ベネッセ顧客情報流出、逆転賠償命令(1人当たり3,300円)


2014年にベネッセ(厳密にはベネッセの情シス子会社)の業務委託先の従業員が約3,500万件の顧客情報を持ち出し、名簿業者に売却したという、情報漏洩事件が起きた。

これ、なかなか難しい問題で、ベネッセはベネッセで機密情報の持ち出し防止の観点から某社の資産管理ツールを導入し、USBメモリ等への持ち出し防止を禁じていたのだが、資産管理ツールのザンネンな仕様でUSBメモリへの書き込みはNGだが、スマホのストレージ領域には書き込み可能であったことが背景の一つにある。

他の観点でいうと、企業の屋台骨を支えるITのマネジメントを業務委託してよいのかと言う話もある。何も考えずに言えば業務委託などせずにすべての業務を社員がやればいいと思うのだが、これはこれでいろいろ難しいのだろう。

結局情報を売り飛ばした犯人は懲役2年6カ月、罰金300万円の刑になった。
(2016年に判決出ているから、もう釈放されているな。)

んで、ベネッセの情シス子会社は、確かJSOC(Japan Security Operation Center)擁するセキュリティ専業大手のLACと合弁化したと記憶している。

んでそれから数年が経ち、タイトルのニュースが出てきた。

情報漏洩の被害者は当時ベネッセから金券500円が支給された。

ちなみにこの500円はその後の情報漏洩事案におけるお詫び金額のデファクトスタンダードとなった。

今回のニュースは500円じゃ許さんと言う人たちが集団訴訟したニュースの続報と言うことになる。

しかし、6年間もずっと裁判しているとは、なんとも執念深い。。。

6年間の成果として、お詫び金額は6倍超になったものの、それでも3,300円。

よく聞くが、日本の裁判は割に合わない、と言うことをつくづく感じた。

【参考】
https://www.huffingtonpost.jp/entry/benesse_jp_5e7aff36c5b620022ab36256

【悲報でもない!?】デルタ ニッポン500マイルキャンペーンの変更


毎年何事もなく継続されていた、デルタ航空のニッポン500マイルキャンペーンについにメスが入った。

デルタ航空のニッポン500マイルキャンペーンというのは、日本国内線のどの航空会社でも手続きを行うことで片道500マイルがもらえるというものだ。

ちなみにデルタ航空のマイルは1マイルの価値がとても低いことから、通称”スカイペソ”とも揶揄されており、本稿でも以降スカイペソと表現する。

これまで平会員は上限5,000スカイペソ(10往復)まで貯められていたのが不可となり、
メダリオン会員は上限20,000スカイペソ(40往復)が上限10,000スカイペソ(20往復)に変更となる。

平会員は不可となるものの、提携クレジットカードを持っている場合、メダリオン会員同様、上限10,000スカイペソ(20往復)まで貯めることができるらしい。

これは個人的には朗報である。

以前は、カードを持っているだけでゴールドメダリオンを維持できるアメックスのゴールドカードを持っていたが、改悪に伴い速攻で解約して現在平会員となっている。

東南アジア圏のビジネスクラス特典航空券を狙うと、だいたい片道45000スカイペソ必要となる。

そうなると平会員の力では9年の歳月が必要となる。

これが年10,000スカイペソ貯めることができれば、4~5年に短縮できる。

提携カードの保持で4~5年に1回東南アジアの片道ビジネスクラス航空券に変えられるのであれば、悪い話ではないと思う。

で、どの提携カードにするか。

選んだのは、提携カードの中で最も年会費の安い、

デルタスカイマイルJCB テイクオフカード

年会費がかかるが、毎年10,000スカイペソを実質無償で入手できるのであれば、悪くない話だと思う。

というわけで現在発行手続き中。

当然のことだが、クレカを発行する際は必ずポイントサイト経由にしてポイントもゲットすること。

自分はメインがJALマイルとなるため、モッピーを活用中。

こういう日々の積み重ねが数年後のビジネスクラス航空券に化けるのである。

【参考】
デルタ航空「ニッポン500マイル・キャンペーン」が2020年も継続
⇒フォームへの記入をPC上で完結させる方法が紹介されています。

ついに改悪!2020年度デルタ航空ニッポン500マイルキャンペーンは一般会員対象外。残された道は?


Windows10のコマンドプロンプトでLinuxコマンドを使う


WindowsのコマンドプロンプトでLinuxのコマンドを実行したくなることは無いだろうか?

先日、Windows上でdigコマンドを使いたくなり、方法が無いものか調べてみたら、あった。

その方法は、WSL(Windows Subsystem for Linux)との組み合わせ技である。

事前にWindows10にWSLやLinuxディストリビューションのインストールが必要になる。

詳しい方法は下記を参照いただきたい。

https://www.atmarkit.co.jp/ait/articles/1608/08/news039.html

設定が終わると、コマンドプロンプト上からLinuxコマンドの実行が可能となる。

頭に wsl を付けるのが若干手間だが、ちょこっとLinuxコマンドを実行したいときは重宝できるかも。

【参考】
Windows 10のコマンドプロンプトからWSL上のLinuxコマンドを呼び出す(バージョン1803対応版)
https://www.atmarkit.co.jp/ait/articles/1805/24/news022.html

無能なWHOの事務局長解任活動に参加してみる


武漢ウイルス(通称「コロ助」)流行の責任の一端は、間違いなくWHOにあるだろう。

中国の対応を称賛して緊急事態宣言を怠った結果、世界中への蔓延を許してしまった。

その後の対応も受動的で、日々WHOの無能っぷりを世界に垂れ流している。

個人的にはパンデミックが宣言されたのだから、オリンピックの延期も勧告すべきだと思っている。

結局そこまでは踏み込めず、我らが安倍首相が動いてオリンピック延期に向けて動き出すこととなった。

(ちなみにIOCも物事が決められない情けない組織だということが今回露呈したと思う)

世界では、そんな無能なWHOを率いる無能な事務局長の辞任を求める署名活動が行われている。

詳細は下記参照。

今回のWHOの無能っぷりに怒りを感じている人は、是非署名してみてはどうだろう。

https://www.change.org/p/united-nations-call-for-the-resignation-of-tedros-adhanom-ghebreyesus-who-director-general


ファンボロー国際航空ショーは中止を決断。オリンピックは決断を下せるのか!?


7月20日から24日まで、イギリス・ロンドン郊外で開催予定だった、「ファンボロー国際航空ショー(Farnborough International Airshow)」の中止が決定された。

主催者は声明で、「非常に慎重に検討した結果、世界的なコロナウイルスの大流行の前例のない影響により、出展者、訪問者、請負業者、スタッフの健康と安全のためにこの決定が余儀なくされた」と明らかにし、複数の要因を考慮して、7月に開催するのは困難であると結論づけた。

うん。非常に妥当で、評価されるべき選択だと思う。

一方、時期を同じくして開催されるオリンピックはとても体たらくな印象を受ける。

国際オリンピック連盟(IOC)は「今は大きな決断をする時ではない」とか言って決断の先送りをしています。

個人的にはWHOからパンデミックが宣言されてしまい、世界各国で毎日感染者が増え続ける状況を踏まえると、早めに中止なり延期なりを決断したほうが良いと考えます。

結局決断できないから、アテネまで聖火取りに行ってしまったり、聖火リレーが日本で始まったりしています。

延期したら聖火リレーどうするんだろう?

決断先送りの分だけ、○○どうするんだろう?の○○が増えていきます。

ちなみに日本政府は延期は決断できないです。

延期の決断はIOCにさせる必要があります。

決定権はIOCが持っているため、責任もIOCに持ってもらわなければならないのです。

日本政府が先走って言及してしまうと、日本政府が叩かれますので。

週明けの株価予想のための材料【Weekend Wall Street】


日曜日の夜、「週明けの日本市場はどうなるんだろう?」と思うことは無いだろうか。

週末に何もニュースが無ければ、金曜のNY市場の影響を受ける。

それ以外に知るすべがないだろうか?

実はあった。

実は、NYダウや独30指数、英FTSE、香港株が土日にもかかわらず動いている。

サンデーダウとか、ウィークエンドダウとか呼ばれるもので、IG証券のサイトで確認することができる。

https://www.ig.com/uk/weekend-trading

信憑性はどうなのだろう?

市場参加者は少ないので、あくまで参考程度で利用するのが良いと思う。

±100ドル以上動いた時は開始時も窓を開けてスタート、±数十ドル程度の場合はほぼ変わらずでスタートすることも多い模様。

週明けの相場は金曜日のNY市場の結果、週末のニュース、ウィークエンドダウ等を参考にして予測を立てるのがよい。

ちなみに予測は大事だが、予想はNGである。

よそうはよそう。

陳腐化しつつあるパスワードのルール


以前パスワードの定期更新に関する議論が沸き起こり、パスワードの定期更新は”不要”と言うのが現代の新常識となっている。

ただ、これには前提条件があり、十分な長さと複雑性を兼ね備えたパスワードである必要がある。

更に具体的に言うと、英大文字小文字+数字+記号 26 種= 88 種類の文字を使い、10 桁のパスワードを作ったとすると、その組み合わせは約 2785 京個(京は兆の上の単位)、1 秒 5 回の制限で「総当たり攻撃」をした場合、全部を試すまでに約 1760 億年かかる。

これならば、100 年以内に探り当てられる確率は非常に小さく、事実上不可能といえるので、パスワードの定期更新は不要という理屈になっている。

上記はNISC(内閣サイバーセキュリティセンター)が提供しているガイドブックの53ページ~56ページあたり参照するのが良いと思う。

https://www.nisc.go.jp/security-site/files/handbook-all.pdf

上記に関連して時代遅れになりつつあるルールがある

■時代遅れルール:パスワードを書き留めるべからず

当然これも前提がある。

誰でも見ることができるPCの近くにパスワードを書いたメモを置いておくことが最悪な行為であることは変わりない。

しかし、現在は様々なオンラインサービスがあり、それらすべてのサービスで共通のパスワードを使うことは、最悪の行為である。

一方で利用するサービスの数だけパスワードを生成して覚えるというのも無理な話である。

そこで推奨されるのは、「パスワードブック」を1冊購入してパスワードを記録し、自宅で鍵をかけて保管しておくのがいい(らしい)

そこで、私がパスワードの新ルールを提案したい

■新パスワードルール1:パスワードは英大文字小文字+数字+記号で10桁以上にする。

■新パスワードルール2:パスワードは使いまわさない(サービス毎に異なるものにする)

新パスワードルール2を徹底すると、情報漏洩が起きた時、どのサイトの情報が漏洩したのか、知ることができるケースもあります。

【参考】
https://japan.cnet.com/article/35150759/

クラウドストレージの誤設定による情報漏洩事案(2020年2月)


日本でもクラウド化が進んでいるが、日本よりもクラウドが進んだ欧米ではクラウドからの情報流出事案が後を絶たない。

※ここでいうクラウドとはIaaSを指します。

予め言っておくが、クラウド自体は問題ではない。

正しく設定して運用管理を行えば、クラウドは安全である。

しかし、設定を誤ると、情報は安易に漏れる。

これがクラウドのリスクである。

企業が自社でイントラネットを構築し、その中でサーバの運用を行っている状態であれば、仮にサーバの設定がザルだったとしても、ネットワークレイヤのセグメント分離により助かるケースはあり得る。

しかし、クラウドの場合、すぐ隣はインターネットの世界となり、サーバの運用管理がザルだと致命傷に直結する。

自分はクラウドについては肯定的だが、インフラについてはクラウド化してもオンプレ同様の人的リソースが必要と考えている。

それを怠った結末を2つ紹介したい。

■受刑者情報3万6千件が露出(アメリカ)
AWSのストレージサービスAmazon S3の「バケット(Bucket)」が、セキュリティ保護および暗号化されていなかったために、米国の刑務所に収容されている受刑者についての記録36,077件が露出

https://www.vpnmentor.com/blog/report-jailcore-leak/

■電車通勤者の情報1万人分が漏えい(イギリス)
AWSクラウドストレージ上のデータベースがパスワード保護されていなかったため、英国の「Network Rail」社が管理する駅で無料Wi-Fiサービスを利用する乗客についての情報が漏えい

https://securitydiscovery.com/c3uk/


数年後には日本からも同様のインシデント発生が予測されるので、自社のIaaS導入は心してかかりたい。


【参考】
クラウドストレージの誤設定による情報漏えいが続発
https://blog.trendmicro.co.jp/archives/24234