五輪期間中のサイバー攻撃の可能性(転載)
五輪期間中のサイバー攻撃の可能性
現在、コロナ禍の影響でテレワークを含め自宅で過ごす機会が増え、非常事態宣言下の東京オリンピック・パラリンピックが開催され、期間中はさらに多くの人たちがネットにアクセスすることになろう。
ほぼ無観客でのオリンピック開催であることから、オリンピック・パラリンピック観戦視聴媒体はテレビ、ラジオ、インターネット中継となる。ライブでの視聴に加え、試合の動画配信、再視聴などを勧誘するURLにも要注意だ。
また、オリンピック期間中、開催後は関連グッズのオンラインショッピングも見込まれる。くれぐれもネット上の被害に遭わないよう各個人で意識してほしい。
2021年7月22日、オリンピック・パラリンピックのチケット購入者、ボランティアポータルを利用した人たちのログインIDとパスワードがインターネット上に流出したと、政府関係者が発表した。彼らのユーザー名とパスワードは、パソコンやスマートフォンへの不正アクセスによって盗まれた可能性が高く、個人情報を公開しているウェブサイトに掲載されていた。
これらが使用された場合、紐付けされている購入者やボランティアの氏名、住所をはじめ、登録銀行口座など、より多くの個人情報にアクセスできる可能性が高い。
最近は郵便物や宅急便の置き配サービスに便乗し、宅配不在連絡の偽ショートメッセージと共に、記載されているURLをクリックすると相手方にアカウント情報を抜き取るケースが多発している(この春は特に各通信企業の携帯電話の価格競争で、攻撃側がその事情に便乗して、宅配の不在連絡のメッセージを開けさせ、NTTドコモのアカウントを乗っ取り、ショッピング被害に繋がった事例は記憶に新しい)。
攻撃者に高額の買い物を許すことになり、貯めていたポイントも抜き取られてしまう。いったん(注文していないはずの)荷物が配達されてしまうと買い物が成立してしまい、返金は困難だ。
各企業もこの対応には慣れていないため、窓口でたらい回しにされ、余計な手数、時間がかかり、心理的な苦労を強いられ、諦めて泣き寝入りするケースが多い。
特に、モバイルユーザーを狙う傾向が強く、モバイル上でオンラインショッピングをしたことがある人は全員被害者になり得ると思ってほしい。攻撃者は最近のトレンドを調べており、例えば利用者が多いアマゾンでのショッピングの配送に伴う国際宅配業者(一度でも利用した業者であればURLをクリックしてしまう可能性が高い)、国内の宅急便業者、各航空会社を名乗り、ショートメッセージ、時にはメールで不在配信などを知らせて来る。利用者が多いGmailアカウントは特に狙われやすい。
今年の夏、旅行や帰省をせず自宅で過ごすことが多い中、あまりITに詳しくない家族や身近の人たちに、こういった悪質なサイバー犯罪の被害に遭わないよう、また、彼らが被害に遭いそうにないか状況を尋ねるなどして気に掛けていただきたい。
今回の東京オリンピック・パラリンピックは、何が何でもやるという政府ならびに国際オリンピック委員会(IOC)の思惑が動いているだけに、当イベントの中止や運営の邪魔をする動きに攻撃者が狙いを定めている。
そのため、ランサムウエア(身代金ウイルス)集団は、試合の放送を止め、再開するために多額の支払いを要求する可能性に目を付けているはずだ。つまりオリンピックのイベント自体を人質に取り、解決させるまでの時間に対するプレッシャーを与え、影響を受けたネットワーク事業者が、手動でオペレーションを復旧させるよりも、身代金要求に迅速に対応したいと思う心理を突いてくるであろう。
金を儲け、混乱を招き、知名度を上げ、敵の信用を落とし、イデオロギー的な目標の推進を目的とする名高い中露の国家的な攻撃者の絶好の出番だ。
不動産投資におけるリスク~事故物件化リスクに備える~
不動産投資には様々なリスクがあるが、不動産自体はある程度の歴史があるため、見方を変えれば、リスクパターンはある程度で尽くしているともいえる。
その主なリスクとは下記のとおりである。
- 空室リスク
- 家賃下落リスク
- 家賃滞納リスク
- 老朽化リスク
- 原状回復/修繕費に関するリスク
- 不良入居者リスク
- 金利上昇リスク
- 災害リスク
- 事故物件化リスク
- 訴訟リスク
自分は区分所有権でやっているが、空室リスク、家賃下落リスク、金利上昇リスク、災害リスクなどは購入前にヘッジしておくべき様な項目である。
空室リスクや家賃下落リスクは購入物件のエリアを気にする必要があり、基本的には人口が多い東京都内の駅近(徒歩10分以内)とする必要がある
人口が増えているという観点では沖縄や大阪の一部があるが、投資環境や投資可能エリアが特殊だったりするので、触れない。
金利上昇リスクは、リスクとしてはあるものの、現時点特に手を打っておらず、事実上リスクを受容している状況となっている。
災害リスクについては火災保険や地震保険等の保険を付けてリスク移転を行う。
前置きが長くなったが、今回考えるのは事故物件化リスクについてである。
我が大日本帝国は年間自殺者数2万人以上、年間孤独死者数は3万人以上と言われている。
大日本帝国民が1億人だとして、単純計算で0.5%だが、それでも自分が所有する物件でその0.5%が発生したら正直パにくって何をしたらよいか分からなくなる。
ちなみにそんな0.5%が発生した時にことを聞くことができた。
とある1棟もののオーナーさんのある1室での出来事
(事件が発生した部屋の)隣の部屋に住んでいる入居者から大家に入電「隣の部屋から異臭がする」
↓
大家から事件が発生した部屋の入居者に何度も連絡するがつながらない(ちなみに家賃滞納はなかった)
↓
大家は事件性を感じ警察に安否確認依頼(異臭とのことで、警察と消防が迅速に立ち会い)
↓
警察と消防立ち会いのもとドアを開けると強烈な腐敗臭。奥を覗くと、ロフトから吊られた首つり自殺を確認。
↓
警察による現場検証(6時間以上は事件現場の部屋への立ち入りが制限される)
↓
(現場は警察に任せるしかないので)大家は保険、保証、相続人、他の入居者対応を行う。
↓
相続人確認の結果、「相続放棄」を選択されると、損害賠償先はなくなる(自殺は連帯保証人や相続人に原状回復費用と逸失利益について損害賠償請求ができる)
↓
特殊清掃代やリフォーム代は大家が泣き寝入りすることに・・・。
では、この0.5%のリスクに対してどう対応するか。
方法としてはリスクファイナンスとなる。
今回教えてもらったのはアソシア保険の「大家の味方」という保険である。
他にもAIUやアーク家賃保証、東京海上日動も類似の保険を用意しているようだが、管理会社等で聞いてみると、紹介してくれるのではなかろうか?
ちなみに上記の保険は物件オーナーが入る保険だが、入居者が入る保険もある。
アマゾン創業者ジェフ・ベゾス氏の「後悔最小化フレームワーク」から学ぶべきこと(転載)~やるかやらないか悩んだら、とりあえずやってみることが重要~
アマゾン創業者ジェフ・ベゾス氏が自ら設立したブルーオリジン社のロケットで、宇宙旅行に挑戦し無事に帰還しました。
アマゾンをゼロから立ち上げて、世界一の会社に育て上げたベゾス氏ですが、起業する前も投資銀行で上級副社長になるほどの成功を収めていました。そのポジションを敢えて捨てて、アマゾンを起業しようと決意したことは驚きです。
その際の意思決定には「後悔最小化フレームワーク(Regret Minimization Framework)」という考え方を使ったそうです。
自分が80歳になったと想像して「本当に後悔しないか」と問いかけることで、その後悔を最小化するという観点から、何をすべきか何をすべきではないかを決めるという方法です。
しかし、多くの人にとって、はるか先の未来から現在を俯瞰(ふかん)して判断をするというのは、理屈はわかったとしても、現実的には簡単ではありません。
そこで思い出したのが、大津秀一さんの「死ぬ時に後悔すること25」という古典的名著です。人生の終末を意識した人たちが何を後悔しているかをホスピスでの経験を基にまとめたものです。
それを見ると、「故郷に帰らなかったこと」「会いたい人に会っておかなかったこと」「自分の生きた証を残さなかったこと」「趣味に時間を割かなかったこと」「他人にやさしくなれなかったこと」というように「やったこと」よりも「やらなかったこと」の方が後悔の数が多いのです。
やって、後悔したこととして挙げられているのは「悪事に手を染めたこと」など、あまりありません。
つまり、「後悔最小化フレームワーク」の判断基準で重要なポイントは、やるかやらないか悩んだら、とりあえずやってみることです。もし、やって失敗したとしても、後悔のない方法であれば納得できるはずです。ただし、悪事には手を染めてはいけません。
私も人生の経験上、多くの事はやって後悔するよりやらないで後悔することの方が多いと感じます。
確かに、このやり方は多くの失敗も生み出しますが、良いと思ってやったことは、例え結果がどうであれ納得でき、後悔しない意思決定になるのだと思います。
ワクチン打って100万円!?簡単作業で一発逆転のキャンペーン(転載)
オリンピック開催が盛り上がる中容赦無く侵攻を止めないウイルス。
頼りとなるのは“ワクチン接種”の一択しかない小さな希望の日本で困窮世帯を救えるであろう兆しが。
現在、レシート買取でもお馴染みのアプリ“ONE”では、“ワクチン”接種後に発行できる“接種証明書”をアップロードするだけで、何と“100万円”が当たるかも知れない大規模キャンペーンを開催中です。
本キャンペーンは”7月21日”から“9月30日”までとなり、その間に“ワクチン接種証明書”を撮影してアップロードすれば参加可能です。
当選内容の詳細は以下の通りです。
- 1名:100万円
- 200名:1万円
“証明書”には個人情報も記載しているため、キャンペーン終了後はデータをすべて消去するとのこと。
さらにキャンペーンの対象となる“証明書”は自治体が発行するものに限られていますが、職域接種で利用する“接種記録書”も対応予定。
また、キャンペーンは”9月30日”で一旦終了とはなりますが、継続して”2022年3月”まで“合計3回”を開催する予定とのことですので若い世代に順番が回ってきた際も参加できる可能性は高いでしょう。
巷では”ワクチン”による二次被害や将来的な副作用も噂されており“敢えて打たない選択肢”もある中やはり唯一の希望に変わりは無し。
打楽器専門ECサイトでカード情報漏えい 最大1667件(転載)~想定賠償損害額は4,300万円程度か?~
【重要】個人情報漏えいに関するお詫びとお知らせ
2021年8月23日
お客様各位
株式会社コマキ楽器
弊社が運営する「コマキ楽器WEBサイト」への不正アクセスによる
個人情報漏えいに関するお詫びとお知らせ
このたび、弊社が運営する「コマキ楽器WEBサイト」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報1,667件が漏洩した可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
記
1.経緯
2021年2月19日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2021年2月19日弊社が運営する「コマキ楽器 WEBサイト」でのクレジットカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2021年5月31日、調査機関による調査が完了し、2019年11月27日~2021年2月19日の期間に 「コマキ楽器 WEBサイト」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。
2.個人情報漏洩状況
(1)原因
弊社が運営する「コマキ楽器 WEBサイト」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)個人情報漏洩の可能性があるお客様
2019年11月27日~2021年2月19日の期間中に「コマキ楽器WEBサイト」においてクレジットカード決済をされたお客様1513名で、漏洩した可能性のある情報は以下のとおりです。
- クレジットカード名義人名
- クレジットカード番号
- 有効期限
- セキュリティコード
上記に該当する1,513名のお客様については、別途、電子メールにて 個別にご連絡申し上げます。
3.お客様へのお願い
既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、クレジットカード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
4.公表が遅れた経緯について
2021年2月19日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、決済代行会社と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受け、発表は調査会社の調査結果、およびクレジットカード会社との連携を待ってから行うことに致しました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
5.再発防止策ならびに弊社が運営するサイトの再開について
弊社はこのたびの事態を厳粛に受け止め、「コマキ楽器 WEBサイト」で使用していたサーバー、システムは全て破棄いたしました。今後は調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
改修後の「コマキ楽器 WEBサイト」におけるクレジットカード決済の再開日につきましては、決定次第、改めてWEBサイト上にてお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2021年6月24日に報告済みであり、また、所轄蔵前警察署にも2021年6月24日被害申告しており、今後捜査にも全面的に協力してまいります。
POLY Networkの”太陽的(融和的)"解決策 / Hacker gets 500K reward for returning stolen cryptocurrency(転載)~こういう対応は日本企業じゃ無理だろうなぁ~
POLY Networkの「太陽」手法
Poly Networkが2週間前に失った6億1,000万ドル以上の暗号通貨資産を取り戻し、ハッカーが資金返還のために50万ドルの懸賞金を受け取ったことで、分散型金融の世界で最大のハッキングと呼ばれてきた武勇伝は終わったように見えます。
本日、Mr.White Hatと呼ばれるハッカーは、Poly Networkに対し、ウォレット内の盗まれたデジタル資産の最後のトランシェ(約1億4100万ドル相当)へのアクセスを許可しました。
Poly Networkは現在、すべてのサービスを再開する前に、被ったセキュリティ侵害から立ち直るための2番目の最終段階である「資産回収」作業に移行しています。
この事件は2021年8月10日に発生したもので、何者かが自分のウォレットにBinance Chain、Ethereum(ETH)、そして分散型クロスチェーンプロトコルおよびネットワークであるPolygon NetworkのPolygonの資産を移しました。
- イーサリアムトークン:~2億7300万ドル
- Binanceスマートチェーン:~2億5300万ドル
- ポリゴンネットワーク(USDC):~8500万ドル
このニュースは瞬く間にブロックチェーン上に広まり、攻撃者が使用した3つのウォレットアドレスはPolyNetwork Exploiterと表示され、取引所に資産が盗まれたことを知らせ、いかなる取引も処理しないようになっていました。
同日、Poly Networkはハッカーにハッキングされた資産の返還を促し、解決のために話し合う意思があると述べました。
このメッセージがハッカーの決断に影響を与えたのか、あるいはブロックチェーンセキュリティ企業のSlowMist社が攻撃者の電子メールアドレスやIPアドレス、デバイスの指紋を追跡したと主張したのかは不明ですが、Mr.White Hatはまさにその翌日に、盗んだ資産をすべて返還すると発表しました。
Mr.White Hatは、約2億6000万ドル相当のデジタル資産を持ってスタートしましたが、3/4マルチシグネチャウォレットの秘密鍵をPoly Network社に引き渡し、戦利品の最後の部分である約1億4100万ドル相当の28,953ETHと1,032ラッピングビットコイン(WBTC)を放出しました。
Poly Network社の「お礼」は、約50万ドル(160ETH)と、Mr.White Hatを同社のチーフ・セキュリティ・アドバイザーに「招待」するという形で行われました。同社はまた、ハッカーに法的責任を負わせるつもりはないと述べました。
Poly Networkはその約束を守り、2021年8月19日に160ETHをハッカーが公開したウォレットのアドレスに送金しました。
しかし、Mr.White Hatから仕事の依頼についての返事は来なかった。また、バグバウンティに関する返事もありませんでした。
Poly Network社は、8月14日より、攻撃を受けてからの進捗状況を、パブリッシングプラットフォーム「Medium」上の一連のアップデートで記録し始めました[1, 2, 3, 4, 5, 6]。同社は、資産の完全な復元プロセスを開始したことを発表しました。
Poly Network社は、約2週間で5億米ドル以上を失った状態から、史上最大の暗号通貨強盗の被害者となっただけでなく、すべての資産を回収したことで、世界的に有名になりました。
さらに、同社は過去を水に流し、ハッカーに対して法的措置を取らず、トップセキュリティの仕事と50万ドルを提供することを決めました。
この報酬は、盗まれた資産の価値と比べると小さく見えるかもしれませんが、ハッカーが戦利品から一銭も使うことができなかったかもしれないことを考えると、多額の賞金となります。
マイクソの設定ミスにより3800万件の記録が流出 / 38 Million Records Exposed Due to Microsoft Misconfiguration(転載)~クラウド利用時にこういうリスクも覚悟しなければならない~
専門家によると、マイクロソフト社(マイクソ)のポータルプラットフォーム「Power Apps」を使用した1000以上のウェブアプリから約3800万件の記録がオンラインでアクセス可能な状態で放置されていたとのことです。武漢ウイルス(COVID-19)の連絡先追跡業務、ワクチン登録、従業員データベースなどのデータ(自宅の住所、電話番号、社会保障番号、ワクチン接種状況など)が記録に含まれていたと考えられます。
今回の事件では、アメリカン航空、フォード、J.B.ハント、メリーランド州保健局、ニューヨーク市都市交通局、ニューヨーク市公立学校など、大手企業・団体が影響を受けました。これらのデータ流出事件はすでに修正されていますが、広く使われているプラットフォームでのたった一つの誤った構成設定が、いかに広範囲に影響を及ぼすかを示しています。
ユーザーはPower Appsのサービスを利用して、独自のウェブアプリやモバイルアプリを簡単に作成することができます。Power Appsは、収集したデータを使用するためのアプリケーション・プログラミング・インターフェース(API)を開発者に提供します。しかし、セキュリティ企業のUpguard社は、これらのAPIにアクセスすると、Power Appsポータルで受信したデータがデフォルトで公開され、情報を非公開にするためには手動で再設定する必要があることを発見しました。
Upguard社は、2021年5月にこの問題の調査を開始し、秘密にされていた複数のPower Appsポータルのデータが、誰にでもアクセス可能であることを発見しました。Upguard社によると、2021年6月24日にMicrosoft Security Resource Centerに脆弱性レポートを提供し、その中には機密データが公開されているPower Appsポータルアカウントへのリンクや、匿名でのデータアクセスを可能にするAPIを発見する方法が含まれていました。
「しかし、機密情報を公開しているアカウントの数を見ると、この機能のリスク、つまり設定ミスの可能性と影響が十分に認識されていないことがわかります。「複数の政府機関が、アプリのセキュリティレビューを行ったが、この問題を発見できなかったと報告しています。これは、データセキュリティ上の懸念事項として十分に公表されたことがなかったためと思われます。
マイクソの担当者は、同社が影響を受けたユーザーと直接協力して、データが非公開であることを保証し、データが公開された場合には消費者に通知したと述べ、同製品のセキュリティを擁護しました。マイクソの広報担当者は声明の中で、「当社の製品は、顧客に柔軟性とプライバシー機能を提供し、多様なニーズを満たす拡張可能なソリューションを設計することができます」と述べています。
登録:
投稿 (Atom)