閉山中の富士山でニコ生配信中に滑落死

富士山でニコ生配信中に滑落して死亡したというニュースを見た。

そういえば以前中国で、ユーチューバーで生計を立てる人が、視聴率を稼ぐべく危険な動画撮影にチャレンジして命を落とす事件があった。

まさか日本でもそんなことをする奴がいたのかと思ったのだが、、、、

どうも、ニュース記事を読むと、富士登山にしては軽装であったらしい。

動画を見てみたが、特に軽装で富士山に登頂する類のものではなく、閉山中の富士山に登るところを生配信する企画だったようである。

前出の中国人は生計を得るために命を懸けた結果、命を失ってしまったが、
今回の件は別に命を懸けているわけではなく、ただ単に閉山中の富士山になめてかかって命を落とした単なる阿呆のような気がしている。

とはいえ、「人の振り見て我が振り直せ」である。

自分も無意識のうちに阿呆なことをしていないか定期的にチェックせねばならない。

悪いIPを晒上げるサイト「AbuseIPDB」

東京オリンピック・パラリンピック開催まで1年を切りました。

世界的なイベントがあると世界中から日本に観光客が押し寄せますが、サイバー攻撃も一緒に押し寄せてきます。

特にオリンピックではDDoS攻撃が想定され、オリンピックの回を重ねるごとに攻撃も激しさを増してきます。

最近はボットを使った業務効率化(RPA)の導入が盛んですが、サイバー攻撃を仕掛ける側も同様にRPAを活用した効率的且つ効果的な攻撃手法を編み出しています。

世の中にはたくさんのIoT機器があり、それらはセキュリティ的に脆弱と言われている。

そんなIoT機器が乗っ取られて、1台1台がRPAで制御されて、特定の攻撃対象に向けて一斉DoS攻撃を仕掛けたら、、、、と思うと少しぞっとする。

ところで、システム管理者の方は、不審なIPから大量のアクセスが来た際、どのように対処するだろうか？

「このIPブロックしたいけど、サービスに影響しないだろうか？顧客からクレームを受けることにならないだろうか？」

こんな悩みからIP遮断に踏み込めないケースは無いだろうか？

そんなときの一助になりそうなのが、

AbuseIPDB

世界中のいろいろな人が悪いIPをこちらに晒上げており、不審なIPが確認できているのであれば、こちらで検索することをオススメする。

リストがあれば躊躇することなくIPブロックをしてしまえばよい。

IPブロックで物足りなければ、自分から不審IPを晒上げることもできる。

セキュリティは国や地域を超えたグローバルコミュニティで成り立っているんだなーと感じる今日この頃。

米国電力業界のセキュリティ基準

先日、IPAより、米国の電力業界で活用されている、セキュリティマネジメント成熟度の評価モデル「ES-C2M2」の解説書およびチェックシートが公開された。

米国の電力業界はコンプライアンスとセキュリティガイドラインの2層で成り立っているようである

【コンプライアンス】

・NERC CIP Standard

　North American Electric Reliability Council Cyber-security Critical Infrastructure Protection Standard

　北米電力信頼度協議会が策定した重要インフラ防護基準

　かつ

　アメリカ合衆国連邦エネルギー規制委員会が承認した米国電力業界向け規制標準

　※2003年の大停電を踏まえて、電力の安定供給を念頭において作成された主に大規模発電施設及び送電施設を対象としたサイバーセキュリティに関する標準

　※基準且つ規制になっているところがポイント

　※規制なので、準じないと罰則もある（1,000USD～1,000,000USD）

【セキュリティガイドライン】

・ES-C2M2
　
　Electricity Subsector - Cybersecurity Capability Maturity Model Program

　サイバーセキュリティ対策を改善するためのマネジメント手法を記載したガイドライン

・NIST IR 7628

　NIST IR 7628 Guidelines for Smart Grid Cybersecurity

　NIST（アメリカ国立標準技術研究所）によって発行されたスマートグリッドを対象にしたセキュリティガイドライン

・NIST Framework

　米大統領令によりNISTで策定されたCyberSecurity Framework

日本では罰則付きの規制は金融業界にしかなく、その他の重要インフラ業界は所謂ベストエフォートの対応になっている。

セキュリティはコストとみなす経営者が多く、罰則付きの規制になるともう少しセキュリティ投資が進むのではないかと思った今日この頃。

18億円投じたのに、誰にも利用されず廃止になったセキュリティ対策

ITシステムを作るときに一番苦労するのは利便性とセキュリティのバランスです。

利便性を追求し過ぎ(=セキュリティを無視)して失敗した事例が7pay。

で、その逆の事例が今日のネタである、政府共通プラットフォームのセキュアゾーン。

日本年金機構の不正アクセス事案を受けて2017年に構築したのだが、セキュリティをガチガチに固めすぎた(=利便性を無視した)結果、どこの省庁も使ってくれず、2019年に廃止決定。

まさに日経コンピュータの「動かないコンピュータ」の格好のネタになりそうな・・・。

ちなみにこのセキュアゾーン、どんな特徴かというと、

1.専用回線から閲覧のみ可能。ダウンロードは出来ず、格納されたデータの取り出しや訂正には職員が直接設置場所へ出向く必要がある。

2.省庁内の別の情報システムとの連携が出来ない。

うーん。この二つの特徴を備えられると、

はっきり言って、用途が無い

ちなみに総務省がシステムの開発・運用を行っていたが、その総務省は最初からセキュアゾーンを使うつもりはなかったらしい。

自分が使うつもりのないモノ作るなよー

このセキュアゾーンの構築に18億円というのも驚きだが、ランニング費用は3.6億/年かかるらしい。

んで、誰も使わないけど年間3.6億円浪費するこのスバラシイ仕組みに会計監査院の調査が入ってめでたく廃止となったらしい。

セキュリティは重要だけど、利便性とのバランスがすごく重要であることを改めて実感した。

パスワードを使い回ししないメリット

JPCERTコーディネーションセンター（JPCERT/CC）が、ウェブサービスで使用するパスワードを使い回すことの危険性を啓発するキャンペーン「STOP! パスワード使い回し! キャンペーン 2019」やっています。

単一のIDとパスワードの組み合わせを複数のサイトで使いまわしている場合、管理がザルなサイトからうっかり情報をお漏らしされると、パスワードリスト攻撃により、根こそぎ被害を受けるリスクがあります。

パスワードリスト攻撃とは、ID・パスワードの組み合わせのリストを、管理がザルなサイトから攻撃者が入手し、その組み合わせでログインできるかどうか複数のサイトで試みる手口。

このパスワードリスト攻撃による被害事例は、ユニクロ（19年4月）、クロネコヤマト（19年7月）などがある。

念のため申し上げておくと、ユニクロやクロネコヤマトはパスワードリスト攻撃による「被害者」です。

諸悪の根源は、ID・パスワード情報をお漏らししたサイトで、どこのどいつだという話なのだが、管理がザルなだけにパスワードの保護もしていなければ、不正アクセスにも気付けないダメな企業なので追いようがない。

唯一追跡する方法としては、自身が利用するサイトごとに異なるパスワードを設定することである。

自分は利用するサイトごとに異なるパスワードを設定している。

ある日、「あなたのアカウントをハックした」旨の脅迫メールが届いた。文中にはその証拠としてパスワードが記載されていたのだが、この情報のおかげで、お漏らししたサイトを特定することができた。（当事者はお漏らしの事実を受け入れないのだが・・・・）

こんなメリットもあるので、パスワードの使いまわしはやめましょう。

JPCERT/CCでは「安全なパスワードの条件」として、以下の設定方法を推奨している。

■パスワードの文字列は、長めにする（12文字以上を推奨）

■インターネットサービスで利用できるさまざまな文字種（大小英字、数字、記号）を組み合わせると、より強固になる

■推測されやすい単語、生年月日、数字、キーボードの配列順などの単純な文字の並びやログインIDは避ける

■他のサービスで使用しているパスワードは使用しない

ロボットホテルの末路

ロボットが接客するホテルチェーン「変なホテル」を運営するH.I.S.ホテルホールディングス（HD）は10月17日、「変なホテル舞浜 東京ベイ」（千葉県浦安市）の全100室に設置していた卵型コミュニケーションロボット「Tapia」に脆弱（ぜいじゃく）性が見つかったと発表した。

「変なホテル」は生産性の向上（人件費の削減）を目的に、フロント業務や荷物運びなど、これまで人が担っていた業務のほとんどをロボットに任せていることが最大の特徴。

生産性の向上でロボットを使っている以上、当然ロボットは通信機能を備えている。

通信機能を備えているということは、外部から入り込む余地を与えるということに他ならない。

今回の脆弱性は、「Tapiaのプログラムを書き換えると、他の客の映像や音声を取得し、遠隔地から任意のタイミングで視聴できる」というもので、twitterからの投稿が発端の様だ。

しかし、せっかく脆弱性の指摘をしてくれたのに、対応を放置したH.I.S.ホテルホールディングスとメーカーのMJIの対応はいかがなものかと思う。

個人的には通信機能を備えたロボットを使う以上、常に不正アクセスとの戦いになることは覚悟しなければならないと思う。

生産性の向上は期待できるかもしれないが、人件費削減の代わりに恒常的なセキュリティ投資が求められるため、トータルで見た場合コストパフォーマンスは悪いのではないのだろうか。

コインチェックの貸仮想通貨サービス

アセットアロケーションの一環で少しだけ仮想通貨を保有しています。(保有比率は諸説あるけど、個人的には現在コモディティと同じ扱いで全体の10%未満にしている)

僕の仮想通貨との出会いのきっかけは、実は、アセットアロケーションの師匠でもある内藤忍さんだったりする。

2014年に、内藤忍さん共催の仮想通貨(リップル)セミナーがありました。

有償のセミナーだったんだけど、払ったお金分リップルがもらえる（確か1,500円くらい）という特典付だった。

その時貰ったリップルは気にも留めていなかったのだが、当時のウォレットであった、リップルトレードが2016年に終了となり、リップルのサルベージを行ったところ、80,000円(約40倍)の価値になっていた。

リップルトレードからのサルベージに相当苦労したこともあり、リップルを見限って全額をビットコインに変えました。

2017年後半から空前の仮想通貨(現 暗号資産)ブームが始まり、保有するビットコインの半分をイーサリアムに変え、ICO（Initial Coin Offering：イニシャル・コイン・オファリング）投資にチャレンジしたが、一つとしてヒットすることなく、投下したイーサリアムはほぼ壊滅してしまった。。。

で、難を逃れた残り半分のビットコインは現在も継続保有している。

あまりリスキーな投資をするつもりはないのだが、暗号資産は金と同じで保有するだけでは資産が増えない。

そこで登場するのが貸仮想通貨（レンディング）サービスである。

貸仮想通貨は、要は預貯金と同じで、預けて満期になると金利がついて返ってくるというもの。

コインチェックが、結構前からこの貸仮想通貨のサービスを行っている。

ネム流出事件が起きてからは、会社存続の危機もあり、怖くて預ける気にもならなかったが、マネックスグループ傘下となったことから、安心感が増し、5月に申し込みを行った。

人気で殺到しているのか、運用難で受付できない状態なのか、5ヶ月たっても運用が開始されない。

コールドウォレットに入れたところで、資産は増えないので、気長に待ちます。。。

気長に待つけど、不正アクセスによる流出だけはまじ勘弁。