしていますか?

物件の重要事項説明書を見て、いつ大規模修繕を行ったのか、今後いつ修繕を行うのかを確認しておくようにしています。

管理組合が機能していなければ、修繕が行われずに物件の状態が悪くなり、入居付けに苦労しますから、管理組合が管理費・修繕積立金をどのように利用しているかを確認するのも重要なポイントと言えます。

ただし、初めは難しいことなので、徐々に経験を積んでから理解できることかもしれません。そのため物件購入は慎重に考えていく必要があります。

また、そのような物件を購入してしまっても大きな失敗を回避するために「建物分散」することが大切です。

―「建物分散」とはどういうことでしょうか?

購入する物件を分散することです。一棟物件の場合は一度に複数の部屋を扱うことができ、キャッシュフローを一気に高められるのが特徴の1つです。

一方、区分マンションは1室のキャッシュフローは小さいのがデメリットですが、建物を分散して購入できます。

購入する物件のエリアや建物を分散することで、管理組合が機能していないリスクや、怠慢な管理会社による空室リスク、建物の老朽化や震災などによる大規模修繕リスクなど、さまざまなリスクを分散できます。

そのため、区分マンションを購入する際は建物を分散させることが大切だと考えています。

成功の秘訣は焦らないこと

―芦沢さんは、現在もサラリーマンを続けていらっしゃるそうですね。なぜでしょうか?

ひとえに仕事が面白いからです(笑)。最近は「FIRE」という言葉が話題になっており、そのような生き方も大変素晴らしいと思います。ただ、私の場合は、サラリーマンとして行っている仕事が楽しくて仕方がないんです。

大切なことは、人生の目的に合った生き方をすることだと思います。人生の価値観は人それぞれ異なりますから。

―今後の目標は何でしょうか?

相続をどのようにするか、対策を決めておくのが今後の目標です。

現在63歳ですから、今後は何が起こるかわかりません。いつ自分の身に何か起きたとしても大丈夫なように、今のうちに相続のことを考えています。

妻と息子がいるのですが、妻は不動産には全く興味がなく、息子は社会人になったばかり。息子が不動産投資に関心を持つかどうかはまだわかりません。仮に不動産投資に関心がないとなった場合は、不動産を現金化して株式投資に資金を回すことも検討しています。現在不動産の資産が3億円くらいで、株式が1億円くらいなので、もう少し株式に資金を回しても良いかなと思っています。

…とはいえ、昨年も2戸購入してしまいましたが(笑)。

―これから不動産投資をはじめていきたいと考えている人に、アドバイスはありますか?

「焦らない」ことが成功の秘訣だと思います。さまざまな事情があって、「5年後に資産○億円」などといった、短期間で高い目標を達成したいと考えている人もいると思います。

しかし、短期間で高い目標を掲げてしまうと、焦って行動してしまいます。そうすると、購入条件を妥協して物件を高掴みしてしまったり、入居者が付かないようなエリアの物件を購入してしまったりと、焦って適切な判断ができず物件を購入してしまう恐れがあります。

とにかく焦らず、不動産投資の世界を楽しんでいただければ良いと思います。

JOCは2020年4月にサイバー攻撃を受け、業務停止に陥ったにもかかわらず公表せず(転載)~ランサム被害受けて流出が無いことはないと思うのだが・・・~


JOC サイバー攻撃受けるも公表せず 去年4月 一時業務できず

JOC=日本オリンピック委員会が去年4月、サイバー攻撃を受け、一時的に業務ができなくなるなど被害に遭っていたことがわかりました。外部のセキュリティー会社の調査の結果、内部情報の流出の痕跡はなかったとして、JOCは被害を公表していませんでした。

JOCによりますと、去年4月下旬ごろ、都内の事務局にあるパソコンやサーバーがウイルスに感染し、サーバーに保存されていたデータが書き換えられるなどして一時、アクセスできなくなったということです。

外部のセキュリティー会社が調査した結果、被害は「ランサムウエア」と呼ばれる身代金要求型のウイルスによるものとみられ、金銭の要求などはなかったということです。

JOCのサーバーには各競技団体の強化指定選手の個人情報などが保管されていますが、調査で内部情報が流出した痕跡はないとする報告を受け、被害を公表していませんでした。

この影響でJOCは一時的に業務ができなくなり、事務局で使用していたおよそ100台のパソコンやサーバーのうち、ウイルスに感染した可能性がある7割ほどを入れ替え、およそ3000万円の費用がかかったということです。

JOCの籾井圭子常務理事は、去年4月に受けたサイバー攻撃について「ルートや原因は特定されていないが、情報漏えいはなかった。ただ、万全なセキュリティー体制が整っていたかというとそうではなかったと思う。これをきっかけにシステムの強化と職員への教育をきちんとやっていく方向性にしている」と話しました。

被害を公表しなかったことについては、「情報漏えいのおそれがあれば関係者にもリスクがあり、公表する必要があるが、今回はその必要性がなく、JOCのサーバーがぜい弱だと思われる可能性もあり、競技団体も含めて公表しなかった。スポーツ庁には報告し、専門家にも相談したうえでルールにのっとって対応した」と説明しました。

加藤官房長官は、午後の記者会見で「去年5月の時点で、スポーツ庁に対し、事務的に情報提供がなされていたものの、その後、特に関係機関などへの情報共有は行われていなかったと聞いている。情報共有が速やかに行われなかったことが適切であったかどうかについては、当時の経緯をしっかりと検証する必要があると考えている」と述べました。

そのうえで「安心・安全の東京大会を実現するためにも、官民や政府内でサイバーセキュリティーに関する連携強化を図っていくことが極めて重要であり、大会組織委員会はじめ関係組織も含めて、東京大会の成功に向けた対策をしっかり進めていく」と述べました。

COVID-19(武漢ウイルス)のせいでBA特典航空券のキャンセルが面倒なことに‥‥


 COVID-19(武漢ウイルス)の蔓延により1年以上旅に行けていない。

海外については全くめどが立たないないか、今年は国内にでも行ってみようといろいろ思案している。

んで、何故かぱっとひらめいたのが鹿児島の知覧である。

知覧と言えば、大東亜戦争末期における、特攻の前線基地である。


という訳で早速チケットを押さえることに。

ブリティッシュエアウェイズ(BA)のAVIOを使ってJALの特典航空券に変えるわけだが、鹿児島行きの便に以外に空きがなく、熊本城もついでに見ておきたいと思ったことから、熊本行きを往復で取った。

取った後でよくよく考えると、羽田→熊本→鹿児島→熊本→羽田のルートにするよりも、日程をずらすか多少コストをかけてでも羽田→鹿児島→熊本→羽田のルートが精神衛生上よいなと思い、結局日程をずらして鹿児島入りすることにした。

結果、羽田→熊本のチケットが不要になったので、BAのサイトからキャンセルしようとすると、何故かキャンセルではなく、バウチャー発行画面に遷移してしまう。

まいっかと思いながら手続きを進めていくと、便はキャンセルできてものの、本当にバウチャーが発券されてしまった。。。


これは困ったと、ネットを調べてみたところ、どうやら電話することでAVIOSによる返還に応じてくれるらしい。


BAは日本にコールセンター用意してくれているので助かる。

昨年くらいまでいろいろなマイルに手を出していたが、海外マイルに手を出す際は、自分がどこまでトラブルシューティングできるかを踏まえた方が良い。

BAの場合は、日本にコールセンターが用意されているので、辛抱強く待てば恐らくつながる。

海外の航空会社によってはWebによるキャンセルができず、電話が必要なケースもある。日本語対応できない場合は当然英語で頑張る必要がある。

まさに自己責任ですな~。

【参考】

ウイズコロナ時代のBA特典航空券キャンセル方法

ブリティッシュエアウェイズ(BA)のAviosで発券した特典航空券をバウチャーにせずAvios払戻しでキャンセルした方法




機密性の高いIoTデータを見つけるためのShodan 検索クエリ40選 / Top 40 Shodan Dorks for Finding Sensitive IoT Data(転載)

16x9.jpg

増え続けるデータベースと使いやすさで、ShodanはセキュリティリサーチャーがIoTの情報収集に使用する最も人気のあるツールの一つとなっています。

Shodanは、研究者が情報収集を行う際の出発点となります。Shodanは、データの場所やソフトウェアのバージョン、最後に見た日などでデータをフィルタリングすることができるため、研究者が特定の調査ポイントに照準を合わせることができ、作業を簡単かつ効率的に行うことができます。

また、Shodanはマーケティングチームやソフトウェアベンダーにも最適で、サーバー上で動作するソフトウェアの異なるバージョンをフィルタリングすることができます。また、国や都市、地域ごとのインスタンス数を確認することもできます。

Shodanでは、人の指紋が人を識別するのと同じように、デバイスを見つけてタグ付けする方法として、サイバーセキュリティフィンガープリントを採用しています。あるIPアドレス上で実行されているさまざまな情報やサービスは、そのIPアドレス上で実行されているデバイスの識別に役立ちます。

例えば、あるIPアドレスに添付されているSSL証明書の発行者を調べることで、そのIPアドレスが関連付けられているデバイスの製造者を特定できることがあります。

今日は、IoT接続されたデバイスからセンシティブなデータを見つけるための、トップのShodan dorksをご紹介します。

Most popular Shodan dorks


Shodanには、インターネット上の様々なデータやフィルターが用意されていますが、いくつかのコツや「ドーク」(有名なGoogleドークのようなもの)を知っておくと、IP情報の調査の際に、適切な結果を得ることができます。

Shodanをご利用いただくには、まずShodanの右上にある「ログインまたは登録」ボタンをクリックして、Shodanにログイン(またはアカウントを作成してログイン)してください。


その後、Shodanのアカウントにログインまたは作成してください。

このリストは、ランダムな順序で表示されています。どの初段の人も、他のどの人よりも重要ではなく、それぞれが異なる目的で使用されています。

それでは、始めましょう。

Databases


データベースには重要な情報が含まれていることがあります。開発者が簡単にアクセスできるようにするためであれ、単に設定ミスであれ、公共のインターネットに公開されると、大きなセキュリティホールができてしまいます。

Shodanでは、公共のインターネット上で認証が可能なMongoDBデータベースサーバーを検索するために、以下の検索条件を設定しています。

"MongoDB Server Information" port:27017 -authentication


また、MongoDBには、Mongo Express Web GUIというphpMyAdminに似たWeb管理アプリケーションがあり、以下のクエリで見つけることができます。

"Set-Cookie: mongo-express=" "200 OK"

同様に、MySQLを搭載したデータベースを探すには:

mysql port:"3306"

ElasticSearchを搭載した人気の高いインスタンスを検索するには:

port:"9200" all:"elastic indices"

そして、PostgreSQLのデータベースを調べるためには:

port:5432 PostgreSQL

Exposed ports



FTPサーバーやSSHサーバーなど、公共のインターネット上でアクセス可能なオープンポートで動作するサービスを検索するには、次のようなクエリを使用します。

FTPについては、一般的なFTPサーバーであるproftpdを照会する:

proftpd port:21

匿名でのログインが可能なFTPサーバーを探すには:

"220" "230 Login successful." port:21

一般的なSSHサーバーである「OpenSSH」を照会する:

openssh port:22

Telnetの場合は、23番ポートを照会します:

port:"23"

25番ポートでEXIM搭載のメールサーバーを調べるため:

port:"25" product:"exim"

Memcachedは、一般的に11211番ポートで利用されており、巨大なDDoS攻撃につながるUDP増幅攻撃の主な原因となっています。公共のインターネット上で利用可能なMemcachedを実行するサービスは、しばしばこれらの攻撃に悪用されます:

port:"11211" product:"Memcached"

Jenkinsは、自動化されたビルド、デプロイ、テストツールとして人気があり、リリースに向けてソフトウェアをビルドする際の出発点となることが多い。このツールは、以下のクエリで見つけることができます:

"X-Jenkins" "Set-Cookie: JSESSIONID" http.title:"Dashboard"


DNS servers



再帰を有効にしているDNSサーバーは、ネットワークの脅威の大きな原因となります。このようなサーバーを見つけるには、次のようなクエリを使用します:

"port: 53" Recursion: Enabled


Network infrastructure



MikroTik社製のルーター、スイッチ、その他のネットワーク機器に搭載されているRouterOSオペレーティングシステムの特定のバージョンを実行しているデバイスを見つけるには、以下の検索条件を使用します:

port:8291 os:"MikroTik RouterOS 6.45.9"

これにより、古いバージョンで脆弱性がある可能性があるRouterOSオペレーティングシステムを実行しているスイッチ、ルーター、その他のネットワーク機器を見つけることができます。ルーターOSは、ウェブ管理UIに使用されるポート番号8291で実行されます。

Web servers


Shodanでは、Webサーバーのバージョンを検索してフィルタリングすることも可能です。例えば、一般的なWebサーバーであるApacheの特定のバージョンをホストしているIPを見つけるために使用します:

product:"Apache httpd" port:"80"

上記のクエリでは、ウェブサーバの最も一般的なポートである80番ポートのApacheウェブサーバを見つけることができます。

同様に、Microsoft IISを搭載したWebサイトやWebサーバーを調べることができます。

product:"Microsoft IIS httpd"

Nginxを搭載したWebサイトやWebサーバーを調べるには:

product:"nginx"

上記の製品検索は、「ポート」オプションと組み合わせることもできます。例えば、ポート8080のNginxを搭載したウェブサーバを検索したい場合:

"port: 8080" product:"nginx"


Operating systems



また、Windows 7などの古いOSの場合は、次のようなクエリを使用して、Shodanで検索することができます。

os:"windows 7"

同様に、Windows 10の特定のビルドバージョンを調べるには、次のクエリを使用します。ここでは、ビルドバージョン19041のWindows 10 Home Editionを調べます。

os:"Windows 10 Home 19041"

Linuxベースのデバイスをフィルタリングして検索するには、次のようなクエリを使用できます。

os:"Linux"


Filtering by country, city or location



特定の時点では、Shodanから返されるデータの量が少し多すぎるかもしれません。そこで、「国」や「都市」といったフィルターをかけることができるようになりました。

例えば、国でフィルタリングしたい場合:

country:"UK"

都市でフィルタリングするには:

"city: London"

最後に、地域や都市のGPS座標を介して調べることもできます。

geo:"51.5074, 0.1278"

この位置情報フィルタは、他のフィルタと組み合わせることもできます。例えば、イギリスのWindows 7デバイスを探したい場合は、次のようなクエリを使用できます。

os:"windows 7" country:"UK"


SSL certificates


また、Shodanでは、有効期限が切れたSSL証明書や自己署名証明書を探すことができます。

自己署名証明書を検索するには、以下のようなクエリを使用することができます。

ssl.cert.issuer.cn:example.com ssl.cert.subject.cn:example.com

SSL証明書を検索するには:

ssl.cert.expired:true


Other useful Shodan dorks for IoT device intelligence


「Shodan dorking」で他にどんなものが見つかるか見てみましょう。

Webcams



ウェブカムは、古くて安全でないソフトウェアを使って公共のインターネット上で実行されていることが多く、簡単に危険にさらされます。幸いなことに、Shodanでは次のようなクエリでウェブカムをフィルタリングして見つけることができます。

Server: SQ-WEBCAM

さらに、Yawcamのようなウェブカメラ用のソフトウェアを提供している特定のソフトウェアベンダーを、次のようなクエリでフィルタリングすることができます。

"Server: yawcam" "Mime-Type: text/html"


McAfee創業者のジョン・マカフィーさん死亡 / John McAfee found dead in Spanish jail cell(転載)


首吊り自殺でジョン・マカフィーさん亡くなったってまじか。お悔やみ申し上げます。

地元紙エル・パイスによると、ウイルス対策企業マカフィーの創業者であるジョン・マカフィー氏が本日、バルセロナの刑務所の独房で死亡しているのが発見されました。

ロイター通信によると、死因は首吊り自殺とされており、カタルーニャ州司法省およびマカフィー氏の弁護士に確認したという。

元サイバーセキュリティ業界の大物は、米国司法省が3月にマカフィーを、暗号通貨のポンプ・アンド・ダンプ方式に関連した詐欺およびマネーロンダリングの容疑で起訴した後、拘束されていました。

マカフィー氏は、米国の刑務所で最長30年の刑期を迎えることになっていました。

スペインの新聞「El Mundo」は、バルセロナの判事が彼の米国への引き渡しを承認した数時間後に、彼の死を報じています。

マカフィー氏は、引き渡しを不服として訴えることができた。

彼は75歳だった。

「クラウド利用でインフラ費用 2 倍」クラウドコンピューティングの不都合な真実 / The Cost of Cloud, a Trillion Dollar Paradox(転載)

34611.jpg

「クラウド利用でインフラ費用 2 倍」クラウドコンピューティングの不都合な真実
:

クラウドの真のコスト


総売上原価(COR)に占めるクラウド費用の割合が非常に大きいことを考えると、クラウドのリパトリエーションによる50%の節約は特に意味があります。パブリック・ソフトウェア・カンパニー(コミットしたクラウド・インフラストラクチャの支出を開示している企業)をベンチマークした結果、契約上のコミット支出は平均してCORの50%であることがわかりました。

しかし、実際の支出の割合は、コミットされた支出よりもさらに高いのが一般的です。ある10億ドル規模の民間ソフトウェア企業では、パブリッククラウドへの支出がCORの81%に達しており、「売上原価の75~80%に相当するクラウドコストがソフトウェア企業では一般的である」と述べています。Dullien氏は、業界のリーダーであるGoogleと現在のOptimyzeに在籍していた経験から、企業はクラウドのコミットサイズを決める際に、支出が過剰になることを恐れて保守的になり、ベースラインの負荷のみにコミットすることが多いと述べています。経験則から言うと、コミットした費用は実際の費用よりも20%程度低いことが多い。私たちが取材した企業の中には、コミットしたクラウド利用額の予想を少なくとも2倍以上上回ったと報告しているところもあります。

これらのベンチマークを、インフラにパブリッククラウドを利用しているソフトウェア企業全体に広げると、(年次報告書にある程度のクラウド利用を明記している)株式公開されているソフトウェア企業上位50社のクラウド利用額は、合計で80億ドルに達すると考えられる。これらの企業の中には、パブリッククラウドとオンプレミスのハイブリッドアプローチを採用しているところもありますが(つまり、クラウドへの支出が中核部門に占める割合はベンチマークに比べて低いかもしれません)、分析では、コミットされた支出が全体的に実際の支出と同じであると仮定することで、そのバランスをとっています。また、専門家との意見交換から、クラウドのリパトリエーションによってクラウドへの支出が50%削減され、その結果、40億ドルの利益が回復されたと仮定しています。クラウドインフラを利用している大規模な公共ソフトウェア企業や消費者向けインターネット企業の場合、この数字はもっと大きくなるでしょう。


40億ドルという推定純減はそれだけでも驚異的ですが、この数字を時価総額に換算すると、さらに目を見張るものがあります。すべての企業は、将来のキャッシュフローの現在価値として評価されるため、これらの年間節約額を実現することは、40億ドルをはるかに超える時価総額の創出につながります。

どのくらい多いのでしょうか?ひとつの目安として、公開市場では追加の粗利益をどのように評価しているかを見てみましょう。高成長のソフトウェア企業で、いまだに現金を燃やし続けている企業は、その企業の長期的な成長と利益率構造に関する仮定を反映した売上総利益倍率で評価されることがよくあります。一般的に参照される売上高倍率は、企業の長期的な利益率を反映しているため、成長率調整後であっても、粗利益率の高い企業ほど高くなる傾向にあります)。しかし、いずれの資本倍率も、企業の将来のキャッシュフローを市場がどのように割り引いているかを推定するためのヒューリスティックな指標となります。

分析したソフトウェア企業50社のうち、平均的な総企業価値と2021Eの粗利益の倍率(本稿執筆時のCapIQに基づく)は24-25倍です。言い換えれば 1ドルの粗利益を節約するごとに、クラウドリパトリエーションによって節約される純コストの24~25倍の時価総額が平均的に上昇する。これは、クラウドリパトリエーションによって得られるコスト削減額が、設備投資の増加によって発生する減価償却費を差し引いたものであることを前提としています(該当する場合)。

つまり、この50社だけで、40億ドルの売上総利益があれば、1,000億ドルの時価総額が増加すると見積もることができるのです。さらに、(フリーキャッシュフロー倍率ではなく)売上総利益倍率を用いることは、売上総利益の増加に伴い、一定の営業費用が増加することを前提としているため、このアプローチでは、年間40億ドルの純貯蓄による時価総額への影響を過小評価する可能性があります。

また、特定の企業の評価によっては、その影響がさらに大きくなる可能性もあります。この現象を説明するために、サービス型インフラ監視企業であるDatadog社を例に挙げます。Datadogは、記事作成時に2021年の推定粗利益の40倍近くで取引されており、S-1ではAWSへの3年間のコミットメント総額2億2500万ドルを開示していました。仮にAWSの年間コストを7500万ドルとし、その50%にあたる3750万ドルがクラウドのリパトリエーションによって回収されると仮定すると、コミットされたコストの削減だけで、この企業の時価総額はおよそ15億ドルになると考えられます。

このような基礎的な分析は決して完璧ではありませんが、方向性は明らかです。つまり、規模の大きい上場ソフトウェア企業の時価総額は、クラウドのコストによって何千億ドルもの負担を強いられているのです。企業向けソフトウェアや消費者向けインターネット企業にまで拡大すると、この数字は5,000億ドルを超える可能性があります。これは、クラウド全体の支出の50%が、クラウドの還流によって利益を得ることができる規模のテクノロジー企業によって消費されていると仮定した場合です。

企業経営者、業界アナリスト、構築担当者にとって、長期的な、あるいは短期的なインフラの意思決定を行う際に、時価総額への影響を無視することは、あまりにも高価なことです。


クラウドのパラドックス


ここから先はどうすればいいのか?一方では、ワークロードをクラウドから移行することは大きな決断です。事前に計画を立てていない人にとっては、必要な書き換えは不可能なほど非現実的なものです。このような事業を行うには、強力なインフラチームが必要ですが、そのチームが存在しない場合もあります。また、このような作業には、強力なインフラチームが必要となりますが、このようなチームは存在しない可能性があります。クラウドは、大規模化しても、オンデマンドのキャパシティや、新規プロジェクトや新しい地域をサポートするための既存サービスの数など、多くのメリットがあります。

しかし一方で、この記事で紹介したような現象が起きています。つまり、クラウドのコストがある時点で「支配」され、数千億ドルの時価総額がロックされてしまい、このパラドックスから抜け出せなくなっているのです。

では、このパラドックスから抜け出すために、企業は何をすればよいのでしょうか。前述したように、私たちはどちらかにリパトリエーションを行うべきだと主張しているのではなく、インフラ支出は第一級の指標であるべきだと指摘しているのです。これはどういうことでしょうか。企業は早期に、頻繁に、そして時にはクラウド外でも最適化する必要があります。大規模な企業を構築する際には、宗教的な教義にとらわれる余地はほとんどありません。

考え方の転換やベストプラクティスについては、まだまだ語るべきことがありますが、特に最近になって全体像が明らかになってきたこともあり、ここでは、企業が膨れ上がるクラウドのコストに対処する上で役立ついくつかの検討事項を紹介します。

KPIとしてのクラウド費用:インフラを一流の指標にするには、それがビジネスの重要なパフォーマンス指標であることを確認する必要があります。例えば、Spotify社のCost Insightsは、クラウドにかかる費用を追跡する自社開発のツールです。クラウドのコストを追跡することで、財務チームだけでなく、エンジニアがクラウドのコストに責任を持てるようにしています。元Digital Oceanで、現在はVantage社の共同設立者兼CEOであるBen Schaechter氏は、業界全体の企業が、ビジネスのライフサイクルの早い段階で、中核的なパフォーマンスや信頼性の指標と並んで、クラウドのコスト指標に注目するようになってきているだけでなく、「不意のクラウド料金請求に悩まされてきた開発者たちは、より精通してきており、チームのクラウド支出に対するアプローチに、より厳格な対応を期待している」と述べています。

正しい行動にインセンティブを与える:インフラに関する一流のKPIから得られるデータをエンジニアに提供することで、意識を高めることはできますが、物事のやり方を変えるためのインセンティブは得られません。ある著名な業界のCTOによると、彼の会社では、営業で使われるような短期的なインセンティブ(SPIFF)を導入し、ワークロードの最適化やシャットダウンによって一定量のクラウド費用を節約したエンジニアには、スポットボーナスが支給されたそうです(節約額は定期的に発生するため、会社のROIは高いままです)。その結果、組織全体の10%がボーナスを受け取り、わずか6カ月で全体の支出を300万ドル削減したため、実際のコストは少なくて済んだという。注目すべきは、この従来とは異なるモデルを支持したのは、会社のCFOだったということです。

最適化、最適化、最適化:ビジネスの価値を評価する際、最も重要な要素の一つが売上原価(COGS)です。顧客データプラットフォームを提供するSegment社は、インフラの意思決定を段階的に最適化することで、インフラコストを30%削減し、同時にトラフィック量を25%増加させたという事例を紹介しました。サードパーティ製の最適化ツールには、既存のシステムを短期間で改善できるものが数多くあり、当社の経験では10〜40%の改善効果があります。

リパトリエーション(本国への送金)について前もって考えておく:クラウドが企業の初期段階では安価で優れているが、企業の進化の過程ではコストが高くなるというクラウドパラドックスが存在するからといって、企業が計画を立てずに受動的に受け入れる必要はありません。システム・アーキテクトは、早い段階でリパトリエーションの可能性を認識しておく必要があります。クラウドのコストが収益の伸びに追いつき、あるいはそれを上回るようになってからでは遅すぎます。クラウドのコストが収益の伸びに追いつき、あるいはそれ以上になってからでは手遅れになるからです。ワークロードの可搬性を高めるKubernetesやソフトウェアのコンテナ化が普及したのは、特定のクラウドに縛られたくないという企業のニーズに応えるためでもあります。

リパトリエーションを増やしていく:また、本国への送還(それが本当にビジネスにとって正しい動きであれば)は、段階的に、そしてハイブリッドな方法で行うことができない理由はありません。ここでは、どちらか一方だけの議論ではなく、より詳細なニュアンスが必要です。例えば、本国送還が意味をなすのは、最もリソースを必要とするワークロードの一部に限られるでしょう。例えば、リパトリエーションが意味を持つのは、最もリソースを必要とするワークロードの一部に限られます。実際、私たちが話を聞いた多くの企業では、最も積極的にワークロードを引き取る企業でも、10~30%以上をクラウドに残していました。

これらの推奨事項はSaaS企業に焦点を当てたものですが、他にもできることがあります。例えば、インフラ・ベンダーであれば、顧客のクラウド・クレジットを利用するなど、コストを転嫁するためのオプションを検討することで、自社の帳簿からコストが残らないようにすることができます。エコシステム全体で、クラウドのコストを考える必要があるのです。

業界がどのようにしてここまで来たかは、簡単に理解できます。クラウドは、イノベーション、アジリティ、成長のために最適化された完璧なプラットフォームです。また、民間の資本によって運営されている業界では、利益率は二の次になりがちです。そのため、企業は効率性よりも機能開発の速度を優先し、新規プロジェクトはクラウドで開始される傾向にあります。

しかし、これでわかったことがあります。しかし、長期的な影響についてはあまり理解されていません。そもそもクラウドに移行する理由として、60%以上の企業がコスト削減を挙げていることを考えると、皮肉なことです。新しいスタートアップや新しいプロジェクトにとって、クラウドは当然の選択です。そして、クラウドが提供する軽快さのために、適度な「柔軟性税」を支払う価値があることも確かです。

問題は、大企業(大規模化した新興企業を含む)の場合、この税金は多くの場合、何千億ドルもの株式価値に相当するということです...しかも、企業がすでにクラウドに深くコミットしてしまった後で(そして、多くの場合、あまりにも凝り固まってしまったために抜け出すことができない後で)課税されるのです。興味深いことに、早期にクラウドへ移行する理由として最もよく挙げられるのは、多額の先行投資(CapEx)であり、本国送還にはもはや必要ありません。ここ数年、パブリッククラウドに代わるインフラは大きく進化しており、資本支出ではなく営業費用(OpEx)のみで構築、導入、管理することができます。

ここで紹介したいくつかの数字は大きく見えますが、実際には保守的な仮定であることにも注意してください。実際の支出はコミットされたものよりも多いことが多く、また、弾力的な価格設定に基づく超過料金も考慮していません。そのため、業界全体の市場規模に対する実際の影響は、想定よりもはるかに大きいと思われます。

クラウドプロバイダーが現在享受している30%のマージンは、いずれ競争を勝ち抜き、問題の大きさを変えることができるでしょうか。現在、クラウドへの支出の大半が3社の寡占状態にあることを考えると、そうはならないだろう。アマゾン、グーグル、マイクロソフトの3社の時価総額は合わせて約5兆ドルですが、これらの企業が競争にさらされている理由のひとつは、自社でインフラを運営することで高い利益率を確保しているため、製品や人材への再投資を増やし、株価を上昇させることができているからです。

つまり、パブリッククラウドがマージンを失うか、あるいはワークロードを失うか、どちらかになるでしょう。いずれにしても、インフラにおける最大のチャンスは、クラウドのハードウェアとその上で実行される最適化されていないコードの間にあるのかもしれません。

セキュリティ対策状況開示の良見本「東芝グループ サイバーセキュリティ報告書2021」(転載)

34626.jpg

セキュリティ対策状況開示の良見本「東芝グループ サイバーセキュリティ報告書2021」
:

 株式会社東芝は6月7日、同社グループの2020年度のサイバーセキュリティに対する取り組みをまとめた「東芝グループ サイバーセキュリティ報告書2021」を発行した。

 同社グループの事業の中心となるインフラサービスでは、従来の情報・製品セキュリティに加え、産業インフラの現場やサイバー空間へと必要とされるセキュリティの範囲が拡大しており、同社グループは、これらのセキュリティのトータルな実現のため、サイバー攻撃などのセキュリティインシデントに備え、その影響を最小化し、早期に回復する能力を意味する「サイバーレジリエンス」を取り入れた戦略を実行している。

 「サイバーレジリエンス」では具体的に、「システムの稼働時間(P)を長く」「インシデントによる損失(M)を小さく」「対応・復旧時間(R)を短く」することが求められるが、本報告書では実現の施策として、意思決定・指揮系統を明確化する「ガバナンス」、監視・検知/対応・復旧/防御を行う「セキュリティオペレーション」、これらを運用し発展させていく「人材育成」について詳説している。

 第2章「セキュリティ確保への取り組み」では、社内ITインフラへの対策として「監視・検知の強化」「EDRツールによるエンドポイント対策の強化」「インシデント対応への取り組み」「ハッカー視点の高度な攻撃・侵入テスト」「自主監査・アセスメント 」「インターネット接続点のセキュリティ対策」「脅威インテリジェンスの活用」などがネットワーク構成図とともにくわしく解説されている。上場企業などがセキュリティ対策状況を、何をどこまで株主や社会に開示すべきかの模範例としても活用できるだろう。

 同社グループは今後も、Webサイトやサイバーセキュリティ報告書を通じて考え方や戦略、セキュリティ確保の具体的な取り組みなどについて報告を行い、サイバーセキュリティに関する説明責任を果たすとのこと。