マリオットのポイント購入増量セール(2021年8月12日~2021年9月25日)~ミステリーボーナスなので、増量率は人によって異なる模様~


 Marriott Bonvoy Buy & Gift Points Mystery Bonus September 25, 2021

マリオットのポイント購入セールが開始

マリオットは増量セールと割引セールがあり、今回は増量セール。

増量率はミステリーボーナスの形になっている模様。

自分は5〇%だったが、引用元の記事は45%であった。

過去のセールでの最高増量率は60%だが、今回のセールは増量率としては高い部類に入ると思う。

今回1万ポイント分調達するとした際の費用感は下記となる。


日本円に換算すると↓の感じ


前回はちょうど1万ポイント購入で87.5USDだったのに対し、今回は10,500ポイント購入で同額の87.5USDなので、微妙に得と言えば得かも。。。

ただ、現時点、マイルは溜まる一方で消化の目途が立たないことから、買うにしても、ポイント失効防止の観点で、下限で買う感じになりそう。。。

私は普段何も分かっていないけど、ずっと笑顔で「うんうん!」ととにかく頷いていたら、15年もなんとか日本語ミーティングを乗り切ってます!(転載)~英語で外人とやり取りするときにかなり重要~


過去イチでしょうもない記事書いた
knqyf263.hatenablog.com/entry/2021/08/…


英語がさっぱり分からない状態のまま日本人が0の会社に入ってあっという間に2年以上経ちました。未だに日本人は自分一人ですし英語もさっぱり分からないのですが、そんな状態でよくやれてるなと最近色々な人から言われたので苦戦する中で身につけたバッドノウハウを書いておきます。バッドノウハウは以下のような定義で使っています。

バッドノウハウとは、本質的には生産性はないものの、問題解決のために必要になってしまうようなノウハウのこと。


つまり、英語力をあげようとかそういう本質的なことは一切言わず小手先なことを書いています。自分でもバッドノウハウと言ってますし「そんな小手先のことやってるから英語力が伸びないんだ」みたいなマジレスをされると死に至るのでやめてください。

冗談半分みたいな内容なのでネタ記事だと思って読んでください。学校や本で教わるような内容ではなく生き抜くための知恵みたいなやつです。参考にはしないでください。

出来ないとか言ってるくせに海外住んでるし何やかんやうまくやれてるんだろうみたいな疑惑をかけられることがあるのですが、「こいつマジだわ」と思ってもらえる内容だと思います。

誤解のないように強調しておきますが、出来なくて良いと言っているわけでは決してないです。急にそういうチャンスが転がってきた時に「今はまだ英語出来ないから今回は見送って次の機会までに勉強しよう」となるともったいないので、飛び込んでみて成長するまで何とか気合いでしがみついていこうという内容です。

前提

英語は全体的に不得意な方ですが、典型的日本人なので読み書きは最低限できます。ただスピーキング・リスニングは壊滅的です。特にリスニングはもう10年以上前になりますがセンター試験ではずっと平均点を切っていました。50点満点で26-28点ぐらい。つまり平均的高校生より出来ないということです。大学進学を目指している周りの人は平気で48-50点をとっている中で、自分は30点の壁が破れない...などと言っていました。もし自分は平均ぐらいはあると思う、という方は少なくとも自分よりは優秀です。

予備校の英語講師には自分の長い講師歴でこんなに模試で低い点数をとった人は初めて見た、と言われました。120点満点中42点で偏差値も同じ42だったのをよく覚えてます。長年有名予備校の講師をやっている人の最低を更新するのは逆に凄いんじゃないか?とも思いましたが、普通に落ち込みました。さすがに一人ぐらい自分より低い人いただろ、と思いましたが偏差値42だったので優秀なクラスを担当している講師だとあり得るかもなという感じです。

そこからTOEICなどは全く受けずに生きてきて、院試でTOEFLを受けさせられたのですが苦手とか言ってた周りの人間より自分が一番低い点数を叩き出しました。他にもTOEIC勉強せずに受けたからやばかったわーとか言って満点近く取ったりするような人間が周りに多かったので、英語関連の試験からはひたすら逃げ続けました。

脱線しましたが、英語本当にできないんだなというのが理解できてもらえたかと思います。読み書きは最低限できるので底辺だとは思っていませんが、海外で働くために必要なスキルは全く持ち合わせていません。

バッドノウハウ

では全く本質的ではない方法について話します。本当はもっとたくさんあるはずなので思い出したら追記します。

質問編

まず前提として質問は多くの場合聞き取れません。そういうときの対策です。

聞き取れなかった時にSorry?と聞き直さない

聞き取れなかった時に"Pardon?"と言うと学校では習いましたが実際には自分は聞いたことがありません。もちろん使われるシーンはあると思うのですが、"Sorry?"と聞き直されることのほうが多いです。あとはある程度関係性がある場合は"What?"と言われたり、"ちょっと分からなかった”とか"もう一度言って"みたいに言われることが多いです。

特に多いのは"Sorry?"だったので、自分も何となく使っていたのですがとある弱点に気付きました。それは、何となくこなれた感じを出してしまうことで相手は同じスピードでもう一度言うということです。日本語だと「え?」と聞き直すときは大抵ちょっと聞き逃したぐらいのノリなのでもう一度言ってもらえれば理解できますが、英語においてはその限りではありません。

つまり同じスピードでもう一度言われても同じぐらい聞き取れないということです。何なら自分は3回ぐらい聞き直しても全く同じように聞き取れないです。日本語で「昨日の夜さー」「え?」と聞き直されて「きーのーうーのーよーるーさー」とゆっくり言い直さないと思います。それと同じで"Sorry?"と聞くと「え?(ごめんちょっと集中してなくて聞き逃してしまった)」ぐらいのニュアンスになっているように感じます。

同じスピードでもう一度言ってもらうのは完全に時間の無駄なので、"もう一度ゆっくり言ってくれない?"とか次で説明するように聞こえたところを繰り返すほうが良いと思います。

日本語で「スミマセン、モウイチドオネガイシマス」と言われたら次はゆっくり言おうと思うはずなので、"モウイチドオネガイシマス"と英語で聞き返すことで「あ、こいつ得意じゃないんだな」と初手で理解してもらいましょう。

聞こえたところまで繰り返す

上の話と関連するのですが、仮に "Do you know XXX?"と聞かれてXXXが聞き取れなかったとします。この時に"Sorry?"と聞くと"Do you know XXX?"と言われて同じことの繰り返しになります。では自分がどうするかと言うと"Do you know...what?"のように聞き取れなかった部分を明確にして返します。そうするとXXXの部分だけ強調して言い直してくれる確率が高いです。ネイティブだと"Do I know...what?"みたいにyouをIにきちんと置き換えたりしてきますが、英語弱者にそんな余裕はないので聞き取れたところをオウム返しでも良いと思ってます。余裕があれば気をつけましょう。

基本的に英語は音が繋がるので文章だと聞き取れないけど単語だと聞き取れることが発生します。つまり聞き取れる確率が少し上がります。そこだけ強調されても分からない時は知らない単語だったり音を間違えて覚えているので、今度は"XXX?"と聞くと言い換えて説明してくれます。それでも分からなければ諦めましょう。

可能性のある質問全てに答える

質問をされた時に何個か単語は聞き取れて何となく聞きたいことの方向性は分かった。しかし可能性が複数あって一つに絞り込めない、という場合は上のように聞き直す方法もありますが、候補が2-3個まで絞れているなら全てに回答してしまうという手があります。クイズの早押しみたいな感覚です。

「2019年に新たにポルトガルで世界遺産に登録された...」ぐらいまで問題が読み上げられたら「ブラガのボン・ジェズス・ド・モンテ聖域」と「マフラの王家の建物」!!と答えてしまうイメージです。クイズでは正解は一つですが会話では複数答えて一つがヒットすればOKです。問題文は実際には「2019年に新たにポルトガルで世界遺産に登録されたもののうちブラガにあるのは?」だったかもしれませんがそこまでは聞き取れなかったので両方カバーしておきます。

ちなみに3パターンぐらい回答しても全て見当違いで"お前は何を言ってるんだ?"状態になることもよくあるので気をつけてください。諸刃の剣です。

Do you mean ~ ? で可能性を潰していく

日本語で「つまり〜ということ?」みたいに聞く時は齟齬がないように最終確認のような意味合いだと思いますが、英語における自分の使い方は違います。全然聞きとれず候補も絞り込めない、しかし何となく単語はいくつか聞こえた、という時に自分の中で仮設を立てて一か八か"Do you mean XXX?"のように聞きます。ほぼ間違っているわけですが稀にヒットすることもあり、そうなればギャンブルに勝利です。仮に間違っていても"No, no, no, YYY~"と間違っている部分を強調して話してくれるので聞き取れる確率が上がります。あとはそれも聞き取れなかったとしても、少なくともXXXの可能性はなくなったわけで、次は "Do you mean ZZZ?" と聞いていくことで次々に可能性を潰していけます。もちろんそうやっていって最後"Yes"の回答が貰えれば理解をより確実に出来るメリットもあります。

これがなぜ必要になるかと言うと、何度も"もう一度言ってくれない?"と聞き返すと気まずくなるからです。もう一度言って?は1,2回が限界なので残機を使い果たしてしまったら上の方法やこちらに切り替えるイメージです。

うかつにYES/NOで答えない

自分は良く分からない時は大体YES!!と答えています。

それを逆手に取られると困るという話をツイートしていますが、実際にはそもそもYES/NOで回答できる質問ではない場合もあります。そういう時にうっかりYES!!と言うと"いやいや..."となるので気をつけましょう。最初に5W1Hがついている場合はYES/NOの質問ではない可能性が高いので、最初の一単語目に注意しましょう。

他人に振ってみる

質問を受けたものの内容が全く聞き取れなかったとします。そういう時の新たな手法として他人に丸投げするというのがあります。"今の質問についてあなたはどう思う?"と全然関係ない人に振ります。そしてその人が回答している間に情報をひろ集めて元の質問を推測していきます。つまり質問者に聞き直すことで情報量を増やすのではなく、他人に転送することで情報量を増やす高等テクニックです。

良い質問ですねぇを使う

これも質問が分からなかった時の話です。"良い質問ですねぇ"と言った上で"今は回答を持ち合わせていない"等と適当なことを言ってお茶を濁します。

何か言いそうな雰囲気を出して時間を稼ぐ

これはもはや質問に答えない方法です。質問も分からないし打つ手なしとなった時に何か言いそうな雰囲気を出してひたすら無言で耐えます。単に無言だと聞こえてる?となりますが、何か言いそうな雰囲気を出すことで待ってもらえます。「しづる池田 インタビュー」で調べると分かりやすい動画が出ると思います。無言で顔芸で頑張ってもいいですし、"well..."とかそれっぽいことを言っても良いです。

このテクニックの何が嬉しいのかというと、自分の他に詳しい人がいたら回答してもらえる可能性があります。つまり"俺が答えるよ"という人が現れるまで時間を稼ぐテクニックです。質問者は自分に聞いたけど他の英語強者が答えてくれるというやつですね。日本語の研究発表で質問が難しすぎて大学の教授に代わりに答えてもらうやつはかなり辛いですが、英語の場合はそもそも質問すら聞き取れてないので潔く諦めましょう。

そしてもう一つ大きいのは、何か言いたそうだけど言わない姿勢を見せることで質問者側も"答えづらいのかな?"と思ってくれます。そして"ちょっと聞き方を変えるね"と言って別の切り口で質問してくれたりします。実際はただ何も聞き取れていないだけなのですが、もう一度相手がボールを持ってくれるのでチャンスが広がります。

発言編

先程までは聞かれるなど受け身の話でしたが、自分から何か発言する場合についてのテクニックを書いておきます。

How are you?を速攻でキメる

"How are you doing?"や"How’s it going?"など何でも良いのですが、ミーティング開始と同時に速攻で挨拶をします。これで無事にミーティング中に一言話すという目的を達成したのでやるべきことの8割は終わりです。

自分は中島 聡さんの「なぜ、あなたの仕事は終わらないのか スピードは最強の武器である」という本が好きなのですが、その中で「ロケットスタート時間術」という仕事術が出てきます。

これは10日で仕上げるタスクであれば、2割に当たる2日間で8割終わらせるつもりで取り掛かるというものです。仕事が終わらない原因の9割を占める「締め切り間際のラストスパート」を防ぐため、最初からスタートダッシュをかけることで時間の見積もりを正確に行います。この2日間で仕事が8割終わっていれば予定通り終わりそうということで残りの8日間は流しつつ2割を仕上げますし、8割終わっていなければスケジュールの変更を早い段階で決断できます。

開幕How are you?も同じです。ミーティング中に一言も話さないと何も仕事をしなかった感じになりますが、少しでも話すだけで何かやった感じがあります。つまり初手にその目的を達してしまうことでミーティングの残りは流せます。自分はこれを「ロケットスタート英語ミーティング術」と読んでいます。

冗談半分で書いてますが、実際最初に何か少し挨拶でも良いから発言しておくことでその後話しやすくなります。ずっと無言だったのに急に発言するのは勇気がいりますし、周りも「あいつ急に話し出したぞ」と驚かずに済みます。

Can you hear me? Can you see my screen? に率先して答える

上で述べたように最初にミーティングにおける仕事の8割を終わらせているため、あとは2割です。そんな時、最近はリモート会議も多いと思うので最適な場面があります。それが"Can you hear me?"と"Can you see my screen?"です。大体1度か2度は聞かれます。その隙さえ見つければこちらのものです。率先して答えることで10割を達成できます。

話す隙があれば少しでも話すということです。そしてミュートのまま話し続けている人がいれば"ミュートになってるよ”と言えばもう勝ち確定です。もはやオーバーワークです。

How are you?にHow are you?で返す

万が一先手を取られて"How are you?"を相手に出されてしまった時の対策です。"I'm fine"とかより"I'm good"とか"I'm doing good"の方が多いわけですが、いつも同じ感じになってしまってそこそこ返しに困ります。そういう時は逆に"Hey! How are you?"とオウム返ししてしまうテクニックが使えます。もちろん"How's it going?"とか"What's up?"とか少し変えても良いです。"What' up?"と聞かれると"Nothing much"などと答えるべきなのかいつも悩むのですが、最近は"What's up?"返しで乗り切っています。

実際上で述べたように初手"How are you?"を出すようになってから、カウンター"How are you?"を食らうことが多いことに気付きました。「いやこっちが先に聞いてるんだけど...」みたいな気持ちになるわけですが、恐らく"Hi"ぐらいの意味しかないのでいちいち"good!"とか答えないのだろうと思います。

どちらが先に"How are you?"を繰り出してどうカウンターするか、というのは一瞬の駆け引きなので自分から攻めるべきか、はたまた相手からの攻撃を待ってカウンターを決めるべきかはよく見極めましょう。

発表編

ミーティングなどでは時に自分がメインで話さなければならない場合もあります。その場合の対処法です。

話し続ける

「攻撃は最大の防御」というやつです。スピーキングももちろん簡単ではないですが、適当な中学英語を話し続けるだけなら何とかなります。その結果、時間をうまく使い切ることができれば勝ちです。

質問が出ないぐらい丁寧に説明する

とにかく質問が出ないように、事前に質問を想定して全てについてこちらから説明しきります。そうすることで上で述べたように時間を使い切って質問を受ける時間を削ることができますし、そもそも丁寧に説明しているため質問も全く出ずに完封勝利を収めることができます。バッドノウハウではなく普通に良い話を書いてしまいました。

画面共有しまくる

スピーキングの話になりますが、英語のみで全てを説明するのは大変です。ですが、画面共有をして"This!"とか言っておけば一発で伝わります。これは日本語でも有用だと思いますが百聞は一見にしかずなので英語でも見せるのが早いと思います。

資料を準備する

他の人が準備無しでミーティングに臨むような場合でも、英語で説明するのは大変なので図を事前に書いたり話したいWebサイトを開いていったり準備をしっかりしていくと良いです。日本語でももちろんしたほうが良いのですが、口で説明すれば分かるだろうと油断しがちなので英語では特に意識してやるほうが良いです。

リアクション編

実際には何も理解していないのに分かっている感じを出すための方法です。

多彩な相槌を繰り出す

良く分からない時に相槌を打つときが多くあるわけですが、そのバリエーションは持っておきましょう。"I see"とか"OK"に始まり、"wow!"とか"Cool!"とか"That's nice"とか"Absolutely"とか言っておくと実際には何もわかっていなくても分かっている感じが出ます。

笑顔でいる

少しでも聞き取らなくては、とリスニングに集中していると怖い顔になります。自分もめっちゃ集中してて余裕ゼロだったので"どうした...?"と聞かれました。笑顔でいる方が分かっている感じも出ますし雰囲気も良いので頭と耳は集中させつつも外見はリラックスした感じを出す練習をしておきましょう。

笑うタイミングに気をつける

真面目な話の時はまだ良いのですが、雑談系の話になると笑いどころはかなり重要になってきます。何を言ってるか分からなくても話者の表情や抑揚などから面白いことを言っていそうという気配を察し、絶妙なタイミングで笑ってみせる必要があります。真面目な話のときは聞き返しますが、ジョークを聞き返すのは結構申し訳ない気持ちになります。雰囲気で乗り切りましょう。

シュール系ジョークに気をつける

ややこしいのはシュール系のジョークが好きな人です。真顔でボケて来られると笑うタイミングが掴めません。初見殺しです。

同僚「ジョーク(真顔)」

自分「え...?」

同僚「いやジョークだよー」

みたいなやり取りを何度もしたことがあります。滑らせた感じになってすまないと思うわけですが、もう少し分かりやすくしてくれという気持ちもあります。日本人でも自分で話して自分で笑っちゃう人がいますが、笑いどころを知る上では非常にありがたいなと最近思うようになりました。その人の性格がわかってくればジョークを言いそうなタイミングも分かってきて察することが出来るようになるため、最初はボケられても笑えない微妙な空気に耐えましょう。

メンタル編

上のように微妙な空気になっても耐えられるメンタルが必要になります。その対策です。

なぜ日本語を話さないのか?と思っておく

英語ネイティブと話す時、お互いのメイン言語が異なるという条件は同じわけで相手が日本語を話しても良いはずです。何で日本語じゃないのだろう?と内心思っておきます。そして仕方ないので自分が相手に合わせて英語を話すかという心構えでいます。そうすると相手に貸しがあるわけで、自分の英語で至らないことがあっても「これで貸し借りなしな」という気持ちになれます。

これはあくまでメンタルを強く保つための方法なので内心に留めておいて表に出すのはやめておきましょう。

でも自分めっちゃ日本語話せるしなと思っておく

英語でまくしたてられて全然聞き取れなかったとします。そんな時は「でもこれがもし日本語だったら余裕で聞き取れるな。何ならもっと速く話せるぜ」と思っておきましょう。

分からなくても死なないと思っておく

車の運転時とかミサイルが撃ち込まれた時とか命に関わるような話はちゃんと理解しないとダメですが、普通の会社のミーティングで何か分からないことがあっても生きていけます。「さっぱりわからん!!!」ぐらいのテンションでいましょう。

強めの"は?“に備える

自分が何か発言した時に結構強めに“は?“と言われて精神がやられる時があります。恐らく"Huh?"なので強い意味はなく日本語の「え?」ぐらいのニュアンスだと思います。あちらも心を折りに来ているわけではない(多分)ので、事前に備えておけば耐えられます。

その他編

ペース配分を考える

ミーティングが一時間もあったら英語弱者にとってそんな長時間集中し続けるのはまず不可能です。ここぞの時に集中するためにペース配分を考えて試合を進める必要があります。時には大胆に集中力をオフにしてボケーッとしていきましょう。

最後に名前を呼ぶタイプの人に気をつける

質問をする時、"Hey (あなたの名前), I think ~"のように最初に注意をひきつけてくれる人は良いのですが、中には "I think xxx yyy zzz~, what do you think? (あなたの名前)" のように話の最後に急に振ってくる人もいます。こちらとしては何か長めに話し始めた時点でオフになって集中力が0になっていることも多く急に振られても何も話を聞いておらず詰みます。

これは対策が難しいのですが、最初の何文かを集中して聞いて関係なさそうと分かったらオフになりましょう。あとはよくそういう振り方をしてくる人をマークしておいて、その人が話し始めたら感度を上げるのも大事です。

初対面の人と大事なミーティングをしない

やはりある程度慣れというものがあると感じています。何回か話した人は多少は聞き取りやすくなります。一方で初対面だと絶望的に聞き取れない場合があります。そのような状況で何か大事なミーティングをしていると何も分からないまま大事な決定がなされていきます。

自分は恐ろしいほど聞き取れなかったので適当に返していたのですが、あとで聞いたら全然自分の想定と違う決定になっていて急いで謝りました。どうしても初対面の人と大事なミーティングをする場合は議事録残しましょうと最初に提案しましょう。

真面目編

今まではしょうもない内容でしたが、最後に少し真面目なことも書いておきます。

事前に議題を聞く

カレンダーにある程度要点を書いてくれる人はいいのですが、"Discussion" ぐらいのタイトルで詳細なしにミーティングをセットしてくる人もたまにいます(実際にはもう少しちゃんと書いてますがいずれにせよ詳細がわからないレベル)。そういう時はチャットなどで事前に"今日ミーティングセットしてたけど何について話すの?"と聞いておきましょう。何ならそのチャットだけで用件が済むこともありミーティングを未然に防ぐことが出来る場合もあります。

あとで要点を送ってもらうよう依頼する

これは社外の人から説明を受けた場合などによく使う方法です。例えば税理士から丁寧に説明してもらっても大体単語も難しいのでさっぱり分かりません。そういう場合はミーティングの最後に"要点だけ後で送ってもらえますか?"と依頼します。OKと言いつつ送ってくれないことも多いですが、送ってくれた場合はDeepL使えば何とかなります。

ボディランゲージを駆使する

これはあたり前のことなのですがやはり重要なので一応書いておきます。困ったら大体身振り手振りしておけば伝わります。

大きな声ではっきりと話す

これもよく言われることですが、小さい声でモゴモゴ言うと余計に伝わらないので下手でも大きな声ではっきりと話しましょう。

否定疑問文にYES/NOで答えない

"Don’t you like sushi?"と聞かれた場合、日本語だと「はい、好きではないです」となるのでYESと言いたくなりますが実際はNOです。食事の好みぐらいなら間違ってもいいですが、重要な質問で逆の回答をしてしまうと非常に困ります。これは中学で習うような話なので全員知っていることだとは思いますが、いざ会話中に使われると間違うことも多いです。頭の中で"Don't you"を"Do you"に置き換えて回答するなどの手もありますが、それでも自分は混乱するのでYES/NOで答えずに "I like it" のように文章で答えるようにしています。それなら確実に伝わります。

「鶴丸のはっぴ」、JALショッピングで販売~みんなでアラスカ航空のセーフティーダンスを踊ろう~


「鶴丸のはっぴ」、JALショッピングで販売 4,950円:

アラスカ航空のセーフティビデオで赤坂社長が来ていた「鶴丸のはっぴ」が販売されるらしい。

--

JALUXは、運営する通販サイト「JALショッピング」で、鶴丸ロゴ入りの法被(はっぴ)の販売を開始した。

カラーは赤のみ、サイズは着丈約87センチ、身幅約67センチ、袖丈35センチのフリーサイズ。素材はコットン100%で日本製。「催事・イベントなど年間を通して着用可能!ユニセックスのはっぴです。胸元とバックデザインにはJALロゴが大胆に配置されており、会場を一層明るく盛り上げてくれます。ハリのあるしっかりとした素材感で、さまざまなシーンで大活躍してくれるハッピです」としている。

価格は4,950円、送料815円(いずれも税込)。JALの90マイルもしくはJALショッピングポイント45ポイントも獲得できる。

--



お問合せ管理システムへの不正アクセスで個人情報が流出、白崎コーポレーションを騙る不審メールも確認(転載)~想定損害賠償額は6億円程度か~


お問合せ管理システムへの不正アクセスで個人情報が流出、白崎コーポレーションを騙る不審メールも確認:

雑草対策のショップを運営する株式会社白崎コーポレーションは8月30日、不正アクセスによる個人情報流出の可能性について発表した。

これは8月17日午前8時30分頃に、同社グリーンナップ事業で使用するお問合せ管理システムに対し、第三者から意図的な不正アクセスがあり調査したところ、不正アクセスのあったシステム内の個人情報が流出した可能性を確認したというもの。

流出した可能性があるのは、同社が取り扱う住所、氏名、電話番号、FAX番号、メールアドレス、問合せ履歴、購入履歴を含む最大10万件の個人情報。

同社では8月17日に、不正アクセスされたシステムを外部ネットワークから切り離し、その他の被害の有無等をシステムログにて調査、翌8月18日には不正アクセスされたシステムのセキュリティ強化改修を行っている。

また同社では8月18日に警察署へ通報を、8月23日には個人情報保護委員会に報告を行っている。

同社では8月30日に、同社の名前を騙る悪質なメールを確認しており、顧客に対し不審メールが届いた場合は、文面に記載されたファイルのダウンロードなどは行わず、即刻削除するよう注意を呼びかけている。

同社では再発防止策として、セキュリティ会社によるお問合せ管理システムのセキュリティ審査を実施、外部の専門家による社内の個人情報保護体制の強化に取り組むとのこと。

AWSの障害で銀行や携帯電話会社など、広い範囲で影響(転載)~クラウドを採用するということは、障害発生時に指をくわえて見守るしかないことを覚悟せよ~



アマゾン子会社AWSの障害が復旧 データ管理サービス | NHKニュース www3.nhk.or.jp/news/html/2021…:  

IT大手、アマゾンの子会社のAWS=アマゾンウェブサービスで、企業向けのデータ管理のサービスに一時、障害が起きました。
障害はすでに復旧したということですが、銀行や携帯電話会社など、広い範囲で影響が確認されました。

ネットワークの接続機器の故障が原因で、復旧作業の結果、障害発生からおよそ6時間後の午後1時42分に復旧したということです。

このサービスを利用しているのは数十万規模に上るということで、影響は銀行や携帯電話会社など、広い範囲に及びました。

これまでに、
▽スマートフォンで住所変更などを行う三菱UFJ銀行のアプリや、
▽みずほ銀行のネットバンキングのアプリのほか、
▽SBI証券など、ネット証券各社のサイトの一部にアクセスしにくくなるなどの影響が確認されました。

また、
▽携帯電話会社のKDDIでも、スマホ決済の「au PAY」で、入金しにくいなどの影響が出たということです。

アマゾンウェブサービスは「現在問題は解消し、サービスは正常に稼働しています」とするコメントを出しました。

「AWSクラウド」日本のデータセンターにアクセスできず

今回、障害が起きた、AWS=アマゾンウェブサービスの、企業向けのデータ管理サービス「AWSクラウド」は、ソフトウエアやデータを外部のサーバー上で管理して使う、クラウドサービスのひとつです。

顧客である企業などは、AWSクラウドが提供するサーバーにインターネットを通じてアクセスすることで、データを預けて管理したり、あらかじめ用意されたさまざまなソフトウェアを利用したりすることができます。

高機能なサーバーやソフトウエアを自前で管理する必要がなく、機能を利用した分だけ料金を支払う仕組みのため、多くの企業や個人が、WEB上でサービスを提供するために利用しています。

AWSのサーバーは世界中に設置されていて、利用者が目的などに合わせてサーバーのある地域を選べるようになっています。

AWSによりますと、今回、障害が確認されたのは「AWS Direct Connect」と呼ばれる、顧客がサーバーに安全に接続するためのサービスのネットワークで、サーバーが設置されている東京リージョンと呼ばれる日本のデータセンターにアクセスできなくなる不具合が発生したということです。

「政府管理の国民向けサービスに影響なし」官房長官

加藤官房長官は、午後の記者会見で「現在は、アマゾンウェブサービスのシステムが復旧したため、金融機関などのシステムも、順次復旧しつつあるとの報告を受けている。金融庁において、まず状況の把握に努めるとともに、各社に対して顧客対応に万全を期すよう要請しているとのことだ。政府が管理するシステムについては、国民向けサービスへの影響は確認されていない」と述べました。

個人利用クラウドへのアップロードも行われた再委託先従業員による情報持ち出し事件(転載)~クラウド利用時に考慮しないといけないリスクの一つだな。~

個人利用クラウドへのアップロードも行われた再委託先従業員による情報持ち出しについてまとめてみた
再委託先社員による不適切なデータの取り扱いについてのお知らせとお詫び 

株式会社村田製作所(以下、当社)は、外部委託先企業(委託先:日本アイ・ビー・エム株式会社)の再委託先(中国法人IBM Dalian Global Delivery Co., Ltd.、以下「再委託先」)社員が当社取引先情報および個人情報を含むプロジェクト管理データを業務用パソコンへ許可なくダウンロードし、中国国内の外部クラウドサービスの個人アカウントへアップロードしたことを2021年7月20日に確認しました。

委託先の調査によると、持ち出された情報について当該再委託先社員以外の者がアクセス・取得した事実やその情報が悪用された事実は認められておりません。また、外部クラウドサービス事業者の調査でも、持ち出された情報を第三者がコピー・ダウンロードした事実のないことが確認されたと報告を受けておりますが、当社としてデータ対象範囲の広さと取引先情報および個人情報が含まれているという事実に鑑み、本件の発表に至りました。

お客さまをはじめ多くのご関係先にご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。


1.本件の概要

当社の会計システム更新プロジェクトに関わる当該再委託先の社員によって、業務用パソコンへ取引先情報および個人情報を含むプロジェクト管理データが許可なくダウンロードされました。また、同データを中国国内のクラウドストレージサービスの個人アカウントへアップロードしたことが確認されました。アップロードされたデータはすでに業務用パソコンおよび、外部クラウドストレージサービスから削除されています。

なお、本件に関してウィルス感染やサイバー攻撃などは確認されていません。


2.経緯

・ 6月28日 再委託先の社員がプロジェクト管理データを業務用パソコンにダウンロード。

・ 6月30日 再委託先の社内監視システムによりセキュリティアラートを検知。

・ 7月4日  調査の結果、再委託先の社員による取引先情報および個人情報を含むプロジェクト管理データのダウンロードを確認。

・ 7月8日 再委託先の社員への聞き取り中に、上記データのダウンロード後に外部クラウドサービスの個人アカウントへのアップロードが行われたことが判明。同日、再委託先の監視のもと、アップロードされたデータを削除。

・ 7月20日 外部委託先企業から当社へ報告。

・ 8月3日 外部クラウドサービス事業者の調査により、第三者がそれらのデータをコピーしたり、ダウンロードした形跡がないことを確認。

・ 8月5日 外部委託先企業から順次開示される解析データに基づき提供される情報を当社側でも内容を分析・検証し、影響のある範囲の特定やリスクを確認。当社プレスリリースを実施。


3.対象範囲

以下72,460件の情報が含まれていました。情報については対象国ごとに異なります。

・ 取引先情報:30,555件※1(会社名・住所・氏名・電話番号・メールアドレス・銀行口座)

・ 当社従業員関連情報:41,905件※2(従業員番号・所属会社名・氏名・メールアドレス・銀行口座)


※1 取引先情報の対象となる国・地域:日本、中国、フィリピン、マレーシア、シンガポール、アメリカ、EU

ただし、顧客情報の対象となる国は中国、フィリピンのみとなります。

※2 当社従業員関連情報の対象となる国・地域:日本、中国、フィリピン、シンガポール、アメリカ、EU


4.再発防止策と今後の対応

当社グループでは、本件の発生を厳粛に受けとめ、再び同様の事態が発生しないよう、原因の究明を進め、外部委託先を含めたセキュリティ強化および情報管理の徹底を図ってまいります。

2FA(多要素認証)を使っていない?それはハッキングされることを求めていることを意味します。 / Not using 2FA? You’re asking to be hacked(転載)


Not using 2FA? You’re asking to be hacked:

ここ数年、サイバー犯罪の舞台裏では、膨大な量の個人情報が流出するデータ漏えい事件が急増しています。このようなデータがオンラインで入手できることで、脅威の主体は、フィッシング・キャンペーンから個人情報の窃盗まで、幅広い攻撃を行うことができます。

現在、最も一般的な認証形態は、ログイン認証(ユーザー名とパスワード)に基づいていますが、脆弱なパスワードの採用や、異なるWebサービス間でパスワードを再利用する悪習慣により、ユーザーは複数の攻撃にさらされています。

ただし、セキュリティを高めるためには、ご本人であることを証明するために複数の認証要素を必要とする認証プロセスを使用する必要があります。

多要素認証とは何ですか?

多要素認証方式では、以下の要素を使用することが可能です。

  • セキュリティトークンやスマートカードのように、あなたが持っているもの。
  • パスワードやPINコードのように、あなたが知っているもの。
  • あなたが持っているもの、例えば、あなたのバイオメトリック特性など。

多要素認証(2FA)とは、上記の2つの要素を組み合わせた認証方式です。2FAの例としては、ATMでの認証の際に、暗証番号(知っているもの)と支払いカード(持っているもの)の提示を求められることが挙げられます。

幸いなことに、一般的なオンラインサービスではすでに2FA認証が実装されていますが、ユーザーはそれを有効にする必要があります。

2FAを採用することで、上記の要因の1つが侵害された場合でも、リソースを保護することができます。パスワードを所持している攻撃者は、支払いカードなどの第2の要素を提供できなければ、アカウントにアクセスできません。

2FAの種類

ここで重要なのは、2FAの方法の中には、他の方法よりも安全性が高いものがあるということです。

例えば、SMSメッセージとパスワードに基づく2FA認証は、携帯電話上で動作する認証アプリで生成されたコードとパスワードを使用するスキームよりも安全性が低いと考えられています。

SMS メッセージは、被害者のデバイスにインストールされたマルウェアによって簡単に傍受されたり、被害者に対して SIM スワップ攻撃を行うことができる攻撃者によって入手されたりする可能性があります。2FA のタイプの選択は、効率性、使いやすさ、コストなど、複数の要素に影響されます。

Duo Security社が行った調査によると、政府機関の19%が、管理しているデータの機密性が高いことから、ハードウェア認証トークンを使用しているという。

2FAの代替案として、ユーザーのモバイル機器を利用する方法があります。このオプションは、ソリューション全体のコストを大幅に削減します。例えば、Google社によると、同社の認証機能を使用することで、自動化された攻撃から最大100%アカウントを保護することができます。

また、ユーザーに電話をかけて認証コードを伝えるソリューションもあります。このような理由から、この認証は音声ベースの2FAと呼ばれています。このソリューションは、クライアントがモバイルアプリケーションに対応していない古い電話機を使用している場合に提案されます。残念ながら、音声ベースの2FAで実現されるセキュリティレベルは非常に低い。

オンラインでは、バイオメトリック2FAやプッシュ通知を利用した2FAなど、他の2FA認証形式も利用できます。前者は、ユーザーの身体的な特徴を認証要素として使用するものです。指紋、静脈や網膜のパターン、顔認識などがある。後者は、ユーザーがシステムにアクセスしようとしたときに送られるプッシュ通知を利用します。この場合、ユーザーはモバイルデバイスから操作を承認する必要があります。

2FAの使用に関する悲しい統計

Duo Security社の研究者によると、2019年に最も一般的だった認証方法はモバイルプッシュ通知で、利用率は68%に達した。

残念ながら、民間企業内での多要素認証の利用率はまだ低く、LastPass社が行った調査によると、2019年の米国では多要素認証を利用している企業はわずか26%でした。民間企業はサイバー攻撃にさらされやすいため、このデータは不愉快なものです。

このような状況は、Twitter社の透明性報告書でも確認されています。

ソーシャルネットワークプラットフォームは、2020年下半期に、少なくとも1つの2FAメソッドを有効にしていたアクティブなTwitterアカウントは、わずか2.3%であったことを明らかにしました。良いニュースとしては、2020年7月から12月の間に、少なくとも1つの2FA方式を有効にしていたユーザー数が9.1%増加したことを観測したことです。

「一般的に、SMSベースの2FAは、SIMハイジャックやフィッシング攻撃の影響を受けやすいため、最も安全性が低いと言われています。認証アプリは、SIMハイジャックのリスクを回避することができますが、フィッシング攻撃を受ける可能性があります。セキュリティキーは、フィッシング攻撃に対する防御機能が組み込まれているため、最新かつ最も安全な2FAの形態です」とTwitter社は述べています。

Twitterユーザーの多くは、認証要素としてSMSで送られてくる認証コードを好んでいました。

これは、2FA を有効にしているアカウントの 79% 以上が選択している方法です。セキュリティキーに基づく最も安全な2FA方式を利用しているのは、わずか0.5%です。

「これらの数字は、2FAの普及を促進すると同時に、アカウントが2FAを使用する際の利便性を向上させる必要性があることを示しています。2FAの方法をよりシンプルで使いやすいものにすることで、Twitterでの導入を促進し、セキュリティを高めることができます」とTwitter社は述べています。

そうは言っても、2FA認証を実装しているサービスはすべて有効にすることをお勧めします。また、複数の選択肢がある場合には、ソフトウェアベースの2FA認証を利用することで、高いレベルのセキュリティを確保することができます。

ランサムウェアギャングが発表した被害者リスト(2021年8月版)

 

2021年8月は7社が被害にあっている模様。