POLY Networkの”太陽的(融和的)"解決策 / Hacker gets 500K reward for returning stolen cryptocurrency(転載)~こういう対応は日本企業じゃ無理だろうなぁ~

Hacker gets 500K reward for returning stolen cryptocurrency
POLY Networkの「太陽」手法 

Poly Networkが2週間前に失った6億1,000万ドル以上の暗号通貨資産を取り戻し、ハッカーが資金返還のために50万ドルの懸賞金を受け取ったことで、分散型金融の世界で最大のハッキングと呼ばれてきた武勇伝は終わったように見えます。

本日、Mr.White Hatと呼ばれるハッカーは、Poly Networkに対し、ウォレット内の盗まれたデジタル資産の最後のトランシェ(約1億4100万ドル相当)へのアクセスを許可しました。

Poly Networkは現在、すべてのサービスを再開する前に、被ったセキュリティ侵害から立ち直るための2番目の最終段階である「資産回収」作業に移行しています。

この事件は2021年8月10日に発生したもので、何者かが自分のウォレットにBinance Chain、Ethereum(ETH)、そして分散型クロスチェーンプロトコルおよびネットワークであるPolygon NetworkのPolygonの資産を移しました。

  • イーサリアムトークン:~2億7300万ドル
  • Binanceスマートチェーン:~2億5300万ドル
  • ポリゴンネットワーク(USDC):~8500万ドル

このニュースは瞬く間にブロックチェーン上に広まり、攻撃者が使用した3つのウォレットアドレスはPolyNetwork Exploiterと表示され、取引所に資産が盗まれたことを知らせ、いかなる取引も処理しないようになっていました。

同日、Poly Networkはハッカーにハッキングされた資産の返還を促し、解決のために話し合う意思があると述べました。


このメッセージがハッカーの決断に影響を与えたのか、あるいはブロックチェーンセキュリティ企業のSlowMist社が攻撃者の電子メールアドレスやIPアドレス、デバイスの指紋を追跡したと主張したのかは不明ですが、Mr.White Hatはまさにその翌日に、盗んだ資産をすべて返還すると発表しました。

Mr.White Hatは、約2億6000万ドル相当のデジタル資産を持ってスタートしましたが、3/4マルチシグネチャウォレットの秘密鍵をPoly Network社に引き渡し、戦利品の最後の部分である約1億4100万ドル相当の28,953ETHと1,032ラッピングビットコイン(WBTC)を放出しました。

Poly Network社の「お礼」は、約50万ドル(160ETH)と、Mr.White Hatを同社のチーフ・セキュリティ・アドバイザーに「招待」するという形で行われました。同社はまた、ハッカーに法的責任を負わせるつもりはないと述べました。

Poly Networkはその約束を守り、2021年8月19日に160ETHをハッカーが公開したウォレットのアドレスに送金しました。


しかし、Mr.White Hatから仕事の依頼についての返事は来なかった。また、バグバウンティに関する返事もありませんでした。

Poly Network社は、8月14日より、攻撃を受けてからの進捗状況を、パブリッシングプラットフォーム「Medium」上の一連のアップデートで記録し始めました[1, 2, 3, 4, 5, 6]。同社は、資産の完全な復元プロセスを開始したことを発表しました。


Poly Network社は、約2週間で5億米ドル以上を失った状態から、史上最大の暗号通貨強盗の被害者となっただけでなく、すべての資産を回収したことで、世界的に有名になりました。

さらに、同社は過去を水に流し、ハッカーに対して法的措置を取らず、トップセキュリティの仕事と50万ドルを提供することを決めました。

この報酬は、盗まれた資産の価値と比べると小さく見えるかもしれませんが、ハッカーが戦利品から一銭も使うことができなかったかもしれないことを考えると、多額の賞金となります。

マイクソの設定ミスにより3800万件の記録が流出 / 38 Million Records Exposed Due to Microsoft Misconfiguration(転載)~クラウド利用時にこういうリスクも覚悟しなければならない~


38 Million Records Exposed Due to Microsoft Misconfiguration:

専門家によると、マイクロソフト社(マイクソ)のポータルプラットフォーム「Power Apps」を使用した1000以上のウェブアプリから約3800万件の記録がオンラインでアクセス可能な状態で放置されていたとのことです。武漢ウイルス(COVID-19)の連絡先追跡業務、ワクチン登録、従業員データベースなどのデータ(自宅の住所、電話番号、社会保障番号、ワクチン接種状況など)が記録に含まれていたと考えられます。

今回の事件では、アメリカン航空、フォード、J.B.ハント、メリーランド州保健局、ニューヨーク市都市交通局、ニューヨーク市公立学校など、大手企業・団体が影響を受けました。これらのデータ流出事件はすでに修正されていますが、広く使われているプラットフォームでのたった一つの誤った構成設定が、いかに広範囲に影響を及ぼすかを示しています。 

ユーザーはPower Appsのサービスを利用して、独自のウェブアプリやモバイルアプリを簡単に作成することができます。Power Appsは、収集したデータを使用するためのアプリケーション・プログラミング・インターフェース(API)を開発者に提供します。しかし、セキュリティ企業のUpguard社は、これらのAPIにアクセスすると、Power Appsポータルで受信したデータがデフォルトで公開され、情報を非公開にするためには手動で再設定する必要があることを発見しました。

Upguard社は、2021年5月にこの問題の調査を開始し、秘密にされていた複数のPower Appsポータルのデータが、誰にでもアクセス可能であることを発見しました。Upguard社によると、2021年6月24日にMicrosoft Security Resource Centerに脆弱性レポートを提供し、その中には機密データが公開されているPower Appsポータルアカウントへのリンクや、匿名でのデータアクセスを可能にするAPIを発見する方法が含まれていました。

「しかし、機密情報を公開しているアカウントの数を見ると、この機能のリスク、つまり設定ミスの可能性と影響が十分に認識されていないことがわかります。「複数の政府機関が、アプリのセキュリティレビューを行ったが、この問題を発見できなかったと報告しています。これは、データセキュリティ上の懸念事項として十分に公表されたことがなかったためと思われます。

 マイクソの担当者は、同社が影響を受けたユーザーと直接協力して、データが非公開であることを保証し、データが公開された場合には消費者に通知したと述べ、同製品のセキュリティを擁護しました。マイクソの広報担当者は声明の中で、「当社の製品は、顧客に柔軟性とプライバシー機能を提供し、多様なニーズを満たす拡張可能なソリューションを設計することができます」と述べています。

BloggerにはページのURLが2つある問題(?m=1問題)の解消方法


Bloggerを使っているのだが、モバイル表示時の ?m=1 というやつが気に入らない。

モバイル表示にするかどうかを数文字で変更できるという点では便利ですが、反面、バズりの数がスマホとPCで分散されてしまうという致命的な欠点があります。

日本語サイトで解消策をあたってみたものの、いい方法が見つからず、英語サイトで解消策を見つけたのでメモ。

--

出典:How to remove ? m=1 or ?m=0 from blogger post URL

ブロガーの皆さんがよく検索する言葉に「ブロガーの記事のURLから?m=1または?m=0にする方法」があります。シンプル・イズ・ビューティ」という言葉があるように、パーマリンクをきれいにしたいと思うことがあります。そこで今回は、ブロガーのURLから「?m=1」を取り除き、シンプルでプロフェッショナルなURLにする方法をご紹介します。

ステップ1:まず、ブロガーのダッシュボードにログインし、ブログを選択します。


Step 2 : Theme(テーマ)をクリックします。


Step 3 : customise(カスタマイズ)をクリックします。


Step 4 : Edit HTML(HTMLを編集)をクリックします。


Step 5 : キーボードから(CTRL + F)を押し、「/head」と入力して検索します。(よくわからない場合は、以下の写真をご覧ください。)


Step 6 : </head>タグのすぐ上に以下のコードを貼り付けます。


【貼り付けるコード】

  ➤ Code : mycode.js;

<script type='text/javascript' >
    //<![CDATA[
var uri = window.location.toString();
if (uri.indexOf("%3D","%3D") > 0) {
var clean_uri = uri.substring(0, uri.indexOf("%3D"));
window.history.replaceState({}, document.title, clean_uri);
}
var uri = window.location.toString();
if (uri.indexOf("%3D%3D","%3D%3D") > 0) {
var clean_uri = uri.substring(0, uri.indexOf("%3D%3D"));
window.history.replaceState({}, document.title, clean_uri);
}
var uri = window.location.toString();
if (uri.indexOf("&m=1","&m=1") > 0) {
var clean_uri = uri.substring(0, uri.indexOf("&m=1"));
window.history.replaceState({}, document.title, clean_uri);
}
var uri = window.location.toString();
if (uri.indexOf("?m=1","?m=1") > 0) {
var clean_uri = uri.substring(0, uri.indexOf("?m=1"));
window.history.replaceState({}, document.title, clean_uri);
}
//]]>
</script>


ステップ7 : 最後にSave(保存)アイコンをクリックして、設定とコードを保存します。


保存してモバイルに移動し、ブロガーの記事のパーマリンク/URLを確認するだけです。すると、「M = 1」が削除されていることがわかります。これで、"m=1 or m=0 "のURLなしで楽しめます。)

?m=1と?m=0を削除することの利点。

  • あなたのブログ記事にプロフェッショナルなパーマリンクを与えます。

  • 検索エンジンの検索結果ページでの上位表示に役立ちます。

  • ブログ記事のURLを短くすることができます。



住宅ローンで高まる「人生が詰んでしまう」リスク(転載)~住宅ローンの最大のリスクとは?~


住宅ローンで高まる「人生が詰んでしまう」リスク:

日本経済新聞の記事によれば、29歳以下の若手世代の持ち家比率が上昇し、3割を超えているそうです。これは2人以上の世帯という事ですから、少なくとも既婚者にそのような傾向が強まっているのだと思います。

その要因として、金利の低下による住宅ローンの借りやすさ、共働きによる借入金額の増大、不動産価格の先行きに対する上昇期待などがあると分析しています。

住宅ローンの最大のリスクは、自分が稼いだ収入(税引後の手取り)で返さなければいけないことです。

住宅ローンを借りていなくても、仕事を失うリスクは誰でも持っています。住宅ローンを借りることにより、そのリスクが増幅されてしまいます。

投資用ローンであれば、返済は家賃収入です。収入が下がったり仕事を失ったりしても、家賃が安定していれば所有を続けることができます。

住宅ローンの投資用ローンと比較したメリットは、借り入れ条件が有利である事です。金利も1%以下と低く、長期の固定金利で借りることも可能です。

といっても返済原資は労働収入であることには変わりありません。

住宅ローン返済期間中に、不動産価格が下落し、雇用情勢が悪化して、収入が下がったり、最悪失業してしまうと、住宅ローンによって「人生が詰んでしまう」ことになります。現状の労働収入が、今後数十年維持できることを前提にした返済する借り入れは、とても危険です。

もし私が20代だったとしたら、やはり住宅ローンを借りてマイホームを買うより、投資用ローンで投資用不動産を購入する選択をすると思います。

どうして日本から敢えて海外移住するのか?(転載)


どうして日本から敢えて海外移住するのか?:

日本から海外に移住して生活する日本人がいます。私の周りでは、少し前はシンガポールで起業する人が多く、最近ではドバイに移住する人が目立ちます。

仕事の関係であったり、税金上の理由であったりその背景は様々です。

勤務先の会社の人事異動であれば、転職しないのなら受け入れざるをえません。でも、自らの意思で決められる経営者のような人たちまで、日本から海外移住する気持ちが私にはどうしても理解できません。日本には、他国にはない素晴らしい要素が、たくさんあるからです。

まず安全と清潔さです。

治安の良さと、街の衛生状態の高さは、他の国にはない日本の大きな特徴です。先進国であっても、衛生状態は日本に比べれば今一つという国は多いのです。清掃に対する意識の違いではないかと思います。

そして、利便性と低い生活コストです。

これは都会だけかもしれませんが、コンビニエンスストアが24時間営業し、利便性が高いのも特徴です。その割に物価水準が低く、生活コストは先進国の中ではかなり低いと思います。

さらに、世界一の食のクオリティーです。

何といっても食事のクオリティーが高いことが、日本の最大の魅力です。ワンコインのファーストフードから、数万円の高級レストランまでバリエーションが広く、価格に関係なく、おいしいものが食べられるのは、大きな魅力です。

ニューヨークやロンドン、パリにも美味しいお店はたくさんありますが、価格帯がまったく異なります。そして、フレンチから日本食、中華まで何でもあるのが日本ならではです。

また、日本の地方には更にその地域でしか食べられない素晴らしい食材があります。東北のほやや、北陸の白えびといった食材は、現地に行くと東京とは別ものの新鮮な味わいです。

人生のプライオリティをどう考えるかは、人それぞれの自由です。私は仕事や税金(お金)のためにクオリティ・オブ・ライフを犠牲にしようと思わないだけです。

日本の数少ない問題の1つが教育環境です。日本の教育内容に対する危機感から、子供を海外の学校に行かせたいという気持ちは、よく分かります。

もし、私に子供がいたら、今ごろどこかの海外で生活しながら、日本での快適な生活に憧れていたかもしれません。

THE HAIR BAR TOKYOオンラインストアへの不正アクセス(転載)


ヘアアクセサリーなどを扱う「THE HAIR BAR TOKYOオンラインストア」が不正アクセスを受け、クレジットカード情報が外部に流出した可能性があることがわかった。

同サイトを運営するギャップインターナショナルによれば、脆弱性を突かれてシステムを改ざんされ、4月23日から6月4日にかけて決済のために入力されたクレジットカード情報4538件を窃取された可能性があることが判明したもの。

クレジットカードの名義、番号、有効期限、セキュリティコードなどが対象となる。6月30日にクレジットカード会社より指摘があり問題が判明した。

期間中に入力されたクレジットカード情報4538件について、このうち決済が成立した注文は356件であると同社は説明。大半は機械的に作成したクレジットカード情報が実際に利用できるか、有効性を確認する行為であり、決済は成立していないという。

ープレスリリースー

2021年8月18日
お客様各位
ギャップインターナショナル株式会社

弊社が運営する「THE HAIR BAR TOKYOオンラインストア」への不正アクセスによる
クレジットカード情報流出に関するお詫びとお知らせ

このたび、弊社が運営する「THE HAIR BAR TOKYOオンラインストア(https://www.thehairbar.jp/onlinestore)」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(4,538件)が流出した可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、個人情報が流出した可能性のあるお客様には、本日より、電子メールまたは書状にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。


1. 経緯

2021年6月30日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の流出懸念について連絡を受け、2021年6月30日、弊社が運営する「THE HAIR BAR TOKYOオンラインストア」でのカード決済を停止いたしました。
また、2021年7月9日より、第三者調査機関による調査も開始いたしました。2021年7月22日、調査機関による調査が完了し2021年4月23日~2021年6月4日の期間に 「THE HAIR BAR TOKYOオンラインストア」をご利用のお客様のクレジットカード情報流出の可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。

2. 個人情報流出状況

(1)原因

弊社が運営する「THE HAIR BAR TOKYOオンラインストア」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ECサイトアプリケーションファイルの改ざんが行われ、カード会員データの不正取得されたため。

(2)個人情報流出の可能性があるお客様

漏洩した可能性がある情報・件数最大4,538会員(注:ただし、その内のほとんどはカードの有効性確認(*)をされていたものと考えられ、上記期間内で決済が成立している注文数は356件でした。
(*)カードの有効性確認とは、機械的に作成したカード情報を弊社サイトで使い利用できるかどうかを確認するもの

決済が成立している356件に該当するお客様については電子メールまたは書状にて、個別にご連絡申し上げます。

【流出した可能性のある情報】
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

3. お客様へのお願い

既に弊社では、クレジットカード会社と連携し、流出した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4. 公表が遅れた経緯について

2021年6月30日の流出懸念発覚から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5. 再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえて現行システムの破棄、サーバーを含めたシステムの移行、社内外におけるセキュリティ対策および監視体制の強化を行い、再発防止を図っております。

システム移行後の「THE HAIR BAR TOKYOオンラインストア」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、個人情報保護委員会には2021年7月15日に報告済みであり、また、所轄警察署である東京都渋谷警察署にも2021年8月4日被害申告しており、今後捜査にも全面的に協力してまいります。

JAL、国内線特典航空券の必要マイル数引き上げ 10空港発着、最大730マイル(転載)


JAL、国内線特典航空券の必要マイル数引き上げ 10空港発着、最大730マイル:

日本航空(JAL)は、旅客施設使用料対象空港を発着する、JALグループ国内線特典航空券の必要マイル数を引き上げる。

10月31日申し込み分から、札幌/千歳・仙台・東京/羽田・東京/成田・名古屋/中部・大阪/伊丹・大阪/関西・福岡・北九州・沖縄/那覇発着の国内線特典航空券を対象に、特典航空券の交換に必要なマイル数を100〜730マイル引き上げる。

追加マイル数は、福岡・北九州は100マイル、沖縄/那覇は120マイル、仙台は230マイル、大阪/伊丹・大阪/関西は260マイル、札幌/千歳は270マイル、東京/羽田・東京/成田は290マイル、名古屋/中部は440マイル。東京/羽田〜名古屋/中部線を利用する場合、290マイルと440マイルをあわせた730マイルが追加で必要となる。

どこかにマイル、おともdeマイル割引のマイルを利用した航空券、JAL国際線特典航空券とワンワールド特典航空券に含まれる日本国内区間、10月30日以前に発券した航空券の変更は対象外となる。

【改悪】ブリティッシュエアウェイズのAviosを利用したJAL国内線特典航空券の必要マイル数が変更に。(転載)


【改悪】ブリティッシュエアウェイズのAviosを利用したJAL国内線特典航空券の必要マイル数が変更に。:

国内でも人気の外資系マイレージであるブリティッシュエアウェイズ(BA)のAvios(BAではマイルのことをAviosと言います)ですが、外資系らしく必要マイル数が突如増えました。まあ、いわゆる改悪ですね。

BAのAviosを利用したJAL国内線必要マイル数が変更

本当に突如変更になりました。事前告知も事後告知もなく。それが外資系という感じですね。ブリティッシュエアウェイズのAvios(マイル)は、同じワンワールドの所属するJALの特典航空券を発券することも可能で、非常に人気です。

  • JAL国内線の必要マイル数が非常に少ない
  • キャンセル料が数百円で済む
  • バイマイルも可能なので簡単にAviosが手に入る
  • マリオットポイントからの移行で30%増量キャンペーンがあったりする
などなど非常に魅力となる点が多かったのですが、突如としてJAL国内線特典航空券の必要Avios数がアップ、つまり改悪となりました。

距離区間例旧必要Avios新必要Avios
650マイルまで東京=大阪、東京=札幌など6,0007,500
651マイル~1,150マイル東京=那覇、大阪=那覇、大阪=札幌など9,00010,000
1,151マイル~東京=宮古など11,00011,000
と変更になりました。距離が1,151マイル以上の区間(国際線の大半や、国内線でも東京=宮古など)は変更がありませんが、Aviosで人気の短距離区間が改悪になっています。

Aviosは2019年にも必要Avios数をアップしたばかりで、それまでは東京=大阪は4,500Aviosだったのが、6,000Aviosになり、そして7,500Aviosに・・・。この流れだと2年後には9,000Aviosくらいになってしまいそうですね。

外資系のマイレージというのは、JALマイルやANAマイルにように事前に告知もなく、もしくはあるとしても時間的に猶予が非常に短いというようなシビアなマイレージも非常に多いです。つまり、外資系マイレージを利用する上では、
  • マイルを貯めこまない

  • 改悪も覚悟しておく
というのが、JALマイル・ANAマイル以上に重要になります(JALマイル・ANAマイルでも重要な点です)。マイルに限らず、ポイントというのは企業側が自由に価値を決めることができるものなので、突然価値が半分になってしまうということは多々ありますからね。その分、穴的なお得な制度もあり、そちらをうまく活用しながら、でも改悪には備えてマイル・ポイントは可能な限り使っていくというのが基本になると思います。貯め込みすぎないでくださいね!!

JALマイルとAviosの必要マイル数を比較

今回の改悪で、JAL国内線特典航空券を発券する際には、AviosとJALマイルのどちらが有利なのか比較しておきましょう。これまでは、Aviosの方が有利なことも多かったのですが・・・

区間AviosJALマイル
羽田=伊丹7,5006,000
羽田=札幌7,5007,500
羽田=福岡7,5007,500
伊丹=函館7,5007,500
羽田=那覇10,0007,500
伊丹=那覇10,0007,500
伊丹=札幌10,0007,500
羽田=宮古11,00010,000
となっており、もうAviosの方が必要マイル数が少なくて済むという区間はなくなってしまいました・・・。これは非常に残念です。

やはり、総合的にマイルの貯めやすさ、必要マイル数の少なさ、改悪時の事前告知などなどを含めてもJALマイルとANAマイルは相当利用しやすいマイレージだなと思います。基本はJALマイルかANAマイルをメインにしながら、穴的な場所があれば外資系マイレージも利用するというスタンスがいいのかなと再実感ですね。