イベリア航空:Avios購入50%ボーナスセール(2021/2/15~2021/3/1)(転載)


【半年ぶり】イベリア航空:Avios購入50%ボーナス!単価1.5円/Avios!お得にJAL特典航空券:

セール概要

最低購入Aviosの2,000Aviosから50%ボーナスが付きます。

・2,000 Avios購入時の単価は2.3円/Avios

・20,000 Avios購入時の単価は1.6円/Avios

・80,000 Avios購入時の単価は1.6円/Avois

・100,000 Avios購入時の単価は1.5円/Avios

(※128円/ユーロ換算)

・20万Aviosまで購入可能

・2021年3月1日まで

イベリア航空のアカウントを作成してから3か月経過しないと(90日ではありません)、イベリア航空のAviosはBAに移行することはできませんので(Avios購入自体は可能)、アカウント作成はお早めにした方が良いです。

アカウント作成時には姓名等が完全一致していないと、カスタマーセンターを介して修正してもらう必要がありますので、アカウント作成時は要注意です。

・AviosでJALの特典航空券を予約できます。羽田~北海道/鹿児島/福岡間は片道6,000 Avios(今回のセールだと片道約9,000円)で、羽田~沖縄間は片道9,000 Aviosです(同13,500円)。かなりお得です。

・2020年8月に続き50%購入ボーナスセールです。 

・イベリア航空のAviosをお得に購入する手段として、スペイン版グルーポンのAviosクーポンがありますが、ココ2年間くらいは販売している様子はないです

単価計算

通常AviosボーナスAvios購入Avios価格(ユーロ)円単価
2,0001,0003,000542.3
15,0007,50022,5002931.7
40,00020,00060,0007571.6
80,00040,00012000016471.6
200,000100,000300,00036011.5

購入方法

イベリア航空のサイトへ

https://www.iberia.com/jp/

ログインして、マイAvios→「Aviosの購入または移行」を選択

「Purchase」を選択

「Step 1 How many Avios do you want to buy?」で買いたいAvios数を選択しましょう。

イベリア航空からAviosを購入することのメリット/デメリット

vs ブリティッシュアエウエイズHP

<メリット>

単価が良いですね。

ブリティッシュアエウエイズHPも定期的にセールを開催していますが、単価はセール時のブリティッシュアエウエイズHPよりも、セール時のイベリア航空HPの方がお得です。直近のブリティッシュアエウエイズのセール時でも最大単価は2.2円/Aviosでしたが、今回はイベリア航空のセールでは最大単価が1.5円/Aviosです。

<デメリット>

イベリア航空のアカウントを作成してから3か月経過しないと、イベリア航空のAviosはBAに移行することはできません(Avios購入自体は可能)。なので、アカウントを作成したばかりの方で、「すぐにAviosからJAL等の特典航空券を予約したい」という方にはお勧めできません。

イベリア航空のAviosをブリティッシュエアウェイズのAviosに移行したとしても、ブリティッシュエアウェイズのAviosの有効期限は延長されません。ブリティッシュエアウェイズのAviosの有効期限を延長するためには、ブリティッシュエアウェイズのサイトから直接Aviosを購入するか、クレジットカードのポイントからブリティッシュエアウェイズのAviosに直接交換するか、特典航空券を予約するか等の対応が必要になります。

vs スペイン版グルーポン

<メリット>

①確実にAviosを入手できる点です。スペイン版グルーポンの場合、クーポンが届かなかったり、有効化できなかったりということがネットで散見されます。私もスペイン版グルーポンで購入した経験がありますが、有効化の過程で頻繁にエラーが生じていて、「本当に有効化できるのか?」と不安になりながら有効化を進めていました(私は10回ほどクーポンを購入していますが、すべてのケースでなんとか最終的には有効化できています)。

②80,000 Avios以上ほしい場合は、イベリア航空のサイトの方が単価が良くなってきます。

<デメリット>

・ここ2年間は販売をいていない模様です。

・また、ヨーロッパ在住者対象になっているようです。

・少しのAviosが欲しい場合はスペイン版グルーポンの方が単価が良いです。34,000Aviosクーポンは単価1.51 Avios/円です。


イベリア航空のAviosの使い方

イベリア航空のアカウントを作成してから3か月経過すると、ブリティッシュエアウェイズのAviosに移行できます。


その後はJALの特典航空券に予約できます。

羽田~北海道/鹿児島/福岡間は片道6,000 Avios(今回のセールだと片道9,000円)で、羽田~沖縄間は片道9,000 Aviosです(同13,500円)。かなりお得です。

日本国内で観測された #Emotet の感染を狙った攻撃について(転載)~正規メールサーバ乗っ取られてウイルスメールバラまかれると、正直厳しいって思った。。。~


bom retweeted: 本日の #JSAC2021 にて、ばらまきメール回収の会のメンバー(@bomccss , @sugimu_sec)が 日本国内で観測された #Emotet の感染を狙った攻撃について講演をしました。 ▼講演スライドは以下となります。 jsac.jpcert.or.jp/archive/2021/p…:
bom retweeted:
本日の #JSAC2021 にて、ばらまきメール回収の会のメンバー(@bomccss , @sugimu_sec)が 日本国内で観測された #Emotet の感染を狙った攻撃について講演をしました。

▼講演スライドは以下となります。
jsac.jpcert.or.jp/archive/2021/p…

バックアップ[JA][EN]

マリオットのポイント購入40%増量セール(~2021年3月22日)~今回は見送りか~

f:id:kinako_yuta:20210219072037j:image
 

マリオットのバイポイントキャンペーンがきてた。

 

マリオットのバイポイントキャンペーン、40%増量(招待者50%増量)

 

40%増量キャンペーンはお知らせ等来てたけど、いままでのレートからするとあまりお得ではないのでスルーしていた。そしたら招待者限定の50%増量が来てたのでちょっと考える。

 

ご招待者限定: ポイントの購入で50%のボーナスを獲得し、次のアドベンチャーに活用しましょう。
ご招待者限定のオファーです。 2021年2月16日から3月22日までに2, 000ポイント以上を購入またはギフトとして贈呈すると、50% のボーナスポイントを獲得できます。さらに、 以前の年間上限の2倍、100,000ポイントまでのご購入が可 能です。*

 

1000ポイントで12.5USDなので、2000+800(1000)ポイント25USD。レートを計算すると0.95~0.96円/ポイント(40%)、0.89~0.90円/ポイント(50%)。

 

昨年の60%増量時のレートだと0.84円/ポイントだったようなので、無理に買う必要はないかとおもいます。

 

ポイントの使い道

ポイントは宿泊に利用可能。ポイント宿泊はキャンセル可能なので、先の日程の予約(特に繁忙期)をとりあえず抑えておくとか、イベント時の高騰した宿泊料金を回避するとか、そういった使い方が可能。

 

 

ポイントは宿泊だけでなくマイルへの交換も可能で、レート次第ではバイマイルとして使うことができる。20000マイル単位の移行が最もお得なほか、ユナイテッドへは常時10%増量、キャンペーン時期にはBAやUAへの移行にボーナスが付くことがある。

ただ、UAマイルも使いにくくなってるしこちらの利用法は微妙かも(ANAの下僕便が使えなくなったため)。

 

まあそんなところ。無理に買う必要はないかなとおもいます。

 

 

kinako-yuta.hatenablog.jp

 マリオットはキャンペーン中。こちらも併せてどうぞ、的な?

ウクライナCyber​​policeがEMOTETウイルスを拡散する多国籍ハッカーグループを公開 / Кіберполіція викрила транснаціональне угруповання хакерів у розповсюджен...



エモテット関係者宅(?)の突撃映像じゃん Кіберполіція викрила транснаціональне угруповання хакерів у розповсюджен... youtu.be/_BLOmClsSpc @YouTubeより: エモテット関係者宅(?)の突撃映像じゃん
Кіберполіція викрила транснаціональне угруповання хакерів у розповсюджен... youtu.be/_BLOmClsSpc @YouTubeより

京大、基礎物理学研究所の新スパコン「Yukawa-21」をデルのサーバで構成(転載)~ちなみにデルはサポートの品質が悪くて自分の知っている組織では出入り禁止です(笑)~

cover_news035.jpg

京大、基礎物理学研究所の新スパコン「Yukawa-21」をデルのサーバで構成 その中身は
:

京都大学基礎物理学研究所は新スーパーコンピュータシステム「Yukawa-21」に、デル・テクノロジーズ(以下、デル)のサーバ機器で構成するスーパーコンピュータシステムを採用した。両者が2021年2月18日に発表した。Yukawa-21は、2021年1月から稼働している。

産業用制御システム(ICS)用のATT&CKリリース / Launching ATT&CK for ICS(転載)


Launching ATT&CK for ICS

ここ数年、産業用制御システム (ICS) の ATT&CK に多くの関心が寄せられています。ATT&CK の構造と方法論が ICS の技術領域にどのように適用されるかについての好奇心の大きさには驚かされます。しかし、この好奇心には多くの疑問が付きまといます。

そこで、この機会に、「ATT&CK for ICS のナレッジベースはいつ公開されるのでしょうか?私たちは、それが現在利用可能であることを発表できることを嬉しく思っています。

このナレッジベースを熟読し、ICS 環境と相互作用する敵対者の核心的な行動を分析していく中で、ATT&CK for ICS の目的、焦点、構造、将来の方向性についての疑問が出てくることは間違いありません。この記事では、ATT&CK for ICS のレビュープロセスの経験と ATT&CK から学んだ教訓を活用して、これらのトピックに関するより一般的な質問のいくつかに答えることができると信じています。

最後に、ATT&CK for ICS は現在進行形であることを覚えておいてください。このナレッジベースは、敵の行動に関する収集可能で観察可能なデータに大きく依存しています。このナレッジベースをリリースする意図は、ICS の実践者のコミュニティが検証を行い、さらに重要なことは、このナレッジベースを急速に成熟させるためにデータを貢献することです。このナレッジベースにどのように貢献できるかについては、私たちの貢献ページをご覧ください。

なぜICSのATT&CKなのか?


簡単に言えば、ATT&CK for ICS は、ICS 技術領域における敵対行為に関する知識をより良く理解し、集中させ、普及させる必要性から生まれました。

なぜ ATT&CK に ICS を採用したのか」という質問に答えるための非常に実用的な方法は、エンタープライズナレッジベースを使用して、いくつかの ICS インシデントを最初から最後まで分析し、ギャップを探すことである。良い出発点は、Industroyer や Triton のインシデントレポートを見ることであろう。どちらのインシデントでも、IT インフラは、敵の最終的なターゲットである制御システムへのアクセスを 得るための導管として活用されていました。例えば、Industroyerは、ネットワークをマップし、攻撃に関連するコンピュータを見つけるために、リモート・システム・ディスカバリー(T1018)とネットワーク・サービス・スキャニング(T1046)を利用している。

これらの攻撃の初期段階では、Enterprise のナレッジベースの戦術や技術を用いて分類するのは簡単です。しかし、これらの攻撃の後の段階での敵の行動は、ATT&CK for Enterprise では特に対応していません。Enterprise と ICS ドメインでは、攻撃者のターゲット、技術的な目標、技術的な手法が大きく異なる。例えば、Industroyer は、電気変電所のスイッチや遮断器の状態を直接変更するために Unauthorized Command Messages を発行する能力を持っています。この活動は、ATT&CK for Enterprise の範囲外ですが、現在は ATT&CK for ICS の T855 として表現されています。

ATT&CK for ICS を作成するために、チームは公開されているインシデントレポート、研究論文、会議での発表、ブログなどを経て、野生の技術の存在を特定し、検証しました。また、投稿者やレビュアーと密接に協力して、コンテンツの検証と改善を行いました。私たちの目標は、ギャップを埋めるリソースを提供し、ICS技術領域特有の懸念事項に対処することです。

ICSとは?


この質問にはいくつかの方法で答えることができますが、すべてはこの分野での経験によります。その中心にあるのは、産業用制御システムのことで、略してICSと呼ばれています。誰もがICSという用語のファンではないことは承知していますが、このシンプルな頭字語を使うと、この領域に漠然と精通している人でも、ほとんどの人が私たちの言っていることを理解していることがわかりました。

一般的に、これらは、私たちが誰もが頼りにしている物理的なプロセスを効率的に(ほとんどの場合、安全に)自動化することを可能にするシステムです。例えば、発電から負荷への電力供給、上下水道の管理、製造業、およびその他の類似のサイバー物理プロセスなどである。これらの重要なシステムを駆動する自動化の種類を少し研究することは、ICSを理解する上で非常に役立ちます。

しかし、なぜここで止まるのか?この疑問に答えるために、もう少し深く潜ってみましょう。ATT&CK for ICS の観点から、現在のところ、この技術領域で敵が行動する主要なシステムとして、以下のものに焦点を当てています。

基本的なプロセス制御システム

  • プロセス制御
  • オペレータ・インターフェースとモニタリング
  • リアルタイム&ヒストリカルデータ
  • 警告

安全計装システムと保護システム

  • エンジニアリング・メンテナンスシステム

ATT&CK for ICS の各テクニックには、それに関連したアセットフィールドがあることに気づくかもしれません。これらの広範なアセットクラスは、上記のシステムの機能コンポーネントを表しており、ATT&CK で使用されているプラットフォームタグよりも高い抽象度を持っています。どのオペレーティング・システム・プラットフォームがアセットに関連付けられているかは必ずしも明確ではありませんが、アセットの機能は通常一貫しています。そこで、上記のシステムの機能的なコンポーネントや資産に影響を与えるために、敵対者がどのような手法を用いているかを明らかにすることに努めます。

例えば、ヒューマン・マシン・インターフェース(HMI)アプリケーションは、Windows、Linux、Androidなど多くのプラットフォームの上で動作します。しかし、基礎となるプラットフォームに関係なく、HMI は、オペレータに工業プロセスを監視し、多くの場合、制御するためのインターフェイスを提供することが期待されています。HMI は、このナレッジベースの 1 つのアセットクラスを構成しています。このアセットクラスをスコープインすることで、読者はHMIとして機能するアセットに対してどのような技術が活用できるかを理解することができます。

ICSのATT&CKって何が違うの?


今すぐ明確にしておきましょう。エンタープライズ IT は ATT&CK for ICS のナレッジベースの焦点ではありません。ATT&CK for Enterprise は、Windows と Linux プラットフォームに関連した敵対者の行動をカバーするために、すでに何年もの歳月を費やしてきました(ICS 環境では Mac は存在するのでしょうか?ATT&CK for ICS は、ATT&CK for Enterprise を利用して、敵対者が「IT コンジット」を通過して最終的なターゲットに到達する際の行動を分類することで、この作業を活用しようとしています。

しかし、IT プラットフォームは ICS の重要な基盤を形成しているので、完全に無視することはできません。ATT&CK for ICS は、産業プロセスに対して、標的化されたか否かに関わらず、敵対的な影響を与える最終段階にあるシステムに対して使用される ATT&CK for Enterprise テクニックのみを含めるようにしています。例えば、エンタープライズ技術である Hooking (T1179) は、PLC と直接インタフェースするために使用されるエンジニアリングアプリケーションに関連する DLL を変更するために活用されています。ICS ドメインでこの技術を使用すると、エンジニアリングアプリケーションが可能にする ICS 固有の機能のために、新たな考慮事項と固有の懸念事項が生じます。そのため、Hooking (T874) も ICS ナレッジベースに追加され、異なるコンテキストでのこの技術の使用を強調するのに役立ちました。

エンタープライズと ICS の技術領域の間には、かなりの重複があることは明らかです。それにもかかわらず、ATT&CK for ICS は、敵対者が ICS の非 IT ベースのシステムや機能に対して行う行動に主眼を置いています。それは、戦術や技術からドメイン固有の資産や技術に至るまで、ICS 環境の区別を捉え、定義することを目指しています。このような焦点により、ATT&CK for ICS は ATT&CK エコシステムの中でユニークで重要な知識ベースとなっています。

どのように使えばいいのでしょうか?


ATT&CK の構造と方法論を新しい技術領域に適用することの興味深い側面の一つは、既存のユースケースの多くが移転可能であるということです。ICS のために ATT&CK を作成した際に検討したユースケースには、以下のようなものがあります。

  • 敵対者エミュレーション
  • 行動分析
  • サイバー脅威インテリジェンスの充実
  • 防御力格差評価
  • レッドチーム化
  • SOCの成熟度評価
  • 失敗シナリオの展開
  • クロスドメインの敵対者追跡
  • 教育資源

よりユニークなユースケースの1つを取り上げてみましょう。障害シナリオ開発のユースケースでは、システムに影響を与えることが知られている障害を特定します。次のステップでは、その障害がサイバーに起因するものであるかどうかを理解する必要があります。物理的な攻撃は ATT&CK for ICS の範囲外であるため、これらの障害はサイバーに遡ることができる原因を持っている必要があります。サイバー誘導可能な障害が特定されると、この障害につながる可能性のある ATT&CK の一連の技術を特定することができます。これらのアクションは、敵対者やレッドチームが制御システムを標的にする際の初期作業の一部を表しています。これにより、防御側は、敵が致命的な障害を誘発するまでの経路を混乱させるために、どこに防御に投資すべきかをよりよく理解するための貴重な情報を得ることができる。

特に、適切なメンバー(IT、OT、セキュリティ担当者)を集めた卓上演習では、インパクトの列から始めて、各テクニックの実行がサイトにどのような影響を与えるかを考えるのが良い練習になります。どのテクニックがヒューマンエラーや障害として誤認される可能性があるかを考えてみてください。

例えば、地理的に分散した制御システムでは、閲覧拒否(T815)状態に対する典型的な組織的対応は何かを熟考してください。徹底するために、オペレータに時間をかけて、彼らがこのシナリオにどのように典型的に対応するのかを尋ねてください。これは現場にトラックを出動させることを保証するようなことなのでしょうか、それともこのようなことは頻繁に起こり、通常は自力で解決するものなのでしょうか?頻繁に起こるのであれば、知識ベースを使用して、敵対者が伝統的にどのようにしてこの衝撃技術を引き起こし、利用してきたか、またその目的をよりよく理解してください。この特定のケースでは、敵対者の活動は良性のコミュニケーションエラーのように見えることがあります。テクニックの説明を読み、関連する例に目を通し、例示された指標からこのイベントを悪意のあるものと見分ける方法を理解してください。インパクトに先行する敵対的なテクニックを見始めます。これは、敵対者によって誘発された影響が、ヒューマンエラーや障害として簡単に誤分類されてしまうことを理解するのに最適な方法です。

また、ATT&CK for ICS は、他の ATT&CK ナレッジベースと連携して、クロスドメインの敵対者追跡のユースケースを可能にする重要なリソースとしても機能します。敵対者は、制御システムに悪影響を与えるために多くのプラットフォームを利用しています。制御システムを標的とする敵対者を最もよく理解するために、敵対者が標的としたり利用したりしている技術ドメインに適用される敵対者の行動を追跡することを提案します。一つの技術領域に関連した敵対者の行動だけを考慮すると、全体像の重要な部分が見落とされてしまいます。そのため、複数の技術領域に関連した敵の行動を考慮する必要があるかもしれません。ICS 環境におけるクロスドメインの敵対者追跡のための ATT&CK のナレッジベースは、Enterprise と ICS のナレッジベースである。これら 2 つのナレッジベースを併用することで、敵対者が「IT コンジット」を通過して制御システムに影響を与える際の行動を追跡することができます。また、一般的に悪用されている主要なシステムインターフェースを強調することもできます。

行動分析、防御的ギャップ評価、SOC の成熟度評価などのユースケースは、技術の検出能力と密接に結びついています。ICS用のATT&CKの初期リリースでは、各技術の中に検出セクションは含まれておらず、代わりにミティゲーションに焦点を当てています。これらの環境にセキュリティをより効果的に組み込むためには、できることがたくさんあると感じています。これを実現する一つの方法は、これらの重要なシステムの安全性と可用性に抵触しないような予防的な制御を実施することです。検出機能の追加は、ATT&CK の ICS では将来的に予定されており、検出機能に関するコミュニティからの意見を随時募集していく予定です。ATT&CK for ICS の検出セクションで提供される詳細レベルは、ATT&CK for Enterprise の詳細レベルと同等であり、検出分析の実装の詳細には踏み込まずに、高レベルである。

ICS用ATT&CKのロードマップは?


ICS のための ATT&CK は MITRE からの静的な製品と見なすべきではない。むしろ、他の ATT&CK ナレッジベースと同様に、コミュニティからのフィードバックや、観察された敵対者 (レッドチームや研究者を含む) の活動に応じて成長していくことを意図しています。私たちは ICS 用の ATT&CK を一般的な ATT&CK サイトとは別の wiki で立ち上げることにしましたが、これは新しい非常に異なるドメインのリリースに合わせた開発サイクルを可能にするためです。もしあなたがあのレトロなATT&CKのルック&フィールに憧れていたのであれば、ぜひお楽しみください。ICS 用の ATT&CK がコミュニティからのフィードバックに基づいて成熟するにつれて、私たちは ATT&CK コミュニティが期待している ATT&CK サイトとツールに統合するように努力しています。

コミュニティの皆様に ATT&CK for ICS の背後にある主要な考え方、その構成と将来の成長をよりよく理解していただくために、近日中に哲学とデザインの論文を発表する予定です。さらに、コミュニティに ATT&CK for ICS を紹介するために、注釈付きのプレゼンテーションを提供する予定です。

謝辞


ATT&CK for ICS には、サイトの立ち上げに先立ち、39 の組織から 100 名以上の参加者がレビュー、コメント、貢献を行った。これらの組織は、ICS を中心としたサイバーインテリジェンスやセキュリティ企業、工業製品メーカー、国立研究所、研究機関、大学、情報共有・分析センター、公共・民間の重要インフラを支援する政府機関など、官民を問わず幅広い組織で構成されています。

これはコミュニティの取り組みであり、事務処理の完了、登録、サイトの閲覧、コメントの提供、参考文献の提出、ワークショップへの参加、パブリックフォーラムでのこの取り組みの推進に時間と労力を割いてくださった一人一人に感謝したいと思います。

【産業用制御システム(ICS)用のATT&CK】
https://collaborate.mitre.org/attackics/index.php/Main_Page

中国語圏の OSINT 向けサイトやツールなどをまとめた記事のよう(転載)


死ぬほどありがたい情報だ。。。 https://t.co/tztk4QbLsU Quoted tweet from @soji256: 中国語圏の OSINT 向けサイトやツールなどをまとめた記事のよう / 蓝军HVV实用工具和网站总结,还不快掏出小本本记好 mp.weixin.qq.com/s/7da-H0nwnNJK…: 死ぬほどありがたい情報だ。。。
https://t.co/tztk4QbLsU
中国語圏の OSINT 向けサイトやツールなどをまとめた記事のよう / 蓝军HVV实用工具和网站总结,还不快掏出小本本记好 mp.weixin.qq.com/s/7da-H0nwnNJK…


脅威インテリジェンス

01.微步在线(マイクロステップオンライン)


利点:タグを追加したり、自分が友達か敵かを一目で把握したり、監視を設定したりできます


02.绿盟科技(NSFOCUS)


利点:ID、名前、携帯電話番号など、より多くの検索条件があります。


03.奇安信(チーアンシン)


利点:より詳細な登録情報の表示


04.安恒(ヘン)



利点:インテリジェンス情報をサブスクライブでき、ファイル検出がより包括的になります


05.安恒风暴中心(アンヘンストームセンター)


利点:国の資産監視、および非常に詳細な都市のセキュリティ状況レポート。これらはすべてのブラウザのお気に入りに保存されます。


06.Feed系统(フィードシステム)


利点:バッチ検索をサポートするだけでなく、情報のサブスクリプションもサポートします


07.IBM


利点:より正確な外国情報の取得


08.360


利点:最も包括的なAPTインテリジェンスを備えている


09.360显危镜(360ミラー)


利点:最も包括的なAPP脆弱性インテリジェンスを持っている


脆弱性インテリジェンス

■私のcsdnの新しい脆弱性レポートのトピック

■seebugの洞察

■国家情報セキュリティ脆弱性共有プラットフォーム

■National Information Security Vulnerability Database

■Tencentソフトウェアセキュリティインテリジェンス

■Cveの脆弱性の更新

■情報セキュリティ脆弱性ポータル

■Chuangyuを知っている

■ラオスのセキュリティ

■マイクロ抑止情報ネットワーク

■あなたの指先で安全

■ハッカーニュース

■アリババクラウド脅威インテリジェンス

■NSFOCUS脅威インテリジェンスセンターポータル

■NSFOCUSウィークリー脅威インテリジェンスレポート

■Qi'anxin脅威インテリジェンスセンター

■ハッキングテクニック

「マイナビ転職」に登録したWeb履歴書、212,816名分が流出(転載)~想定損害賠償額は96億円程度か~


数が多いな… 「対象:2000年から現在までに「マイナビ転職」へご登録いただいた方のうち、212,816名分の Web履歴書(退会者は除く) ・不正ログインが確認された期間:2021年1月17日~2月9日」 https://t.co/sx4bgrgSYf Quoted tweet from @piyokango: 「マイナビ転職」への不正ログイン発生に関するお詫びとお願い 株式会社マイナビ 2021年2月12日 mynavi.jp/topics/post_29…: 数が多いな…

「対象:2000年から現在までに「マイナビ転職」へご登録いただいた方のうち、212,816名分の Web履歴書(退会者は除く)

・不正ログインが確認された期間:2021年1月17日~2月9日」 https://t.co/sx4bgrgSYf
「マイナビ転職」への不正ログイン発生に関するお詫びとお願い
株式会社マイナビ
2021年2月12日
mynavi.jp/topics/post_29…

「マイナビ転職」への不正ログイン発生に関するお詫びとお願い

この度、当社が運営する総合転職情報サイト「マイナビ転職」を管理するWEBサーバーに対し、外部からの不正ログイン発生があったことが判明しました。

本件に関して、現時点で判明している概要と対応について、下記の通りご報告いたしますとともに、ユーザー様および関係各位の皆様にご心配、ご迷惑をおかけすることになり、ここに深くお詫び申し上げます。なお、現時点におきまして個人情報の不正流用等の報告は確認されておりません。

被害拡大防止策として、「マイナビ転職」全ユーザー様のパスワードのリセットを行ってまいります。リセットのタイミングに関しましては、以下の詳細をご確認ください。ユーザー様におかれましては、速やかに「マイナビ転職」のパスワードの変更・再設定をお願い申し上げるとともに、当サイトに限らず、他のWEBサービスで「マイナビ転職」のアカウントと同じメールアドレス・ID・パスワードをご使用の場合も、大変お手数ではございますが、第三者による悪用を防ぐため、早急にパスワードの変更をお願いいたします。

1.概要について


2月9日、「マイナビ転職」のWEBサーバーにおいて不正なログインが確認されました。社内で調査を行なった結果、1月17日~2月9日の期間において、外部で不正に取得されたと思われるパスワードを使ったなりすましによる不正アクセスが発生し、一部ユーザー様のWeb履歴書への不正ログインが判明しました。

そのため同日、不正ログインを試行していたIPアドレス群からの通信をブロックするとともに、セキュリティ対策の強化を行いました。

2.不正ログイン情報


  • 対象:2000年から現在までに「マイナビ転職」へご登録いただいた方のうち、212,816名分の Web履歴書(退会者は除く)
  • 不正ログインが確認された期間:2021年1月17日~2月9日

3.ユーザー様対応について


  • 該当するユーザー様につきましては、本日2月12日16時にパスワードのリセットを実施し、その旨をパスワードの再設定方法・注意点とあわせて、個別にメールにてお知らせいたします。次回利用時にパスワードの再設定をお願い申し上げます。
  • 被害拡大防止策として、該当しない方につきましても、13日0時にシステムにてパスワードのリセットを実施いたします。次回利用時にパスワードの再設定をお願い申し上げます。
  • パスワードの再設定方法は、「マイナビ転職」ログイン画面に記載しております。
  • 当社コーポレートサイトおよび「マイナビ転職」上に「お知らせ・お詫び文(https://tenshoku.mynavi.jp/info/2021/02/12)」を掲示いたしました(バックアップ
  • 本日より、ユーザー様相談窓口を設置し、お電話でのお問い合わせ受付を開始しました。ご不安な方は下記までご連絡いただきますようお願い申し上げます。

4.当面の対応策および再発防止策について


  • 「マイナビ転職」全ユーザーパスワードのリセット
  • 所轄警察署への通報・相談、および個人情報保護委員会など関係省庁への報告
  • 機械的な攻撃に対する防衛策として、ID・パスワード認証以外のシステムセキュリティ高度化を図る等、さらなるセキュリティレベルの向上策を実施
なお、現時点において「マイナビ転職」以外の当社サービスにおいて、同様の不正ログインは確認されておりません。万全を期するため引き続き調査を実施し、皆さまにご安心いただけるサービスの提供に努めてまいります。社会に信頼される企業としての責務を再認識し、再発防止策を徹底して個人情報保護の強化を改めて誓います。