マリオットのポイント購入ボーナスセール(2021年10月7日~2021年10月14日)


 マリオット:驚異のポイント購入55%ボーナスセール!!マイル交換で単価2.1円/マイル!

マリオットのポイント購入セールが開始。

マリオットは増量セールと割引セールがあり、今回は増量セールで、55%のボーナス。

過去のセールでの最高増量率は60%だが、今回のセールは増量率としては高い部類に入ると思う。

今回1万ポイント分調達するとした際の費用感は下記となる。


日本円に換算すると↓の感じ


前回は10,500ポイント購入で87.5USDだったのに対し、今回は10,850ポイント購入で同額の87.5USDなので、微妙に得と言えば得かも。。。

ただ、現時点、武漢ウイルス蔓延の影響が継続しており、マイル消化の目途が立たないことから、ポイント失効防止の観点で、下限で買う感じになりそう。。。

尚、TopCashback経由で購入すると若干のキャッシュバックが受けられます(キャッシュバックはpaypalでの受け取りだけど。)

Kali Linuxのアップグレード方法(2021.2⇒2021.3)


Kali Linuxのアップグレード方法メモ

1.現在のバージョン確認

【コマンド】

 lsb_release -a

【実行例】

kali@kali:~$ lsb_release -a
Release:        2021.2


┌──(kali㉿kali)-[~]
└─$ grep VERSION /etc/os-release
VERSION="2021.2"
VERSION_ID="2021.2"
VERSION_CODENAME="kali-rolling"


2./etc/apt/sources.list が正しく入力されていることを確認。

https://www.kali.org/docs/general-use/updating-kali/

【コマンド】

echo "deb http://http.kali.org/kali kali-rolling main non-free contrib" | sudo tee /etc/apt/sources.list

【実行例】

┌──(kali㉿kali)-[~]
└─$ echo "deb http://http.kali.org/kali kali-rolling main non-free contrib" | sudo tee /etc/apt/sources.list

3.アップグレード実施

【コマンド】

sudo apt update

sudo apt full-upgrade -y

【実行例】

kali@kali:~$ sudo apt update
kali@kali:~$
kali@kali:~$ sudo apt full-upgrade -y
kali@kali:~$

3.5.OS再起動実施

【コマンド】

[ -f /var/run/reboot-required ] && sudo reboot -f

【実行例】

┌──(kali㉿kali)-[~]
└─$ [ -f /var/run/reboot-required ] && sudo reboot -f

4.アップグレード後のバージョン確認

【コマンド】

 lsb_release -a

【実行例】

kali@kali:~$ lsb_release -a
Release:        2021.3


┌──(kali㉿kali)-[~]
└─$ grep VERSION /etc/os-release
VERSION="2021.3"
VERSION_ID="2021.3"
VERSION_CODENAME="kali-rolling"

┌──(kali㉿kali)-[~]
└─$ uname -v
#1 SMP Debian 5.10.46-4kali1 (2021-08-09)

┌──(kali㉿kali)-[~]
└─$ uname -r
5.10.0-kali9-amd64


システム障害リスクを何度も顕在化させる、みすぼらしい銀行は不動産取引に怖くて使えない(転載)


システム障害リスクのある銀行は不動産取引に怖くて使えない:

金融庁は、システムトラブルを繰り返す「大手メガバンク」に業務改善命令を出し、システムを実質管理するそうです。これは、今まで発生した障害に対して、抜本的な対策が取られておらず、金融機関任せでは今後も同様の事態が発生する懸念が払しょくできないと当局が判断したことを意味します。

金融システムの安定は、資産運用の中でも特に不動産取引において極めて重要です。

今月また東京23区の不動産を購入することにし、追加で1億円近い借り入れをすることにしました。

実は、日本の不動産の売買は、いまだに極めてアナログな方法で行っています。

通常は購入する物件に前の所有者の抵当権が設定されており、当日その抵当権を解除します。その上で、買い手の新たな抵当権を銀行が設定し、融資を実行するという流れになっています。

しかし、抵当権を解除して借りていた銀行に返済をしてもらい、その後抵当権を設定してから購入代金を支払うと言う流れでは、売り手への支払いができません。

そこで、関係者が金融機関の応接室などに一堂に会し、まず司法書士がすべての書類をチェックし問題ないことを確認する。終わったら登記に持ち込む前に融資をして、司法書士がすべての登記を同日で行うようにしているのです。

その際に、書類が足りなかったり、押印が漏れていたり、1つでもエラーが発生すると、取引全体が滞ってしまいます。毎回、極めて神経質なやりとりになります。

このような不動産取引に際し、もし決済日当日に銀行のシステムエラー等が発生すれば、決済が遅れてしまい登記手続きができなくなるリスクが出てきます。

決済の手続きは平日の午前中に始めることが多いのですが、支障が出れば、午後まで全員が足止めになったり、最悪決済が中止になる事態まで想定されます。

システムリスクのある金融機関を不動産決済に使うのは、最悪の事態を想定すると、私には怖くてできません。今回も安心して使えるりそな銀行さんでお願いしています。

システムトラブルを繰り返している銀行は、そのうち不動産会社から取引に使わないように要請されるかもしれません。

ニューワード「ワクハラ」(転載)~ワクワクハラスメントの略じゃないです。~


「ワクハラ」を騒ぎ立てる日本、ワクチン証明を義務化する欧米:

何でもハラスメントにしてしまう日本社会ですが、最近聞いた言葉に「ワクハラ」というのがあります。

新型コロナ(武漢ウイルス)ワクチンを接種したかどうかを聞く事は「ワクチンハラスメント」になるそうです。接種が終わった人が、接種をしていない人に「えー、ワクチン打ってないんだ。どうして?」などと突っ込みを入れるのは避けるべきだとアドバイスされました。

ワクチンを打つのも打たないのも個人の自由です。問題は、打たないことが自分だけの問題ではなく、感染や重症化によって周囲にも影響することです。

海外ではワクチン接種を事実上義務化するような動きが進んでいます。

例えば、イタリアは、すべての労働者に対し、ワクチンを接種したことやウイルス検査での陰性を証明する「グリーンパス」の提示を義務付けることを発表しました。

また、ニューヨーク市では、先週から12歳以上の屋内の飲食店、スポーツジム、映画館、劇場、美術館などの利用客に、ワクチン接種の証明書の提示を求めることが義務づけられ、違反した場合、最大5000ドルの罰金が科せられるそうです。

海外ではこのようにワクチン接種証明が無いと日常生活に支障が出るような流れが広がっています。

もし、日本でこれをやろうとしたらどうなるでしょうか?ワクハラとして、一部の人たちから激しい反発がありそうです。

ワクチン接種の自由や個人の選択の自由という人権に配慮。その一方で、感染拡大防止策は、緊急事態宣言をダラダラと延長して、自粛を呼びかけるだけ。

その結果、経済活動の再開が遅れ、経済的に追い詰められたり、精神的に鬱状態になって自ら命を絶つ人が増えていく。

そんな状態に耐え切れず、東京では、緊急事態宣言下にも関わらず、経営者の判断で飲食店がアルコール提供を再開するケースも増えています。真面目にルールを守る正直者が馬鹿を見る不公平感な状態が広がっています。

OnlyFansの元従業員が退職後も機密情報にアクセス可能であることが判明 / Former OnlyFans Employees Could Access Users’ and Models’ Personal Information



OnlyFansのサポートスタッフだった一部の従業員は、セックスワーカーがヌードやポルノビデオを販売するために利用していた会社で働くのをやめた後も、財務上の機密情報や個人情報を含むユーザーのデータにアクセスしていました。

報復を恐れて匿名を希望したOnlyFansの元従業員によると、一部の元従業員は、OnlyFansを含む多くの企業で使用されている人気のカスタマーサービスソフトウェアであるZendeskにアクセスし、カスタマーサポートチケットの追跡や対応を行っていたことが、退職後も判明しました。OnlyFansは、コンテンツを投稿するユーザーと、そのコンテンツを見るためにお金を払っているユーザーの両方に対応するためにZendeskを使用しています。マザーボードは、複数の元従業員のアクセスにより、これを裏付けることができました。

この情報源とMotherboardに語ったOnlyFansのユーザーによると、ユーザーが助けを求めている内容に応じて、サポートチケットには、クレジットカード情報、運転免許証、パスポート、フルネーム、住所、銀行取引明細書、OnlyFansでいくら稼いだか、いくら使ったか、クリエイターが顔の横にIDをかざして確認するKYC(Know Your Customer)セルフィー、モデルリリースフォームなどが含まれていることがあるそうです。   

この情報源は、彼らがOnlyFansでの仕事をやめた後も、まだアクセスできることをMotherboardに示しました。

アカウント設定時に受け取ったサポートメールによると、クリエイターがプロフィールを設定する際、OnlyFansのサポートは「認証プロセスは極秘であり、この情報は誰とも共有されません」とユーザーに保証しています。 

マザーボードは、OnlyFansの一般的なメディアリクエスト用メールアドレスと特定の担当者に複数回メールを送り、OnlyFansの2つのTwitterアカウントにダイレクトメッセージを送りましたが、非常に深刻なセキュリティリスクの可能性についてのコメントを求めたところ、同社からの回答はありませんでした。

元従業員にユーザーの個人情報へのアクセスを許可することは、どのようなサービスを利用しているユーザーにとってもセキュリティ上のリスクとなりますが、特にセックスワーカーや風俗嬢は、その職業にまつわる悪いイメージのために標的とされることが多いため、リスクが高いと言えます。また、OnlyFansを利用してコンテンツにお金を払っているだけの人にとっても、個人情報を漏らすことは、その情報が脅迫に使われる可能性があるため、特に危険です。マザーボードは、ハイテク企業の従業員がデータへの特権的アクセスを利用して、ユーザーや同僚を不適切にスパイする「インサイダー脅威」について繰り返し報じてきた。これは、FacebookやSnapchat、ハッキング企業のNSO Group、Amazon傘下の監視会社Ringなど、多くの企業で起きている。特に、元従業員が機密データへの特権的なアクセス権を保持していることは危険です。

2016年には、Brazersの80万アカウントがデータ流出しました。2019年には、ポルノサイト「Lucious」の100万人以上のユーザーの個人情報がセキュリティエクスプロイトで流出しました。さらに2020年には、ImLiveを含む複数のアダルトサイトを所有するPussyCash.comの脆弱性から、モデルの個人情報のデータ流出が研究者によって発見されました。

Kali Linux 2021.3 登場! / Kali Linux 2021.3 Release (OpenSSL, Kali-Tools, Kali Live VM Support, Kali NetHunter Smartwatch)


Kali Linux 2021.3 Release (OpenSSL, Kali-Tools, Kali Live VM Support, Kali NetHunter Smartwatch):

Kali Linuxの最新版である2021.3(quarter #3)をリリースし、ダウンロードやアップデートが可能になりました。

6月にリリースした2021.2からの変更点の概要は以下の通りです。

  • OpenSSL:デフォルトで幅広い互換性を実現
  • 新しい Kali-Tools サイト:Kali-Docs に続き、Kali-Tools も完全にリニューアル
  • ライブイメージセッションにおけるVMサポートの向上:マシンからKali VMへのコピー&ペーストやドラッグ&ドロップがデフォルトで可能になりました。
  • 新しいツール:敵対者エミュレーション、サブドメイン乗っ取り、Wi-Fi攻撃など。
  • Kali NetHunter スマートウォッチ:TicHunter Pro のための、初のスマートウォッチ
  • KDE 5.21:Plasmaデスクトップのバージョンアップ
OpenSSL: デフォルトでの幅広い互換性

Kali Linux 2021.3以降、Kaliが可能な限り多くのサービスと連携できるように、OpenSSLはより幅広い互換性を持つように設定されています。これは、レガシーなプロトコル(TLS 1.0やTLS 1.1など)や古い暗号がデフォルトで有効になることを意味します。これは、古いプロトコルを使用している旧式のシステムやサーバーと Kali が対話する能力を高めるためです。これにより、利用可能な攻撃対象の選択肢が増える可能性があります (ターゲットがこれらの EoL (End of Life) サービスを実行していて、そのことを忘れていた場合、他に何か発見があるかもしれません)。この設定は、汎用のオペレーティングシステムには適していませんが、Kaliでは、ユーザーがより多くの潜在的なターゲットと関わりを持ち、話をすることができるため、理にかなった設定となっています。

この設定は、コマンドラインツール kali-tweaks で簡単に変更できます。Hardeningのセクションに入ると、OpenSSLをStrong Securityモードに設定することができます。

詳細については、ドキュメントを参照してください: kali.org/docs/general-use/openssl-configuration/

Kali-Tools

2019.4では、ドキュメントを更新された/docs/のページに移動しました。今回はいよいよKali-Toolsのサイトの番です!

以前のサイトのあらゆる面を刷新し、新しく、より速く、レイアウト、コンテンツ、システムを提供しています! バックエンドは半自動化され、以前のように誰もが助け合い、貢献できるようなオープンな状態になっています。

これらのサイトがすべての変更から落ち着き、少し成熟したら、オフラインで読めるように、これら2つのサイトをパッケージ化し始める予定です。


仮想化:様々な改善を実施

今回のリリースサイクルでは、Kali の Live イメージにいくつかの改良が加えられました。私たちは、仮想化環境で Live イメージを実行する人たちがよりスムーズに体験できるように努力しました。ホストとゲストの間でのコピー&ペーストやドラッグ&ドロップのような基本的な機能が、すぐに使えるようになっています。これは本当にみんなのためです。VMware、VirtualBox、Hyper-V、QEMU+Spiceなどです。誰か忘れていませんか?Kali のバグトラッカーに一言お願いします。

同じく、 Hyper-V の Enhanced Session Mode 用に Kali を設定するのがとても簡単になりました。ターミナルで kali-tweaks を開き、「仮想化」を選択すると、Kali が Hyper-V で動作している場合、Hyper-V 拡張セッションモードをオンにする設定が表示されます。これで、Enter キーを押すだけの簡単な操作になりました。

この機能を使用する場合は、いくつか注意すべき点がありますので、kali.org/docs/virtualization/install-hyper-v-guest-enhanced-session-mode/ を必ずご覧ください。

Kaliの新しいツール

新しいツールが追加されていなければ、Kali のリリースとは言えません。ネットワークリポジトリに何が追加されたかを簡単に説明します。
  • Berate_ap - MANAの不正なWi-Fiアクセスポイントのオーケストレーション
  • CALDERA - スケーラブルな自動敵対者エミュレーション・プラットフォーム
  • EAPHammer - WPA2-Enterprise Wi-Fiネットワークに対する攻撃
  • HostHunter - OSINT技術を使ってホスト名を発見するためのツール
  • RouterKeygenPC - デフォルトのWPA/WEP Wi-Fiキーを生成
  • Subjack - サブドメインの乗っ取り
  • WPA_Sycophant - EAPリレー攻撃の邪悪なクライアント部分

新興ランサムウェアギャング「Spook」が、ダークウェブ上にリークサイトを開設(転載)~日本企業も被害にあっている模様~


Spook, a new ransomware gang, has opened a leak site on the darkweb. 11 victims are listed on the victim list.バックアップ

新しいランサムウェアギャングであるSpookは、ダークウェブ上にリークサイトを開設しました。被害者リストには11社の社名が掲載されており、日本企業も被害にあっている模様。


クラウド・セキュリティ・リスクのトップ5 / The Top 5 Cloud Security Risks: How Hacker-Powered Security Can Help(転載)


The Top 5 Cloud Security Risks: How Hacker-Powered Security Can Help:

デジタルトランスフォーメーションの普及は、クラウドセキュリティリスクの増大を意味します。ハッカーの力を借りたヒューマン・インテリジェンスが、どのようにして新たな攻撃手段から組織を守り、リスクを軽減し、クラウド・セキュリティを向上させるのかをご紹介します。

1.ソフトウェア・サプライチェーンへの攻撃が増加

クラウドネイティブなアプリケーション開発ではオープンソースコンポーネントの使用が普及しているため、ソフトウェアサプライチェーンへの攻撃は重大なクラウドリスクとなります。2020年のSonatype State of the Software Supply Chain Reportによると、サードパーティ製ソフトウェアへの攻撃は430%増加しており、今後も増加していくと考えられます。サイバー犯罪者は攻撃対象の変化に対応するため、ソフトウェア・サプライチェーンの新たな弱点を見つけては攻撃を仕掛けてきます。

2.コンプライアンスの証明

コンプライアンスとは、監査に合格することやボックスにチェックを入れることだけではありません。クラウドプロバイダーは基本的なコンプライアンス基準を維持し、セキュリティ機能やツールを提供していますが、クラウドネットワークのセキュリティは組織の責任でもあります。2021年のSANS Cloud Security Surveyによると、多くの組織が、現行のコンプライアンス対策を補完するために、クラウド・セキュリティ戦略にペネトレーション・テストを取り入れたいと考えています。

3.安全でないAPI

APIは、社内のアプリケーションやデータを第三者に公開することで、クラウドコンピューティングのプロセスを効率化します。APIは、デジタル・トランスフォーメーション・イニシアチブの基本であり、新世代のクラウドアプリケーションを強化します。しかし、安全性が確保されていないAPIは、企業に攻撃の機会を与えてしまいます。 ラドウェアの「2020-2021 State of Web Application Security Report」によると、84%の組織がWebサーバーやアプリケーションに対するAPI操作攻撃を確認しています。

4.急速なデジタルトランスフォーメーション アプリケーションリスク

第4回「Hacker-Powered Security Report」で調査したグローバルセキュリティリーダーの31%以上が、武漢ウイルスによりデジタルトランスフォーメーションを計画よりも早く実施したと報告しています。デジタルトランスフォーメーションは、今や一般的なビジネス戦略であり、生産性や効率性の向上、コスト削減などの大きなメリットがあります。しかし、より実質的なリスクと新たな攻撃対象をもたらすものでもあります。Verizonの2020年版DBIRによると、昨年の全ブリーチのうち43%がWebアプリケーションに関わるものでした。また、IDCは、2023年までに5億個以上のデジタルアプリケーションやサービスが、クラウドネイティブなアプローチで開発・展開されると予測しています。

5.設定ミス

チェック・ポイントの「2020年クラウド・セキュリティ・レポート」によると、企業の68%がクラウドの設定ミスをクラウド・セキュリティの最大の脅威として報告しています。設定ミスは、クラウド・セキュリティに重大なギャップを生じさせ、破壊的でコストのかかる攻撃に対して脆弱になります。HackerOneのグローバルハッカーコミュニティは、2020年には設定ミスの脆弱性が12,286%増加すると報告しています。また、Gartner社は、2025年までにこれらのセキュリティ障害の99%がお客様の責任になると予測しています。