Dark Tracerによると、2022年3月は日本企業2社がランサムウェアの被害にあっている模様。
グローバルウェーハズ・ジャパン株式会社(www.sas-globalwafers.co.jp)
日本でサラリーマンをしていると年収に応じた与信が付く。その与信を圧倒的大多数の人は自身の住宅ローンで浪費してしまうのだが、この与信は投資に振り向けることができる。
この与信枠を使った不動産投資ローンは、恐らく数少ない日本のサラリーマンの特権なのではなかろうか?
その与信を駆使して、複数の投資マンションローンを組むのだが、FIREするためには当然繰り上げ返済をしていく必要がある。
その際、どの物件から繰り上げ返済をしていくかを考える際に使える指標が「DCR」と「K%」ということになる。
■DCR:Debt Coverage Ratio / 債務改修比率
物件から得られる純収益を基に、投資用ローンの返済の安全性を測る指標
【計算式】
DCR = 年間純利益 ÷ 年間のローン返済額
DCRが1だと、賃料収入とローン返済が同額であることを意味する
一般的に1.2あるいは1.3以上が安全圏とされ、DCRの低い物件から優先して繰り上げ返済を進めることが望ましい。
【計算例】
・物件V:1,020,000円 ÷ 861,228円 = 1.18
・物件G:960,000円 ÷ 232,020円 = 4.13
・物件S:1,008,000円 ÷ 711,396円 = 1.41
■K%:ローン定数
ローン残高に対する年間返済額の割合を示す指標
【計算式】
K% = ローン年間返済額 ÷ ローン残高 x 100
K%の高い借り入れを優先して返済してくことが望ましい
【計算例】
・物件V: 861,228円 ÷ 17,779,303円 x 100 = 4.84
・物件G: 232,020円 ÷ 2,358,106円 x 100 = 9.83
・物件S: 711,396円 ÷ 15,290,530円 x 100 = 4.65
ナルホド。参考にさせていただこう。
CMS(Content Management System)は、非常に人気があり、インストールも簡単で、ほとんどの管理者が一度設定すれば忘れてしまうものです。
一般的に、どんなソフトウェアでもそうであるように、人気のあるCMSにはかなり深刻な脆弱性が存在します。バグはかなり早くパッチが適用されます。責任ある企業や管理者は、早急にパッチをインストールします。知識のない人でも、人気のあるCMSをベースにウェブサイトを構築することができるため、ウェブ上には何百万ものCMSが存在しています。残念ながら、そのほとんどが更新されていない。また、各CMSにはテーマやアドオンをインストールする機能があり、これらもまた脆弱なものです。多くの場合、テーマやアドオンは、専門家によって開発されていない場合、数年後に放棄されます。
このおかげで、多くのサーバーと大量のデータにアクセスすることができます。個人のブログ、教育システム、大小のコミュニティ、中小企業だけでなく、残念ながら政府機関もです。政治団体や国家機関、医療機関がWordPressやJoomla、Drupalでウェブサイトを立ち上げ、サービスやサポートには目もくれず、スクリプトキディーのためにデータを流出させたことが何度あったことだろうか。
さて、WordPreses、Joomlas、Drupals、Moodles、その他CMS的なものはすべて古くて漏れがあることが分かっているので、それらを台無しにすることができます。それも、既成のスクリプトを使えば、大した知識もなく。
BurpやOWASP ZAPを使うと必ず何か見つかることは知られていますが、弱点を見つけるのに役立つソリューションがすでにあります。それらをチェックしてみましょう。
■マルチスキャナー
オールインワンソリューション。人気のあるCMSは、まずここから始めるとよいでしょう。
Droopescan
主にDrupalやSilverstripeなどのCMSの問題を特定するために、セキュリティ研究者を支援するプラグインベースのスキャナです。
https://github.com/SamJoan/droopescan
指定されたCMSスキャン:
1 | droopescan scan drupal -u example.org |
自動検出:
1 | droopescan scan -u example.org |
リストによるスキャン:
1 | droopescan scan -U list_of_urls.txt |
CMSeeK
CMS検出およびエクスプロイトスイート - WordPress、Joomla、Drupal、その他180以上のCMSをスキャンします。
https://github.com/Tuhinshubhra/CMSeeK
使い方:
1 | python3 cmseek.py (for guided scanning) OR |
CMSScan
CMSスキャナ。Wordpress、Drupal、Joomla、vBulletinのWebサイトをスキャンして、セキュリティ問題を解決します。これは、CMSセキュリティスキャンのための集中型セキュリティダッシュボードを使用しています。それはwpscan、droopescan、vbscanとjoomscanによって供給されています。
https://github.com/ajinabraham/CMSScan
Webインタフェースを実行:
1 | ./run.sh |
■Wordpress
WordPressの脆弱性スキャナーの紹介
WPScan
WordPressセキュリティスキャナ。セキュリティ専門家やブログ管理者がWordPressウェブサイトのセキュリティをテストするために書かれたものです。
https://github.com/wpscanteam/wpscan
デフォルトスキャン:
1 | wpscan --url example.com |
WPScanの列挙機能を使用するには、-eオプションを指定します。
以下のようなオプションが存在します。
e フラグに何もオプションを指定しない場合、デフォルトは次のようになります: vp,vt,tt,cb,dbe,u,m
ブルートフォースアタック:
1 | wpscan --url example.com -e u --passwords /path/to/password_file.txt |
WPForce
WPForce は、Wordpress 攻撃ツールのスイートです。
https://github.com/n00py/WPForce
1 | python wpforce.py -i usr.txt -w pass.txt -u "http://www.example.com" |
Online Scanners
他に、下記のような無料のオンラインWordPressスキャナーもあります。
■Joomla
Joomlaの脆弱性スキャナー。
JoomScan
OWASP Joomla 脆弱性スキャナプロジェクト。
https://github.com/OWASP/joomscan
デフォルトのチェック:
1 | perl joomscan.pl --url www.example.com |
インストールされているコンポーネントの列挙
1 | perl joomscan.pl --url www.example.com --enumerate-components |
■Drupal
Drupalの脆弱性スキャナー。
Drupwn
Drupalの調査と盗取のツール。
https://github.com/immunIT/drupwn
調査:
1 | python3 ./drupwn --mode enum --target http://example.com/drupal |
盗取:
1 | python3 ./drupwn --mode exploit --target http://example.com/drupal |
毎週恒例のOSINTニュースです。Twitter、安全な通信、メディア、スパイに関するツールを集めました。
この数週間はOSINTに携わる人々にとって、魅力的であると同時にぞっとするような日々だった。ロシアのウクライナ侵略と偽情報に関する全てのニュースで、大量の仕事に追われました。今週は非常に興味深いトピックをいくつか選んでみた。Twitterを見ながら、ライブのニュースも追いかけ、最後に小さなチュートリアルのようなアイテムを紹介するつもりです。
ツール: Tweepdiff
TweepdiffというBrian Deterlingの新しいオンラインツールについて、@IntelLanaから情報を得た。このツールでは、2つ以上のTwitterアカウントにフォローされているフォロワーやアカウントを探すことができます。便利なのは、ログインの必要がなく、アカウント名を入力するだけで利用できる点だ。
小技: Digital Communication Protocols
Twitterユーザーの@officer_ciaさんが、さまざまな通信プロトコルとそのアプリに関する技術情報をまとめたGoogleシートを公開しています。暗号化技術、プライバシーの状況、互換性、機能などが記載されています。また、特定の主張を裏付ける技術情報へのリンクも掲載されています。これは、特に安全な通信の必要性を感じている人にとって、興味深いリストです。ついでに、@officer_ciaのOpSecに関するGitHubのレポもチェックしてみてください!こちらも一見の価値ありです。
サイト: VidGrid
Loránd Bodóは、Matt TaylorによるVidGridという非常に興味深いオンラインツールを共有しました。これは、ブラウザ上で複数のニュースストリームを見ることができるものです。また、動画をクリックすると、その動画に対応した音声が流れます。シンプルだが、最新のニュースを追うには非常に便利なツールだ。
小技: Investigating Disinformation
Marc Owen Jonesは、ここ数週間の間にいくつかの奇妙なツイートやハッシュタグに気づき、Twitterボットの世界に飛び込むことを決意しました。彼は、NodeXLを使って何千ものメッセージを集め、Twitter上の人々がこれらのメッセージとどのように関わっているかを調べました。彼は、エンゲージメントのテクニックや使用されるアカウントの作成日など、さまざまなトピックを取り上げています。とても有益なスレッドで、これを世界にシェアしてくれてありがとうございます
Twitterのアカウント@SpyCollection1が、なぜか私のタイムラインに流れてきました。この方はかなり以前からYouTubeのチャンネルを持っていて、スパイ関連のガジェットやネタについて話しています。しかし、現在はMediumブログもあり、スパイ、暗号、インテリジェンスの世界のニュースを網羅した週刊ニュースレターを配信しています。これは素晴らしいキュレーションストーリーのソースです。
小技: Regular Expressions
以前、第2021-11号で正規表現のブラウザプラグインを紹介しましたが、先週のちょっとしたヒントを見たとき、これを入れたいと思いました。しかし今回は、正規表現についてもう少し時間をかけて説明し、どのように使うことができるかを説明します。
このヒントは複数の人によってオンラインで共有されましたが、すべては@spiderfootがコンソールやコマンドラインに直接電子メールアドレスをダンプするための正規表現RegExを共有したことから始まりました。
curl -s [URL] | grep -E -o "\b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,6}\b"
これはほとんどのメールアドレスに対して有効ですが、少なくともいくつかの調整を行う必要があります。正規表現の仕組みを説明するまでもなく、このクエリには6文字以上のトップレベルドメイン、ドメイン名にダッシュを含むもの(エンコードされてxn--で始まる外国のTLDなど)、メールアドレスの名前部分に公式に認められているその他の文字が含まれていません。そこで、最も一般的な電子メールアドレスを捕捉するために、以下のようなルールにたどり着いた。今のところ、読みやすくするために、許可されている特殊文字のリストはすべて省略することにする。
curl -s [URL] | grep -E -o "\b[a-zA-Z0-9._%$#=+-]+@[a-zA-Z0-9-]+\.[a-zA-Z0-9-]+\b"
読者の中にはRegExが全く初めての方もいらっしゃると思いますので、このWeek in OSINTの続きとして、基本的な正規表現の基本を紹介します。このクエリ言語は非常に強力で、データを扱うときに本当に役に立つ。ドキュメントから電子メールアドレスを抽出したり、ウェブページ内の暗号通貨アドレスを見つけたり、フォルダ内の全URLを取得したりする必要がある場合、すべて可能だ。
基礎編
正規表現を書くときに重要なのは、あなたがこの文章を読んでいるのと同じように、テキストやデータを左から右へ、上から下へと見ていくことです。そして、データの流れをスキャンしながら、文字が一連のルールに一致するかどうかを常にチェックするのです。式は、いくつかのパターンを並べて作ることができ、特定の文字列の異なる部分に、ルールを作ったのと同じ順序でマッチさせることができる。特に指定しない限り、すべて大文字と小文字が区別されることを覚えておいてください。
構文と操作
さまざまな演算子やパターンを挙げればきりがないし、ここで書くよりも簡単なものもあるが、いくつかの基本を説明するために、ごく基本的な正規表現の働きを紹介しよう。まず、2つの単語のうちの1つ、あるいは単語の一部のマッチングから始めましょう。red、blue、yellowのどれかを探したい場合は、単純にそれらをリストアップして、選択肢を縦棒、いわゆる「パイプ」で区切ります。
red|blue|yellow
数字だけで構成されるデータのビットを探したいときは、0から9までの文字の集まりを作ればいいのです。この場合、角括弧を使用して、可能な文字のリストであることを示す。後ろの「+」記号は、その意味だ。コレクションからマッチする文字が少なくとも1回出現する必要がありますが、無限に繰り返すことができます。
[0-9]+
アルファベットも同様です。このように、大文字と小文字しかない(つまり、スペースやカンマなどを除いた)テキストのすべての部分を検索することが可能です。
[a-zA-Z]+
また、アルファベットの範囲を変更することができるので、通常の数字の他に16進数のようにAからFまでの範囲を作ることも可能です。
[a-fA-F0-9]+
特定の長さを持つ16進数のみ探したい場合は、いくつかの中括弧で特定のルールに従うことができます。1つの数字を含めば、その長さは正確でなければならない。2つの数字を含む場合は、その長さの最小値と最大値を指定することができる。例えば、これは長さが2文字から6文字の間のすべての小文字の16進数を返します。
[a-f0-9]{2,6}
RegExを学ぶ
これは可能なことのほんの一部で、正規表現(RegEx)の基本は比較的簡単に把握できることを示すためのものです。非常に長いクエリを作成する場合、その正確な動作を理解するのは難しいかもしれませんが、これを手助けするツールがあります。クエリを作成し、テストするのに役立つオンラインツールは RegEx101.com です。クエリを書いている間、あるいはクエリを見つけてエディタで解析している間、プロセスのすべてのステップを表示し、すべてが何であるかを説明します。もう一つの似たようなツールは RegExr.com で、これは似たような機能を提供し、チートシートを提供し、さらに自分のクエリをオンラインで保存する機能を備えています。
しかし、もしあなたが全く初めてなら、これらのツールは多分あなたを混乱させるだけでしょう。そこで、RegExOne.comで簡単なエクササイズを行いながら、インタラクティブなオンラインクラスから始めてみてはいかがでしょうか。お楽しみください。
JALマイルの数少ない間接購入の方法の一つがマリオットポイントの購入である。
マリオットポイントは1ポイント0.3円程度の価値で、3ポイントでJAL1マイルに移行できる。
ただ、マリオットポイントからのマイレージ移行にはボーナスルールが存在しており、6万マリオットポイントを一度に移行すると5000マイル分がボーナスされる。
つまり、
ということになる。
マリオットのポイント購入セールは年に何度か開催されており、自身もちょくちょく購入していたのだが、先日ついに6万マリオットポイントを超えることができた。
最初は用途が決まったら移行しようと思っていたのだが、そもそも一度も移行したことがなく、移行できるのか不安だったのと、こういうのは債権の一種なので、早めに回収しなければならないと思い、早速交換してみることに。
オンラインで移行完了できるものと思い込んでいたのだが、意外にもトラブル発生。
コールセンターに電話せよと。。。。
こうなっては電話するしかないので電話してみるのだが、なんと話中で切れてしまった。
企業のコールセンターで待ち呼にも入れないとは、、、、
数分待って再度アタックするも話中断。
更に数分待ってアタックするも話中断。
そんなことを何回か繰り返すうちに無事IVRに接続し、待ち呼に入ることができた。
待つこと約30分。無事エージェントに接続。
てっきり本人確認とメールアドレスの確認だけかと思っていたのだが、その場でマイル移行まで進めてくれた。
この点はありがたかった。
ちなみにコールセンターに電話したのはとある月曜日だったので、土日とかはもっと悲惨なのかもしれない。
もっとコールセンター(IVR)に接続できる回線数増やしてくれよと思ったが、恐らく今回の電話番号はマリオット共通のものではなく、マリオット平民用の番号で、上級会員はそれ様に違う番号と回線が用意されているんだろうなと思った。
ちなみにマリオットからJALマイルへの移行は1週間~10日ほどかかるらしい。
初めてやる行為は大小関わらずトラブルが発生するリスクがあるので、余裕があるうちに実施しておきたい。また、たま~にやるのもそれなりにリスクがあるので、習慣化が重要と感じた。
このレポートでは、世界の寄付の範囲と性質について考察しており、下記3つの側面から見ています。
調査は114ヵ国(世界の人口の90%をカバー)で実施し、各国で1,000人分のアンケートを実施したという。
この調査で日本が最下位にランキングされた。
レポートにおける日本のコメントは下記の通り。
--
日本の指数は12で、2018年の22から低下し、すべての国の中で最も低いスコアとなりました。日本は歴史的に先進工業国としては珍しく市民社会が限定されており、慈善寄付に関するルールは複雑で、国の提供に対する期待も高く、組織的なNPOは比較的新しい現象である。
--
自分も正直1.2.3.いずれもできていない。
いろいろ改めないといかんなーと思う今日この頃。