インターネットアクセスにおいてVPNを使わないことの危険性 / 3 Dangers of Not Using a VPN as a Digital Nomad

喫茶店でもシェアオフィスでも、VPNはデジタルノマドに欠かせないツールです。なぜか？なぜなら、VPNを導入しないことで直面するリスクは、時間、お金、エネルギーの損失につながる可能性があるからです。

VPNは、インターネットトラフィックを暗号化し、公開サーバーを経由してトンネリングする仮想プライベートネットワークです。VPN を使用すると、どこからでも匿名で安全にネットサーフィンを行うことができます。

旅行や仕事の際にVPNを使わないという選択をすると、リスクが生じます。

決済関連のアクティビティの暴露： デジタルノマドでは、宿泊費や航空券の支払い、最新の請求書が支払われたかどうかを確認するために、オンラインで銀行情報を使用する必要があることがよくあります。安全でない公衆無線LANに接続すると、ハッカーがあなたのアカウントにアクセスし、それを消去してしまう可能性があります。

個人情報/機密情報の盗難： もう一つの危険は、ログイン情報やその他の機密情報の流出です。ウェブサイトやブログを所有していたり、クライアントのソーシャルメディアアカウントを管理していたり、フリーランスの仕事でウェブサイトやアプリを使用していたりする人もいるでしょう。

あるいは、パスポートや運転免許証の番号などの機密情報をパソコンやクラウドに保存しているかもしれません。ハッカーがこれらの情報にアクセスすれば、あなたの個人情報を簡単に盗み出すことができます。

居場所の特定： IPアドレスはデジタル指紋のようなもので、郵便番号のレベルまで、あなたの住まいを知ることができるのです。電子メールをやりとりしている相手は、あなたのことを知ることができます。実際のIPを公開することは、状況によっては問題になることがあります。例えば、自分の住んでいる場所ではないフリーランサーを好むクライアントと取引を成立させたいとき。または、お気に入りのNetflixの番組を見続けたいが、地域制限のために利用できない場合。

最後になりましたが、おそロシアの様な抑圧的な政権の国に一時的に滞在している場合、VPNを使用することは、政府があなたのオンライン活動を監視していないことを確認する唯一の方法です。

出典：3 Dangers of Not Using a VPN as a Digital Nomad

中電ネット電柱設置地権者５７８人分の個人情報紛失

中国電力ネットワーク（広島市中区）は１６日、岡山県内にある電柱設置場所の地権者５７８人分の個人情報を記した書類を紛失したと発表した。氏名や住所、口座番号の一部を記載。誤って廃棄した可能性が高く、社外への情報流出や被害の発生は確認されていないという。

書類は、同社高梁ネットワークセンター（高梁市）で保管していた。高梁、新見市など５市１町の土地の地権者のうち、２０２０年度に名義や口座番号の変更などで連絡のあった一部を紛失。地権者は県内外に在住し、うち岡山は５２８人、広島は１０人。

書類を保管していた部屋は常に施錠しており、センター勤務の全社員らに聞き取り調査し、外部流出の可能性は低いと判断した。社内規定の保存期間を終えた他の文書と一緒に廃棄したとみられる。

今月１０日、地権者のデータを探した際に紛失が発覚した。該当者には文書や訪問で謝罪する方針。同社は「地権者に心配や迷惑をかけ、おわびしたい。管理方法を見直すなど早急に再発防止策を立て、二度と同じことがないように取り組む」としている。

プレスリリース（アーカイブ）

出典：中電ネット個人情報紛失電柱設置地権者５７８人分 - 山陽新聞

ロードバランサーへの不正アクセスについて 2022年5月16日 NIFCLOUD

FJcloud-Vおよびニフクラ（以下、当該サービス）の一部のロードバランサー（インターネットからのアクセス負荷を分散させるネットワーク装置。以下、当該ロードバランサー）に対して、脆弱性を悪用した不正アクセスが行われていたことを確認しました。
これにより、一部のお客様の業務通信データや当該サービスにアクセスするための認証情報等を窃取できる技術的な可能性があったことを確認しました。
これらの影響を受けた可能性のあるお客様に対しては、本件に関するお知らせと対処に関するお願いを既に実施させていただいております。
なお、現時点では当該ロードバランサーを踏み台としたクラウド基盤内部への不正侵入の形跡ならびに不正アクセスにより情報を外部に持ち出された形跡は確認されておりません。
現在、富士通および富士通クラウドテクノロジーズは緊急対策チームを設置し、さらなる被害状況の調査と対策を進めております。

当該サービスをご利用のお客様および関係者の方々には、多大なるご迷惑とご心配をおかけしますことを、深くお詫び申し上げます。
この度の不正アクセスを重く受け止め、安心してご利用いただけるようセキュリティ対策をより一層強化してまいります。

1．概要
・脆弱性が公表されてから対処が完了するまでに当該ロードバランサーへの不正アクセスの形跡が確認できた期間
　： 2022年5月7日 15時13分～2022年5月9日 22時39分
・影響範囲
　：以下の問題が発生した可能性があります。
　　　1．当該サービスのコントロールパネル/APIへのアクセス情報を窃取されたおそれ
　　　2．当該ロードバランサーを経由する通信の情報を窃取されたおそれ
　　　3．当該ロードバランサー上のお客様証明書データを窃取されたおそれ

2．原因
本年5月4日に装置メーカーから公表された当該ロードバランサーの脆弱性の悪用、および多層防御の一部設定不備

3．本脆弱性への対応
以下の対処にて、設置している当該ロードバランサーは全て点検および確認を完了しております。
　　　1．本脆弱性を回避するための設定を当該ロードバランサーに実施（5月11日）
　　　2．インターネット側のネットワーク機器においてアクセス制御(多層防御)を実施（5月12日）

以上

プレスリリース（アーカイブ）

採用活動における個人情報漏えいの可能性に関するご報告とお詫び 2022年5月16日株式会社エイチーム

　この度、当社グループの採用活動に関する個人情報が外部から閲覧可能な状態であったことを確認いたしました。多大なるご迷惑とご心配をおかけいたしますこと、心より深くお詫び申し上げます。

　情報の対象となった皆様には大変ご迷惑をおかけしますが、不審な問い合わせについては十分ご注意いただきますようお願い申し上げます。弊社では、被害の拡大防止に取り組んでまいりますが、万が一、第三者の悪用を確認した場合は、更なる被害を防ぐために末尾の問合せ窓口へ連絡をお願いします。

概要

　当社グループの採用に関する情報がインターネット上で閲覧可能になっているとの指摘を受けて事実関係を調査したところ、一部の個人情報がインターネット上で閲覧可能な状態にあったことが社内監査により判明いたしました。クラウドサービス上で作成したファイルで採用に関わる個人情報を管理しておりましたが、閲覧範囲を「このリンクを知っているインターネット上の全員が閲覧できます」と設定したことから、リンクを知っていれば誰でも閲覧できる状態であり、一部の方の「氏名」「学校名」「メールアドレス」「電話番号」「口座番号」などの個人情報がインターネット上において閲覧できる状態でありました。

　なお、現在、個人情報を閲覧できる状態は解消し、5月13日（金）より対象の皆様へ個別にご連絡を差し上げております。本件に関し、ご報告の現時点においては不正使用などの被害が発生した事実は確認されておりません。

１．個人情報漏えいの可能性がある対象者

(1)2018年卒～2021年卒を対象にした新卒採用イベントやインターンシップに参加した学生及び当社グループ従業員
(2)2016年～2017年に実施した中途採用イベントに参加した方
(3)2017年8月～2021年10月に当社オフィスに来社し、面接等の交通費を支給した方

２．漏えいした可能性のある情報と件数

(1)新卒採用イベントやインターンシップに参加した学生及び当社グループ従業員：学生4,588名、従業員161名、合計4,749名分の個人情報

＜2018年卒～2021年卒を対象にした新卒採用イベントやインターンシップに参加した学生：4,588名＞
・氏名、学校名
※また、一部の学生においては下記の個人情報が該当
・メールアドレス、電話番号、インターンシップ参加時に作成された自己紹介シート、インターンシップ参加学生の評価、顔写真、出身地

＜新卒採用活動に参加した当社グループ従業員：161名＞
・氏名
※また、一部の従業員自身の自己紹介シートに記載された下記情報
・所属部署、顔写真、出身地、出身校

(2)2016年～2017年に実施した中途採用イベントに参加した方：30名
・氏名、メールアドレス、職業　
※また、一部の方において記載あり
・電話番号、年齢

(3)2017年8月～2021年10月に当社オフィスに来社し、面接等の交通費を支給した方：1,078名
・氏名、振込先口座番号

３．インターネット上で閲覧が可能となっていた期間

(1)新卒採用イベントやインターンシップに参加した学生
　2017年4月～2022年4月21日（木）

(2)中途採用イベントに参加した方
　2016年4月～2022年5月11日（水）

(3)当社オフィスに来社し、面接等の交通費を支給した方
　2016年4月～2022年5月10日（火）

４．経緯

　2022年4月7日（木）10時頃に、クラウドサービス上に作成されたファイル内に個人情報を含むファイルがあること、また個人情報が漏えいしているリスクがあることを、エイチーム監査役より社長室長、管理部長、ITシステム部門マネージャーに報告が入りました。

　調査の結果、クラウドサービス上で管理していたファイルに個人情報が含まれておりました。当該ファイルは、インターネット上でリンクを知る全ての人が外部から閲覧ができる状態となっており、個人情報が漏えいしている可能性があることが判明いたしました。

５．原因

　特定のクラウドサービスを利用して作成した個人情報を含むファイルに対して、閲覧範囲の公開設定を「このリンクを知っているインターネット上の全員が閲覧できます」としており、閲覧範囲の設定が適切に行えていなかったことによるものです。

６．対応状況

　個人情報を含むすべてのファイルに閲覧制限を実施し、社外からのアクセスができない状態に変更しました。

７．当事者の皆さまへの連絡について

　情報が漏えいした可能性のある方で、ご連絡先が把握できた皆様には、順次、個別に電子メールによりお詫びと現在の状況及び今後の対応についてご連絡させていただいております。

８．二次被害の有無とその可能性について

　本件に関し、ご報告の現時点においては不正使用などの被害が発生した事実は確認されておりません。

９．再発防止策

　クラウドサービスを利用したファイルの管理・共有におけるアクセス範囲設定を見直し、個人情報を含むすべてのデータへのアクセスの制限を実施します。

　また、今後、一般的に利用できる本クラウドサービスで作成したファイルの業務利用禁止を社内で周知し、会社で管理されている本クラウドサービスで作成したファイルの利用を徹底・遵守します。この措置により、アカウントのIDやパスワードを適切に管理し、情報システム部門による厳格な管理によって情報漏えいのリスクを抑えます。加えて、社内でのチェック体制を強化するとともに、個人情報に関する管理体制の強化、情報管理に関する規程やルール等の見直し及び社内への周知徹底し、再発防止に努めてまいります。

また、本件に関して個人情報保護委員会に報告いたしました。

　今回の事態を重く受け止め、今後このような事態が発生しないよう、再発防止に向けて個人情報の管理強化・徹底に努め、信頼回復に全力を尽くしてまいります。この度は、多大なるご迷惑とご心配をおかけいたしますこと、心より深くお詫び申し上げます。

プレスリリース（アーカイブ）

メルマガにほかの受信者の氏名を表示 - 人材派遣会社

ヘルスケア分野の人材派遣サービスを展開するRDサポートは、一部のメールマガジンにおいて個人情報が流出したことを明らかにした。

同社によれば、4月22日に8社の担当者12人へ送信したメールマガジンに、他受信者の氏名や企業名が表示されたもの。受信者から問い合わせがあり問題が判明した。

一斉配信システムに取り込むデータの作成、加工時に操作ミスがあったことが原因だという。

同社では、対象となる12人に謝罪。誤送信したメールの削除を依頼した。またプライバシーマーク制度の認定個人情報保護団体である日本情報経済社会推進委員会（JIPDEC）や個人情報保護委員会へ報告を行ったとしている。

プレスリリース（アーカイブ）

出典：メルマガにほかの受信者の氏名を表示 - 人材派遣会社

個人情報含む調査関係の名簿原本をコピー機に置き忘れ - 山口県

山口県は、国からの委託で実施する国民生活基礎調査の調査員が、個人情報含む世帯名簿をコピーした際、原本をコピー機に置き忘れたことを公表した。

同県によれば、5月6日に調査員が防府市内の商業施設で単位区別世帯名簿をコピーした際、名簿原本をコピー機に置き忘れたもの。名簿には23世帯分の世帯主氏名、世帯人員、集合住宅の名称が記載されていた。

同日店舗で名簿が発見され、事務所で保管。同月11日、店舗が拾得物として警察へ届けたことから警察が山口健康福祉センターへ連絡。センター職員と調査員が警察を訪問し、名簿を回収した。

同県では、名簿に記載されていた世帯に対し説明と謝罪を行うとしている。

プレスリリース（アーカイブ）

出典：個人情報含む調査関係の名簿原本をコピー機に置き忘れ - 山口県

週刊OSINT 2022-16号 / Week in OSINT #2022-16

今週も盛りだくさんの内容で、動画や記事もありますが、新しいGoogle Analyticsのプラットフォームに関するヒントや洞察も追加しました。

今週はかなり多くのコンテンツがあり、本当に素晴らしい情報があったので、ここでも共有する必要がありました。しかし、Google Analytics 4に関する個人的な洞察も共有することにしました。なぜなら、これらの分析タグはどんどん野放しになっており、インデックスしているサイトも多くないので、これを手動で検索する必要があるかもしれないのです。

WeVerify
Quiztime Walk Through
Spectator Earth
US Legality and Scraping
Google Analytics
ISearchFrom
Bombal and TOCP

記事: WeVerify

この記事では、DW社のJochen Spangenberg氏がWeVerifyツールの長年の開発を振り返っています。当初はInVIDプロジェクトとしてスタートしたこのツールは、今では世界中のファクトチェッカーが使用する最も重要なツールの一つとなっています。ブラウザ上で画像、テキスト、動画の検証を行うツールが含まれています。このプロジェクトは昨年正式に終了しましたが、現在提案の最終段階にある新しいプロジェクトを通じて継続される可能性があります。今後も開発が続けられることを期待しましょう

メディア: Quiztime Walk Through

TwitterユーザーのNatticさんは、以前からQuiztimeの課題を解いており、少し前から作業工程をYouTube動画にするようになったそうです。このビデオでは、細かいところに注意を払うことがいかに重要か、また、空間を意識することで一見難しそうなクイズも簡単に解けるようになることが示されています。ジオロケーションの技術について、ぜひご覧になってみてください。

サイト: Spectator Earth

少し前に、TwitterユーザーのOSINT_Researchが、衛星画像に関する様々なツールを提供するSpectatorのウェブサイトへのリンクを共有しました。このサイトでは、SentinelとLandsatによる自由に利用できる画像に簡単にアクセスでき、ある地域を自動的に監視したい場合には、APIアクセスも提供されています。NVDIフィルターや特定のバンドが必要な場合は、それも利用可能です。

記事: US Legality and Scraping

Zack Whittakerが、米国におけるWebスクレイピングに関する法的問題の最新ニュースを取り上げています。人によっては重要でないように見えるかもしれませんし、他の人はここの難しさを理解できないかもしれませんが、私はこの記事を読むのは良いアイデアだと思います。利用規約内のルールが法律でどのように覆されるかが明確に示されています。もちろん、この結果が他の州や国でも同じになるとは限りませんが、ジャーナリストや研究者にポジティブなシグナルを送ったと言えるでしょう。

小技: Google Analytics

Google Universal Analytics（有名なUAコード）は、Google Analytics 4、略してGA4と呼ばれる新しい分析プラットフォームに取って代わられる予定です。これはすでに2020年のどこかで始まっていますが、以下は最近のGoogleのサポートページからの引用です。

2023年7月1日、ユニバーサルアナリティクスの標準的なプロパティはデータを処理しなくなります。2023年7月1日以降も一定期間、ユニバーサルアナリティクスのレポートを確認することができます。ただし、新しいデータはGoogle Analytics 4のプロパティにのみ流れます。

つまり、アナリティクスコードの検索を、異なる接頭辞を持つ別のコードで拡張することが重要です。もちろん、PublicWWW、NerdyData、あるいはShodanなどのウェブサイトを使用して、これらのタグを検索することは可能です。悲しいことに、DNSlyticsのような分析に特化したプラットフォームは、GA4を使用するためにまだ更新されていないことを私は見てきました。だから、最終的に追いつくまで、当分の間、手動で検索を実行する準備をしておいてください。

コードの探し方は？

コードを見つけるには、ページのソースコードに潜り込み、探します。

googletagmanager.com

グローバルサイトタグが使用されている場合、これは次のHTMLコードで呼び出されるJavaScriptを指します。GA_MEASUREMENT_IDはこのサイトまたはページの一意の分析コードです。

ソースコードを見てみると、このコードスニペットの最後の行を見れば、アナリティクスコードを見つけることができるかもしれません。

<script>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push(
        {'gtm.start': new Date().getTime(),event:'gtm.js'}
        );var f=d.getElementsByTagName(s)[0],
    j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
    '//www.googletagmanager.com/gtm.js?id='+i+dl;f.parentNode.insertBefore(j,f);
})(window,document,'script','dataLayer','GTM-AB1C2D');

この場合、はっきり見えるのはGTM-という接頭辞で始まるGoogleタグマネージャのコードです。

もっと簡単な方法はないのでしょうか？

いつものように、確かにもっと簡単な方法があります! なぜなら、Googleが作った気の利いた小さな拡張機能をインストールすれば、ウェブサイトやページにあるGoogle Analyticsのコードが正確に表示され、さらに、その必要性があれば、すべての訪問を記録することができるからです。

小技: ISearchFrom

ただ、もう一度共有する必要があると思うゴールデンオールドアイです。I Search From」というウェブサイトを使うと、特定の場所と言語をマッチングさせてGoogle検索を行うことができます。Googleはこの情報を使って、検索結果内に「ローカライズされた」コンテンツを表示します。この情報によって、私は何年か前に中国の水産加工工場を見つけることができたのです。まだ連絡がないのですか？ぜひ一度試して、検索結果の違いや質を比べてみてください。

メディア: Bombal and TOCP

先週、The OSINT Curious ProjectのメンバーがDavid BombalのYouTubeチャンネルにゲスト出演し、OSINTについて、様々な専門分野でどのように使われているか、また戦場でのエピソードを紹介しました。OSINTを始めるためのヒント、リソース、情報を1時間以上にわたって紹介しました。

出典：Week in OSINT #2022-16

[寄稿]生誕43周年記念

人生43年目、社会人21年目を迎えて思ったことをいろいろ書き残しておこうと思う。

■サラリーマン（社畜業）のデメリット

数十年前のある日に自分がこの世に生まれてきたと思うと、誕生日というのは元旦よりも重要かもしれない。

今はサラリーマン（通称社畜）をしているため、これまでは普通に誕生日も仕事をしていたが、八木エミリーさんを参考に自分も誕生日は仕事を休むことにしている。

自分の社会人生活はイコール社畜人生だったのだが、20年社畜をやって気が付いたことがある。

それは拘束が多すぎて割に合わないといううことである。（逆に言うと、拘束が多い故に毎月安定した収入がはいるのだが）

例えば1日24時間だが、社畜をしていると通常勤務時間で8時間、休憩1時間、往復の通勤で約2時間、残業1時間として12時間も社畜業関連で時間を消費する。残りは12時間だが、睡眠8時間、朝食1時間、夕食1時間使うと、真に自由に使える時間は2時間しかない。

また、頻繁に旅に出たり、長期の旅に出たりすることもできない。

これまではそれが普通と思っていて、長期の旅に出るには学生時代か、定年退職後だと思っていた。

もちろん社畜業をしている限りその通りなのだが、働き方や生き方が多様化しており、そもそも社畜業以外で生計が立てられればパーマネントトラベラーも夢ではないのである。

実際にここ最近、その夢のようなことを普通にやっている人を多く見ており、社畜業を続けることに現在大変大きな課題意識を持っている。

■脱社畜に向けたプラン（FIRE戦略）

では、社畜以外にどうすれば稼げるか。

これは社畜のデメリットであるのだが、20年近く社畜をしてしまっていたため、社畜業以外での金の稼ぎ方が分からない。。。

とはいえ、インターネットで調べればそれなりに情報は出てくる。

まずは大きく、【ビジネス】と【投資】に分類される。

【ビジネス】については更に「物販」「賃貸」「情報」の3つに分類される。

「物販」については、現時点手を出す予定が無いため、いったん保留。

「賃貸」については、分かりやすいのが不動産投資だろう。【投資】にもつながる話となるが、これは自分の中では、銀行からローンを引っ張って投資用不動産を購入し、賃貸人と共同でローンの返済を進めていくという、ミドルリスクミドルリターンのビジネスである。実はこのビジネス、社畜向きであると思っている。というのも、社畜はローンが通りやすいのである（これは数少ない社畜の特権）。不動産は投資対象を誤らなければカタいビジネスなのだが、唯一欠点を上げるとすれば典型的なコツコツ方となるため、時間がかかる点。早く始めるのに越したことはないビジネスである。自身も10年前から取り組んでおり、規模拡大の目途が立ちつつある。

「情報」は現時点ブログによる広告収入くらいしか思いつかないが、有料サロンやるにしても、お仕事貰うにしても、情報発信力は高めておく必要はあるので、コツコツと続けていくことにする。

ツール的な発信のしやすさからtwitterやブログを活用することになるが、これは継続力が大きなポイントになるらしい。

なので3年くらいは腰を据えて取り組んでいくことにしたい

【投資】については、世の中に投資商品が山ほどあるが、大きく分けると、「株式」「債権」「実物」「その他」といった分類だろうか？

株式については、当面は米国株ETFにあるACWIに集中して積み立てを進めていく。アクティブ型のファンドよりもインデックス型のファンドが優れた成績を収めていることは10年以上も前から明らかになっているが、日本株のインデックスファンドに投資をしても資産拡大はほとんど見込めない。そこで、全世界の株式を市場規模に応じた比率で分散投資していくACWIが現時点自分の考えに合っている。

「債権」は現時点ノーコメント

「実物」は金、原油、不動産、暗号資産など、「実物」と言いながら証券化されているので、小口で購入することも可能。資産全体の10%程度が目安と言われている。

「その他」に自分が分類しているのがFXの自動売買。普通FXは幾らで仕掛けて幾らで利確するかを考えなければならない。利益が出ているときはもっと利益が増えるかもと思って利確ができず、一方で損失を出しているときもそろそろ反転するだろうと思って損切ができず、これらが大きなストレスになる。一方で自動売買の場合は完全なリスクコントロールだけの世界なので、目標利益率を定め、その利益率を取るためのリスクに沿った仕掛けをするだけであとはほったらかしである。現在は年利4%で設定している。

■自己投資

某国際団体の委員だった人と出会ったのだが、なんと英語力の習得はNHKラジオ英会話だった。ただし3年かかるということで、改めて英語力強化の3か年計画を進めたい。

先々のプランをいろいろ考えているうちに、英語力獲得の具体的な目的が見え始めてきた。

40代のうちに何とか脱社畜(=人生のコントロールを取り戻す)を現実化したい。

そのために日々頑張る。

そんな感じ。

登録: 投稿 (Atom)