タイ政府、タイ国際航空の会社更生手続きを申請へ

タイ政府、タイ国際航空の会社更生手続きを申請へ:

TG2.jpg


タイ政府は、タイ国際航空の救済計画を撤回し、破産法による会社更生手続きの申請を計画していることがわかった。きょう5月19日の閣議で協議される見通し。ロイター通信などが伝えた。 タイ国際航空の株式のうち51%を財務省が保有 […]

投稿 タイ政府、タイ国際航空の会社更生手続きを申請へTRAICY(トライシー) に最初に表示されました。

【悲報】IBM Cloudがこっそり無料枠を終了し勝手に課金開始

IBM Cloudってご存じだろうか?

PaaSとIaaSのサービスがあるようだが、正直自分は知らなかった。

IaaSだと、AWSやGoogle Cloud Platform辺りが有名で、正直存在感が無い。

PaaSだとどうなんだろう?

そんな、正直マーケット的に主導権が握れていないサービスにもかかわらず、ブログでこそっと宣言して無料枠をしれっと終了し、ちゃっかり課金を開始したという事件が起きたらしい。

IBM Cloud (旧Bluemix) のアカウントを持っている人は今すぐクレジットカードの請求を確認すべき

日本でこれやったら、確実に顧客失うなーって思った。

一方で、今後の対策の一つとして、払う予定のないサービスに対してクレジットカードを登録する場合、(チャージしていない)プリペイド型を使うとかを考えなければならいと感じた。

実はPayPal決済ができると、支払った後でも異議申し立てができるので、今回のようなケースの場合、メール等で利用者それぞれに対する周知徹底を行っていなかったということで、異議申し立ての上、返金を要求することも可能だったかもしれない。

【参考】
https://www.itmedia.co.jp/news/articles/1911/13/news073.html
https://jaco.udcp.info/entry/2020/05/16/194826

悲報! クラウド利用者6万件情報流出(アイ・オー・データ)


株式会社アイ・オー・データ機器は2020年5月10日、同社のテスト用サーバに第三者から不正アクセスがあり個人情報が流出したと発表した。

当該サーバ内には、製品型番、MACアドレス、製品シリアルナンバー及びメールアドレスなどの個人情報が保存されていた。

なお、NASに保存されているデータの流出や、顧客が利用するNASやネットワークについて外部からの不正アクセスによる内部への侵入の可能性は無いとのこと。

想定損害賠償額シミュレータによる今回の損害試算】
約3億6000万円

あまり人のことを言えた立場ではないのだが、下記は改めなければならないと感じる。

・NG行為1.テストサーバをインターネット上に公開

・NG行為2.テストサーバに本番サーバと同じデータを突っ込む

テストサーバはどうしても管理がおろそかになりがちなので、非公開にするか、公開は一時的にすべき。

また、本番サーバと同じデータを突っ込むのではなく、ダミーデータにするか、マスキングをすべき。

とても雑な表現だけど、感覚的に売上高に占めるIT予算化率が3%超の会社であれば、上記ができているイメージ。

逆に3%未満の会社は人的リソースが足りていないため、ほとんどできていない。

アイ・オー・データ社はIT機器の会社だけど、自社のITオペレーションにはしっかり投資をしていなかったのではないだろうか?

どうでもいい話だが、個人的にはアイ・オー・データ社の製品は相性が悪いらしく、不具合で悩まされることが多い。

個人的には相性がいいバッファロー製品を好む。

【参考】
https://scan.netsecurity.ne.jp/article/2020/05/12/44084.html

パスワードクラッキングツールからパスワードの最適解を考えてみる 【Medusa】


「Medusa(メデューサ)」と聞いて皆さんは何を思い浮かべるだろうか?

メデューサとは、ギリシア神話に登場する怪物で、宝石のように輝く目を持ち、見たものを石に変える能力を持つ。

そういえば、聖闘士星矢にも「メデューサの盾」なるものがあったな。

ただ、今日のMedusaは聖闘士星矢ではなく、パスワードクラッキングツールの話。

ツールを使ってパスワードクラッキングを行う場合、総当たり(ブルートフォース)攻撃の場合、果てしなく時間がかかるため、辞書攻撃の方が効率が良いと考えられる。

では辞書攻撃に使うリストは一体どこにあるかと言うと、インターネット上に広く出回っている。

Openwallプロジェクトでは、パスワード紛失時の復旧手段の提供の位置づけで、3,000円くらいでワードリストを提供している。

このワードリストは、20ヶ国以上の単語リストや、単語リストの結合、大文字⇔小文字変換、数字⇔単語を変換したもの等、5000万弱のパターンが収録されているらしい。

さすがに有償なので、実際の中身は見ることができないが、コストをかけずとも、NGなパスワードリスト トップ100万くらいまでであれば、無償で入手できる。

このご時世、丁寧に調べ方をYouTubeにアップされている方もいるので、詳細は割愛したい。


で、この100万件のパスワードリストをみて感じたのは、

・NISC(内閣サイバーセキュリティセンター)が推奨する、英大文字小文字+数字+記号の組み合わせで10桁以上は有効(特に記号を加える点がポイント)

・万一どこかのサイトでパスワードが漏れたら、それが攻撃の際に使用されるパスワードリストに加えられることを認識する(一度流出したらいかにパスワードレベルが強固でも変更が必要)

・サイトごとに異なるパスワードを設定したほうが、漏洩時のダメージは少なくて済む

と言った感じ。

自分はパスワードに記号を加える運用は一部でしか実施していないのだが、記号の追加を真剣に考えようと思った。

【参考】
https://www.slideshare.net/ozuma5119/dictionary-attack
https://geeks-world.github.io/articles/J434216/index.html
http://sec-v6.blogspot.com/2012/12/medusa.html

YouTubeでテレビが見れる!?


自分は家にテレビが無い。

理由は幾つかあるが、大きくは人生において無駄な時間を浪費するアイテムになりつつあるのと、テレビが無いことにより、NHKに無駄金を払わずに済むからである。

そんなわけでYouTubeばかりを見ているのだが、一部のYouTubeチャンネルでリアルタイムでテレビと同内容の動画を流すチャンネルがあることが分かった。

こういうサイトはいざと言うときに有難い。

んで、どう見つけるかだが、世の中にはYouTubeライブのリアルタイムランキングを提供するサイトがあり、そこから見つけることができる。

見たいテレビ番組があった場合、放送時間になったら上記サイトにアクセスしてみる。

もしあればラッキーである。

ま、保証された手段ではないため、どうしてもテレビが見たければテレビを買ったほうが早いのだが・・・。

悲報! サイバー攻撃で1万2000件の情報流出(日本経済新聞社)


日本経済新聞社にて不審メールの開封によるマルウエア感染により、社員ら12,000人分の個人情報が詐取された。

想定損害賠償額シミュレータによる今回の損害試算】
約3,600万円

今回の件、詳細はまだ明らかになっていないが、2020年5月8日に情報流出を検知し、5月12日にプレスリリースを行っている点から、対策はかなりしっかりできている印象。

サイバー攻撃の足掛かりは、今回のような不審メールだったり、システムのアップデートサーバが攻められたりするのが主流で、今回は前者であった。

不審メールを足掛かりとしたサイバー攻撃は、マルウェアが既知のものであればアンチウイルスソフトやIPS/IDSによる防御が可能だが、新種のウイルスの場合は防御はほぼ不可能なので、SIEMを活用した早期発見がポイントとなる。

個人的には情報流出をどのようにしてキャッチしたのかが気になる(というか、知りたい)

【参考】
https://cybersecurity-jp.com/news/36422

国別経済指標の情報に簡単にアクセスする方法 【OANDA 国別経済指標】


2020年5月8日の米雇用統計で、非農業部門雇用者数が史上初の-2050万人を記録した。

日本の人口が約1.3億人だから、総人口の6人に1人が失業した計算になる。

ちなみにアメリカの労働人口の8人に1人が現在失業状態にあるという。

ただ、アメリカの雇用は流動的だから、景気が回復するとあっという間に吸収されてしまう。

ところで、このような各国の経済指標に簡単にアクセスできる情報源は無いのだろうか?

色々なニュースサイトがあるが、一番使い勝手が良さそうなのが、FX事業者であるOANDAが提供している国別経済指標である。

グラフになっており、クリックすることで拡大表示ができる点がとても利便性がいい。

こういうサイトを活用して効率よく分析を進めていきたい。

zoom爆弾とは?


武漢ウイルスのパンデミックを受け、教育機関や企業などでリモート会議(イベント)を導入する動きが強まり、Web会議サービスを提供するZoomの会議参会者は2019年12月末の1000万人から2020年3月には2億人を超える人数が利用し、リモート会議のデファクトスタンダードと化している。

私が参加するセミナー類もことごとくオンライン化され、そのすべてにおいてZoomが採用されている。

最近ではZoom飲み会やZoomコンパなるものも出てきているが、その延長線上で「Zoom爆弾」なるものもあり、今回はこれを考察したいと思う。

Zoom爆弾についてはコチラにまとめられている。

当初は主催者側のセキュリティ設定の問題と思い込んでいたのだが、どうもZoomの仕様の問題でもある様だ。

ウォーダイヤリングという言葉を聞いたことがあるだろうか?

語源自体はだいぶ昔にさかのぼるが、社内ユーザー向けのダイヤルアップ用のモデムなどを求めて、無差別にダイヤルアップを繰り返すハッキング(クラッキング)行為のことで、モデムが応答すれば、適当なIDやパスワードを使ってログインを試み、ネットワークに侵入するというものである。

時代の流れでモデム等は無くなったが、最近では、無線LANのアクセス・ポイントを求めて、ノートPCと無線LANカードを使って街中を検索する、ウォー・ドライビングというハッキング方法が存在している。

で、話がそれたが、Zoomの会議単位で発行される識別情報(ミーティングID)はランダムな数字9~11桁で構成されており、ウォーダイヤリングを試みると4%の確率で有効な会議が特定できるらしい。

仮に単純計算で世界で毎日1万件のZoomミーティングが行われているとしたら、400件くらいがハッキングされるということになる。

ちなみにZoom爆弾をくらうとどうなるのか?

YouTubeに参考になりそうな動画があった。


完璧な防御策は無いようだが、会議の性質に応じて対策を実施することは可能な模様。

・参加者同士の個人間チャットが必要なければ「プライベートチャット」を無効化しておく。無効となっている場合、ホストのみ、あるいは全員でチャットが可能。

・ファイル送信の必要がなければファイル送信を無効化しておく。マルウェアがまかれる可能性もある。

・参加者側の画面共有設定が必要なければ共有対象者を「ホストだけ」としておく。

・画面共有は会議開始後も変更できるが、事前にZoomの設定(ミーティングにて(基本))より画面共有の箇所を変更しておくのが良い。

・ホワイトボードなどを使い注釈を行うシーンがあるが、参加者に書いてもらう必要がなければ無効化しておく。

・誤って遠隔操作される可能性を防ぐため、必要がなければ遠隔操作も無効化しておく。

・パスワード有効時も既定で参加リンクがワンクリック参加可能で生成されるため、無効化しておく。

必要な設定を施して有意義なZoomミーティングにしていただきたい。

安全に悪いことをする方法を考える-その2(やられサイトの構築)【XAMPP】

以前、安全に悪いことをする方法として、やられサイトの活用を検討したが、自分で作る場合、どれくらい手間なのだろうか?

最近はAmazon Web Services(AWS)や、Google Cloud Platform(GCP)等のIaaSサービスが充実しており、サーバは簡単に立てられる。

で、上物のアプリケーションだが、最近、XAMPPという便利なものの存在を知った。

XAMPPとは、ウェブアプリケーションの実行に必要なフリーソフトウェアをパッケージとしてまとめたもので、apachefriends.orgから提供されている。

主として開発用あるいは学習用であり、名前の由来は下記から構成されている。

 ・X - Windows、Linux、macOS、Solarisのクロスプラットフォーム
 ・A - ApacheのA
 ・M - MariaDB(旧バージョンはMySQL)のM
 ・P - PHPのP
 ・P - PerlのP

ただ、上記以外にFTPサーバであるFilezillaや、メールサーバであるなども同梱されており、個別にダウンロードをすることなく、XAMPPの管理コンソールでインストールから設定までまとめて行うことができる。

更にXAMPPにはアドオン機能があり、WordPressJoomlaDrupal等、悪名高いCMSも簡単に導入することができる。

まったくもって便利な世の中になったものである。

暗号化ZIPファイルのパスワードが分からなくなった際の対処法 【fcrackzip】


ZIPファイルのパスワードをかけたものの、そのパスワードを忘れてしまい、困ってしまうことは無いだろうか?

そんな時はあきらめるか、正攻法でパスワードクラッキングをするしかない。

パスワードクラッキングの難点は、パスワードが複雑であるほど解読に時間がかかる点である。

パスワードについてはNISC(内閣サイバーセキュリティセンター)が推奨する、英大文字小文字+数字+記号の組み合わせで10桁以上のものを採用した場合、クラッキングツールを用いても約2,785,976,009,000,000,000通りのパターンを試さなければならないため、スパコンでも使わない限りは現実的に厳しいため、潔く諦めたほうが良い。

パスワードが小文字と数字だけで6桁程度であれば、ツールを使うことで解読ができるかもしれない。

ツールは下記を使う

fcrackzip

自分も1回だけパスワードを忘れてしまい、ツールによる解読を試みたが、とてつもなく時間がかかった記憶がある。

本気で解析するのであれば、相応の時間を覚悟したほうが良い。

【参考】
https://otome-pw.hatenadiary.org/entry/20120423/1335146459



優良FX事業者を見分ける方法


爆損系FX YouTuberのJIN氏が2019年1月のフラッシュクラッシュで2500万吹き飛ばした話を聞いて、以前とある筋から優良FX事業者を見分ける方法を教えてもらったのを思い出した。

その方法とは、スワップポイントを見る方法である。

これはスワップポイントが高い=優良事業者という意味ではない。

通常、スワップポイントの絶対値は同じになるはずである。

ところが、FX事業者は利用者に購入してほしいペアに対してスワップポイントを高くつける傾向にあるため、ダメ事業者になればなるほど、買いと売りのスワップポイントが乖離していくというわけである。

早速ある日のスワップポイントの一覧を見てみる。


こう見ると、JIN氏が2500万円吹き飛ばしたヒ〇セ通商はかなりダメな部類の事業者ということになり、JIN氏が1年経っても根に持つのも分かる気がする。

また、この一覧から行くと、「みんなのFX」や「LIGHT FX」が優良事業者と言うことになる。

自分はFX自動売買を行っており、一覧にはない事業者を使っているのだが、裁量トレードを行う際は優良事業者を使いたいと思う。





「JAL NEOBANK」を考えてみる


JALがネット銀行サービス「JAL NEOBANK」を始めたらしい。

「JAL NEOBANK」の銀行口座を作れるのは、「JAL Global WALLET」利用者のみ。

「JAL Global WALLET」はリリース時に導入を検討したものの、イマイチ感が強く、見送った経緯がある。

個人的に何がイマイチだったかと言うと、プリペイド型であるという点。

事前にチャージして両替して現地引き出しだと、「JAL Global WALLET」に半端な残高が残る感じが嫌だなと。

ただ、改めて「JAL Global WALLET」のサイトを見てみると、小数点第2位までの単位で両替できるようなので、イマイチな点は自分の思い過ごしだったらしい。

「JAL Global WALLET」を既に持っている人は「JAL NEOBANK」の口座を追加で作る形になるし、無い人は今後セットで申し込む形となる模様。

んで、「JAL NEOBANK」と、「JAL Global WALLET」の関係が下記。


これまでは「JAL Global WALLET」への入金に難があったのを、「JAL NEOBANK」を用意することでそれを解消させた感じ。

「JAL NEOBANK」は住信SBIネット銀行との協業で行っているため、感覚的には住信SBIネット銀行の機能を一部そぎ落としたものを「JAL NEOBANK」とした感じ。

自分は住信SBIネット銀行をメインで使っているが、メインバンクとして使うには明らかに機能不足なイメージがあるが、「JAL Global WALLET」への橋渡しがメインであれば、まぁよいのかと。

んで、肝心な活用法だが、自分は住信SBIネット銀行をメインにしているため、「JAL NEOBANK」はあまりメリットが無い。

「JAL Global WALLET」だが、最近の円高傾向を鑑みて活用法を思いついた。

それは、円高時の外貨預金である。

たまに旅行の計画は無いのだが、円高で「今海外に行って両替したらレートいいはずなんだけどなー」って思うことは無いだろうか?

「JAL Global WALLET」を活用すれば、円高時にチャージ&旅行予定先の通貨に両替しておくことで、仮に旅行時に円安になったとしても為替リスクをヘッジすることができる。

「JAL Global WALLET」は、円安局面ではあまり活用シーンが無いが円高局面だと為替ヘッジに使える面白いツールに思えてきた。

そうと決まれば早速申し込んでみよう。

【参考】
https://www.bousaid.com/jalのネット銀行サービス「jal-neobank」が登場/
https://クレジットカード比較プロ.xyz/news/20200507001-jalneobank/
https://www.traicy.com/posts/20200427155316/
https://マイルの鉄人.com/jal-neobank
https://tabikazu.com/2020/05/01/jal-neobank-merit/

悲報。愛知県が武漢ウイルス感染者の氏名などをWebサイトで露出


武漢ウイルスの猛威が世界中に広まっている。

感染しないことが一番だが、感染してしまったら生き抜くことが一番である。

そんな武漢ウイルス感染者や濃厚接触者に対する差別的な発言や扱いが増えているらしい。

武漢ウイルスによる肺炎で死亡した男性の遺族は、「お前も感染者か」と聞かれたり、職場で人に避けられたりする事象が出ている。

大の大人でこんな状態だから、当然学校でも差別やいじめが発生している。

愛媛県の小学校では、感染拡大地域との往来があるトラック運転手の児童が、健康状態に問題がないにもかかわらず自宅待機を求められ、入学式や始業式を欠席させられていたようで、4月16日に文部科学省から感染リスクのある仕事に従事する人らへの差別や偏見の防止徹底を求めるよう都道府県教育委員会などに通知を出した。

偶然の一致か、狙ったのか、詳細は不明だが翌月、5月5日に再び愛知県がやらかした。

今度は武漢ウイルス感染者495人分の氏名や入院先などの非公開情報を誤って県のウェブサイト上に掲載したと発表したのだ。

ニュースでは通常ダブルチェックの体制で・・・・と言うことだったが、ダブルチェック以前に機微情報を公開サーバ上で取り扱うという行為が理解を超えている。

想定損害賠償額シミュレータで今回の損害賠償額を試算してみると、約3,300万円と言う結果となった。

今回は愛知県の嫌がらせかオペミスが原因だが、県が差別を助長するのはどうかと思う。

【参考】
https://www.jiji.com/jc/article?k=2020041600706&g=soc
https://www.asahi.com/articles/ASN5552HCN55OIPE007.html
https://www.jiji.com/jc/article?k=2020041601291&g=soc

WindowsのPCで別ユーザのパスワードが分からなくなった場合の対応【Cain & Abel】


自分のWindowsパスワードが分からなくなってしまって困ることは無いだろうか?

上記の結果Windows OSそのものにログインできなくなってしまうと救いようがないが、自分のアカウントとは別に管理者権限を持つアカウントがあり、OSにログイン可能であれば、救う手立てが無いこともない。

悪用厳禁だが、自身のアカウントに対してブルートフォース攻撃を行うことで分からなくなったパスワードが分かる可能性が出てくる。

一般的にはペンテストツールとして用いられるものであるが、その名も、

Cain & Abel

である。

辞書アタックやブルートフォースアタックが可能で、使ってはいけないパスワードを使っているようなケースであれば、数分程度で解析が完了する。

パスワードについてはNISC(内閣サイバーセキュリティセンター)が推奨するように、英大文字小文字+数字+記号の組み合わせで10桁以上のものを推奨したい。



【参考】
https://blog.kawa-xxx.jp/entry/2016/09/24/155451
http://www.byakuya-shobo.co.jp/hj/moh/pdf/moh_p206_p211.pdf

【cain_and_abel_setup_ver4.9.56バックアップ】
※汚染されている可能性あり。インストールはマルウェア感染しても影響のない環境でお願いします。
https://www.dropbox.com/sh/i1fvec875poety4/AAAmC4lea6BZWJQWCPPWBf2Za?dl=0

Webサイト脆弱性スキャンツール【OWASP Zed Attack Proxy(ZAP)】


サイバーセキュリティを一般の人に説明する場合、分かりやすく実在するものに例えて説明することがよくある。

例えば、インシデントレスポンスであれば消防に例える。

火事が見つかった場合に緊急出動して消火を行う。平時は訓練等を通じていつでも出動できるようにする。

インシデントレスポンスも同じでセキュリティインシデントが発生した際には関係者をかき集めて復旧活動を行う。

同じ流れで、セキュリティ業界のキャリアパスを医者に例えるのはどうかと最近考えている。

医者と言っても特定分野のトップガンのような大学病院の医者もいれば、地方の総合病院の医者もいれば、町医者もいる。

セキュリティも幅広い知識が必要となるが、その広さと深さに応じて、大学病院クラスのセキュリティ担当、地方総合病院クラスのセキュリティ担当、町医者クラスのセキュリティ担当と別れるような気がしている。

大学病院クラスのセキュリティ担当はセキュリティ専業ベンダーを指すものと思われる。

地方総合病院クラスと、町医者クラスの分類が悩ましいのだが、有償のツールを使ってそれなりに分析できるのが地方総合病院クラス、無償のツールで必要最低限の分析を行うのが町医者クラスとなるのだろうか?

今日はそんな町医者クラスを満たすのに必要な脆弱性スキャンツールの紹介。

その名も、

OWASP Zed Attack Proxy(ZAP)

OWASPzapはOWASP(Open Web Application Security Projectの略。Webアプリケーションセキュリティの分野で自由に利用できる記事、方法論、ドキュメント、ツール、および技術を作成するオンラインコミュニティ)が開発したWebサイトの脆弱性スキャンツール。

Linux、Windowsで稼働し、日本語版もある。KaliLinuxには標準で搭載されている。

【参考】
OWASP ZAPの基本的な使い方
脆弱性診断研究会(Security Testing Workshop)
IPA安全なウェブサイトの作り方
OWASPWebシステム/Webアプリケーションセキュリティ要件書

ヴァージンアトランティック、2020年5月末までに資金調達ができないと破綻か!?


先日、ヴァージンオーストラリアの破綻がニュースになったが、ヴァージンアトランティックも2020年5月末までに資金繰りの調整がつかないと破綻の危機となる模様。

ヴァージンオーストラリアはオーストラリアの航空会社だが、80%は海外資本となっていることから、オーストラリア政府に見捨てられた格好となっている。

ヴァージンアトランティックはイギリスの企業だが、株式の49%は米デルタ航空が保有しており、イギリス政府が救うかは若干微妙な状況にある。

武漢ウイルスの蔓延が航空業界を蝕んでいる。

早く事態が落ち着くことを祈りたい。

【参考】
https://loyaltylobby.com/2020/04/26/virgin-atlantic-collapses-by-the-of-may-unless-no-new-cash/

vimeoのストリーミング動画を保存する方法【InviDownloader】


会員サイトの動画を保存したいと思うときは無いだろうか?

オフライン環境下でも視聴したいとか、会員サイトで再生させるとよく停止するとか・・・。

有名サイトであれば、それなりにGoogle先生に聞くと教えてもらえるのだが、今回ちょっと苦戦したので、記録がてら残しておきたい。

まず、最初にやってみたのは、お手軽にChromeの拡張機能で実施できそうな、ストリームレコーダー動画ゲッターを使う方法。

ところが、これだと一切動画ファイルを検知してくれない。

悩んだ結果、初手に戻って、対象のストリーミング環境を調査してみることにした。

Chromeを使っている場合、F12ボタンをクリックしてデベロッパーモードにすることで情報を得ることができる。

その結果分かったことは、動画配信にvimeoを使っているということだった。

何でこんなマイナーなサイトを使っているかと言うと、どうも動画のキャプチャが難しい構造になっているようだ。

さらに調べてみると、このvimeo、ストリーミング再生時に、裏の処理として、コンテンツを音声とビデオに分離し、さらにそれぞれを細切れ(1時間のコンテンツでそれぞれ500ファイル程度)にして、順次ダウンロードし、クライアント側で組み立てて再生させる流れとなっている。

会員サイトで再生させるとよく停止するのだが、これで原因が分かった。

細分化されたファイルが何かのタイミングで1つでも失敗すると途中で動画再生が止まってしまっていたのである。

うーん。vimeoは仕組み的にはクソだが、この方法をやられると、確かに動画の入手は難しくなる。

だが、仕組みが分かってしまえば、対策もあるというのが世の常である。

要は細分化されたファイルをダウンロードし、結合すればよいのである。

日本語では解決策が見つからなかったが、英語で解決策が見つかった。

やはり英語には慣れておかないといけないと改めて思った。

んで、解決のためのツールは

InviDownloader

というツール。

丁寧にYouTubeでの解説動画も見つかった。


流行りのストリーミング動画保存ツールに比べると若干手間がかかるが、とりあえず助かった。

【InviDownloaderの入手先】
https://sourceforge.net/projects/invidownloader/

【InviDownloader(1.0.0.4)バックアップ】
https://www.dropbox.com/sh/ibhpq4g3mpl8fzj/AAAck4sw_WRml2YAXhvvKPPaa?dl=0

【オマケ:ストリームレコーダーの旧バージョン(Ver.1.1.3)バックアップ】
https://www.dropbox.com/sh/dtvz4aseuuhmwdq/AADaRY862WxzK9maFEdgE6bNa?dl=0

ビートルズ、『アビィ・ロード』ジャケ写の横断歩道で記念撮影


ザ・ビートルズのラスト・アルバム『アビィ・ロード』のジャケ写を撮ったアビィ・ロード・スタジオ前の「横断歩道」はロンドンでは指折りの観光スポットになっている。

しかも、アビィ・ロード・スタジオの前にはWebカメラが設置されており、あのジャケ写の横断歩道の様子を24時間、世界中のどこからでも見ることができる。

興味のある人はこちらから。

http://www.abbeyroad.com/crossing

↓は自分が行った時の様子(直近24時間以内であれば、ダウンロードもできる)


「BASE FOOD CAMP」に参加してみる


BASE FOODってご存知だろうか?

からだに必要な栄養素がすべて詰まった、「完全食」と言われるパンやパスタを作っている。

昨年参加したお金のEXPO2019で試供品が配られており、それが縁で定期購入している。

商品は大きく2つ

■BASE BREAD

1日に必要な栄養素の1/3を1食(2個)でとることができる、世界初の完全栄養パン。

一般的なロールパンに比べて糖質36%オフ、たんぱく質を27g含有。常温で約1カ月の保存が可能。

保存期間が長い点が個人的にはとても気に入っており、1ヶ月食べる分を毎月定期購入している

■BASE PASTA

1食で1日に必要な栄養素の1/3をとることができる、世界初の完全栄養のパスタ 。

電子レンジでも調理できる点が個人的にはとても気に入っている。

2020年4月にリニューアルされ、電子レンジ調理するとゲロマズになってしまった。電子レンジ調理は現時点事実上不可。

そんなBASE FOODの「BASE FOOD CAMP(ベースフードキャンプ)」なるものに参加してみることにした。

完全栄養の主食を食事に取り入れることで栄養バランスの改善を目指す事がプログラムの趣旨である。

最近、武漢ウイルスの影響で外出自粛が続き、食事量を落としているのだが、栄養バランスが気になりだしており、個人的には渡りに船的な企画である。

Twitter上で管理栄養士がアドバイスをくれたり、Zoomでオンラインランチ会を実施したりと、一応特典も用意されているのだが、自分Twitterやらないんだよな・・・・。

Zoomのオンラインランチ会は機会があれば参加してみたい。

【参考】
https://www.lifehacker.jp/2020/04/211408-commerce-basefoodcamp.html

zoom、暗号化を強化へ(AES256GCMとは)


武漢ウイルスの蔓延で、リモート会議ツールの代名詞となりつつあるzoom。

対面形式のセミナーが軒並み中止となり、ZOOMを使ったセミナーに変更になり、zoom飲み会なんて言う言葉も生まれた。

自宅は3日間の総通信料が10GBを超過すると速度制限がかかってしまうのだが、zoomはそんな速度制限下でもさほど遅延なく、デスクトップ共有されても非常にきれいに見えるので、一体どんな技術使っているのだろうかと大変興味深い。

一方でビデオ会議システムとしてのデファクトスタンダードになるということは、不正アクセスに晒されるリスクも高くなる(攻撃者視点で考えた場合、zoomを攻略したほうが費用対効果が高くなるので、様々なアタックを受け、脆弱性が見つかりやすくなる)

一方、zoomの問題として、録画データがAWS S3バケットに暗号化されずに乗っていて、特定の命名規則で公開されているという話や、アメリカはzoomを中国企業とみなしている等、きな臭い噂が流れている。

そんなzoomが暗号強化の発表をした。

従来はAES256ECBだったものを、AES256GCMに変えるらしい。

暗号強度については過去に一度学習したことがあったが、大分記憶があいまいになっているため、これを機に整理しておきたいと思う。

AESとは

AES(Advanced Encryption Standard)と暗号化アルゴリズムの名称

暗号化アルゴリズムには共通鍵暗号方式と公開鍵暗号方式があり、AESは共通鍵暗号方式に分類される。

その後ろの数字(256)は鍵長を指す。

AESは128、192、256の3パターンが利用できる。

つまりAES256とは、AESの中で最も長い(強度の強い)鍵長となる。

最後のECBやGCMは利用モードを指す

ECBとは

ECBモード (Electronic Codebook Mode)とは、もっとも単純な暗号利用モードである。

メッセージはブロックに分割され、それぞれのブロックは独立して暗号化される。

ECBモードの欠点は、同じ鍵を用いた場合ある平文ブロックを暗号化した結果の暗号文ブロックが常に同じとなることである。

このため、データのパターンを隠蔽することができない。

メッセージの機密性の保持には向かず、暗号化プロトコルにおける使用は推奨されない。

GCMとは

GCM(Galois/Counter Mode)とは、認証付き暗号の一つであり、データ保護と認証(完全性確認)の両方の機能を提供する。

暗号機能(=前出のECBに相当)部分はCTRモード (Counter Mode)が利用されている。

ECBモードが原始的なブロック暗号モードであるのに対して、CTRモードはブロック暗号でもありながら、ストリーム暗号にも属するため、ストリーミングの暗号化に適しているとされる。

認証付き暗号と言うのは、データの秘匿性、完全性、および認証性を同時に提供するためのものであり、暗号データそのものの改善を防ぐために暗号化データに検算用データ(=認証)を付加し、複合化時に改ざんされていないことをチェックするようなものである。

認証についてはGalois modeという、ガロア域 (Galois field)における乗法を用いた計算式を用いている。

暗号化の話は深入りすると数学の世界に入り込んでしまうため、ここまでにしておきたい。

ECBモードがいつからあったか分からなかったのだが、後継であるCBCモードが1976年に開発されているので、ECBモードも同年にあったとしよう。

一方のGCMは2007年にNISTが標準として制定した。

つまり、暗号化方式については石器時代から近代まで一気にバージョンアップされたということだろう。うん。

【参考】
https://www.itmedia.co.jp/news/articles/2004/23/news065.html

指定ドメインの詳細情報が確認できるサイト【host.io】


ドメイン名から使用しているIPアドレスや、そのIPアドレスの所有者、国等を知りたくなることは無いだろうか?

普段はCMANを使っているのだが、これだと結構手間がかかる。

偶然便利なサイトを見つけたので、紹介したい。

それが、

host.io

である。

早速、先日マスクの販売でアクセス過多となったシャープのサイトを調べた見た。

すると、ドメインを入れて検索するだけで、

・IPアドレス

・IPアドレスの所有者

・IPアドレスに紐づく国

・DNS情報

・IPアドレスに紐づけられている他のドメイン

・バックリンク(外部サイトから自サイトに向けられたリンク)ドメイン一覧

・リダイレクト先ドメイン一覧

がぱっとわかる。


退職交渉で難航したら・・・・


会社を辞めたいのに辞めさせてくれない。

そんな事態に遭遇したことは無いだろうか?

ちなみに自分自身は経験が無い。

自分の場合、過去2回転職しているが、最初は丁度異動が発生したタイミングで、前部署の引継ぎが終わったら、新部署の仕事を一切せずそのまま有休消化で転職活動を始めてしまったため、引き留めを受けることは無かった。

2回目は転職先を探し、入社日と、転職旅行(海外)の日程を決め、転職旅行=出国日から逆算して退職日を無理やり区切った。

そのため、個人的には現時点で退職代行サービスを使うシーンがイメージできないのだが、世の中的にはそれなりに需要があるらしい。

そんな退職代行サービスで有名なのが、

EXIT

である。

料金は固定制で、

正社員・派遣:5万円

アルバイト・パート:3万円

となっている。

ちなみに即日退職にも対応しているらしい。

セゾンカードでHotels.comが8~10%OFF!(~2021年4月30日)


「Hotels.com」という宿泊予約サイトをご存じだろうか。

Booking.comやagoda等と並ぶオンラインホテル予約サイトの大手で、10回予約すると、予約した金額の平均値で1泊無料になるとかのサービスを行っている。

モッピー経由で予約するとポイントが獲得できる。

セゾンポイントモール経由で予約すれば永久不滅ポイントが獲得できる。

そんな「Hotels.com」において、セゾンカード会員限定の優待特典が用意されている。

Hotels.comのセゾンカード会員限定ページからアクセスし、専用のクーポンで予約してセゾンカードで支払うと、宿泊施設の客室料金が割引となる。

クーポンは、下記2種類。

・国内ホテル:10%オフ

・海外ホテル:8%オフ

割引の宿泊対象期間は2021年4月30日までなので、コロナが落ち着いたら検討してみてもよいかもしれない。

航空券の燃油サーチャージが3年ぶりに無料化


武漢ウイルスの世界的な蔓延により、人の流れがストップし、経済が急激に悪化している。

その結果、原油については需要が急減し、減産しても供給が上回る状況が続いている。

そして、その影響が燃油サーチャージにも出てきた。

2020年6月発券分からの燃油サーチャージについては、現時点ANAからの発表のみだが、おそらくJALも追随してくると思われる。

■燃油サーチャージ(金額は片道分。往復の場合は2倍となる。)

南朝鮮(韓国)、極東ロシア:500円⇒0円

中国、台湾、香港:2,500円⇒0円

タイ、シンガポール、マレーシア:4,500円⇒0円

北米、欧州、中東、オセアニア:10,500円⇒0円

ただ、燃油サーチャージは下がっても、海外旅行に行くハードルが上がっている。。。

まず武漢ウイルスが収束しないといけない。

次に各国が入国制限を解除しなければならない。

が、景気が急速に悪化しているため、上記を満たしても、旅行に行くだけの経済的余裕が残っているか超絶不安。

自己都合退職を会社都合退職に変えられる!?(特定受給資格者、特定理由離職者)


自宅にはテレビが無く、最近の情報収集はYoutubeがメインで、ときどきラジコでラジオを聴いたり、日本経済新聞を読んだりしている。

テレビって基本偏向報道なので、正確な情報が入ってくることは無い。

あればつけてだらだら視聴してしまうので、人生における生産性低下のツールだと思っている。

テレビをなくすことで無駄に時間を過ごすことは無くなるし、NHKに無駄金を払わなくて済むので個人的には大変オススメである。

個人的にはテレビと銀行はオワコンだと思っている。

前置きが長くなってしまったが、今回はそんなYoutubeから仕入れた、

法律ゆうんは弱いもんの味方やない、知っとるもんの味方するんやシリーズ。

会社を退職した時、雇用保険に入っていれば失業給付金をもらえることは誰でも知っていると思う。

退職の形態には「会社都合退職」と「自己都合退職」があり、会社都合退職の場合はすぐに支給されるが、自己都合退職の場合は3か月間の待機期間が必要となるが、これは一部の人しか知らないと思う。

自分もこのレベルの知識だったのだが、自己都合退職でも3か月間の待機期間が無くすぐに支給されるケースが存在することを知ったので、整理したいと思う。

■特定理由離職者

・派遣社員の派遣期間満了
 (労働者が更新を希望したにもかかわらず、更新されなかった場合に限る

体力の不足、心身の障害、疾病、負傷など
 ⇒うつ病等によるメンタルが原因の退職はコチラに該当

・妊娠、出産、育児など
 (受給期間の延長措置を受けた人に限る)

・配偶者や扶養すべき親族との別居を続けることが難しくなったため
 ⇒いわゆる介護離職が該当

・結婚に伴う転居で、通勤が不可能に、または難しくなったため

■特定受給資格者

・事業所の廃止

・事業所の移転で、通勤が難しくなったため

・労働の実態が、明示されていた労働条件と大きく異なったため
 ⇒長時間残業による退職の場合、該当する可能性アリ

で、どのような長時間残業が特定受給資格者に該当するかと言うと、直近6ヶ月で下記のいずれかを満たすと特定受給資格者を満たせる可能性が出てくるらしい。 

1.どれか1か月で残業100時間超

2.連続する3か月で残業45時間超

3.連続する2か月以上の期間で残業が月平均80時間超

まー、まともな会社だと満たすこと自体が結構困難かもしれない。

逆に言うと、満たしている会社は明らかにブラック企業なので、速やかな転職をおススメしたい。

【参考】
https://www.youtube.com/watch?v=cEjeO10oiUs&t=0s
https://manetatsu.com/2020/03/233994/
https://hataraquest.com/overtime-45-hours

固定資産税・都市計画税の減免


武漢ウイルスの蔓延により、国がいくつかの緊急経済対策を検討してくれている。

ただ、注意したいことは、

法律ゆうんは弱いもんの味方やない、知っとるもんの味方するんや

ということ。

最近意識して情報収集しているつもりなのだが、ウラケン不動産であまり認識していなかった制度の紹介があった。

ちゃんと情報をアップデートしていざと言うときに使えるようにしておきたい。

これは経済産業省が出している経済対策の一つとなる。

ーー
中⼩事業者が負担するすべての設備や建物等の固定資産税及び都市計画税について、
2020年2〜10⽉の任意の3ヶ⽉の売上が前年同期⽐30%以上減少した場合は1/2に軽減し、50%以上減少した場合は全額を免除する。
ーー

売り上げ減少のカウントの具体的な部分が明確になっておらず、追加の情報を待ちたいところである。

【参考】
https://www.youtube.com/watch?v=nWj9I_4IrKU
https://www.rakumachi.jp/news/practical/258635

うつ病治療費の公的支援制度【自立支援医療制度】


「法律ゆうんは弱いもんの味方やない、知っとるもんの味方するんや」シリーズ。

自立支援医療というものをご存じだろうか?

対象は主に身体障がい者や精神疾患と闘う人々

うつ病も対象に入る。

これらは治療が長引くこともあるため、治療費も心配になる。

会社員であれば傷病手当金を受けることで生活は維持できる状態になっていると思うが、それでも3割負担が続くと辛くなると思われる。

そんな時、負担を軽減してくれる公的な制度として「自立支援医療」がある。

適用されると精神疾患の通院医療費が最低1割負担で済が、いくつか条件がある。

・入院医療費は対象外

・公的医療保険が適用されない治療費は対象外

・精神疾患と関係のない治療費は対象外

・有効期間は1年だが、必要な場合は3ヶ月前から更新の申請が可能

・負担額の軽減を受けられるのは「指定自立支援医療機関」での受診等にかかる医療費

患っているものが対象である必要があるのは当然だが、かかりつけの病院も対象になっている必要がある。

また、だれもが1割負担になるわけではない。

市町村民税23万5千円以上の所謂お金持ちは、対象から外れる可能性があるのでご注意を。

【参考】
https://financial-field.com/living/2019/10/09/entry-59489

【悲報】ヴァージン・オーストラリア破綻


武漢ウイルスによる影響が広がりだしてきた。

オーストラリア2番手の航空会社、ヴァージン・オーストラリア(VA)が武漢ウイルスの感染拡大による需要の急減で手詰まりとなり、ついに事実上経営破綻した。

運航は継続しつつ新たなスポンサーを探すようだが、武漢ウイルスの影響による大手航空会社の破綻は、これが世界初のケースとなる。

VAはオーストラリア政府の支援を望んでいたが、VAの株主構成における外国人比率が高く政府は見捨てる形となった模様。

航空業界は固定費に割合が高く、飛行機の運航が止まっても固定費の支出が続くため、このような景気悪化の影響をもろに受ける。

このような事態に備えて政府とは密な連携が求められるのだと思う。

オーストラリア政府はVAは見捨てても、カンタス航空は確実な支援をしてくると思われる。

日本も同様で、JALやANAは政府が確実な支援を行うものと思われる。

外資であるエアアジアや春秋航空はほぼ間違いなく救わないだろう。

スカイマークとかソラシドエアとかスターフライヤーとかはどうなるんだろう?

爪痕がこれ以上大きくならないことを願うばかりである。

【参考】
https://news.nifty.com/article/magazine/12208-639430/
https://www.msn.com/ja-jp/money/news/%EF%BD%A2%E7%BE%BD%E7%94%B0%E5%B0%B1%E8%88%AA%E5%BB%B6%E6%9C%9F%EF%BD%A3%E3%81%AE%E8%B1%AA%E3%83%B4%E3%82%A1%E3%83%BC%E3%82%B8%E3%83%B3%EF%BD%A4%E3%82%B3%E3%83%AD%E3%83%8A%E3%81%A7%E7%A0%B4%E7%B6%BB-%E3%82%AA%E3%83%BC%E3%82%B9%E3%83%88%E3%83%A9%E3%83%AA%E3%82%A22%E7%95%AA%E6%89%8B%EF%BD%A4%E7%B5%8C%E5%96%B6%E4%B8%8D%E6%8C%AF%E3%81%AB%E8%BF%BD%E3%81%84%E6%89%93%E3%81%A1/ar-BB132fsC?srcref=rss
https://voyageavance.global/va-miles-after-bankruptcy

ベネッセ&SB合弁会社「Classi」、学校教育アプリに不正アクセスされ高校生ら約122万人のIDなどが流出


ベネッセと言うと、2014年に発生した3500万件の情報漏洩のイメージが強いが、またベネッセ絡みで情報漏洩事件が発生した。

ベネッセホールディングスとソフトバンクの合弁会社「クラッシー」は2020年4月13日、学校教育支援アプリのシステムがサイバー攻撃を受け、高校生ら約122万人分のIDなどが流出したと発表した。

2020年4月16日時点で具体的に漏れた情報は下記の模様。

 ・Classiを利用するためのID(約122万人分)

 ・パスワードが暗号化された文字列(約122万人分)
  ※パスワード自体が漏れたわけではない。

 ・任意記入の教員の公開用自己紹介文(2,031件)

早速想定損害賠償額シミュレータで損害を試算してみる。

今回はIDの漏洩なので、漏洩件数が多いものの、個人情報は実質漏洩していないと考えられる。

【試算結果】

24億4000万円

不正アクセスによる漏洩は残念だが、パスワードをハッシュ化して保存する等、必要な対策が取られていた点は評価したい。

【参考】
http://mop5542.livedoor.blog/archives/24505367.html
https://snjpn.net/archives/190799


安全に悪いことをする方法を考える(やられサイトの活用)


脆弱性スキャンのツールを知ると、当然それを使ってみたくなるのが人の性と言うものである。

ただ、実際にサービス提供しているサイトに対してスキャンを行うと不正アクセスとされてしまい、下手するとサツのお世話になりかねない。

そこで登場するのがやられサイトである。

世の中にはいくつかやられサイトを提供するサービスがある。

悪いことをする際は、やられサイトを使って安全に行いたい。

1.BadStore

Webアプリケーションの脆弱性だけではなく、OSやWebサーバなどの脆弱性も含まれている。

ISOイメージで配布されていて、Linux(Trinux)とWebサーバ(Apache)がすでにインストールされている。

やられWebアプリケーションも設定済みの状態で入っているので、面倒なインストール作業がほとんどないのがメリット。

デメリットとしては、公式サイトが閉鎖されてしまい、公開されていない事

バックアップを保存してあるので、興味のある方はどうぞ。

BadStoreバックアップ


2.WebGoat

国内では「OWASP Top Ten Project」などで有名なOWASP(The Open Web Application Security Project)が提供しているやられWebアプリケーション。

JavaとTomcatをインストールした環境があれば、WindowsやUNIXなどで動作。

[入手先]
https://owasp.org/www-project-webgoat/

[バックアップ]
https://www.dropbox.com/sh/fiafhx0ycyv8m4q/AAAL80-s8Pkx0GfSiGKi-Gzza?dl=0

3.Hacme Casino

以前はMcAfeeが提供していたのだが、終了した模様。

基本的にはWindows環境で動くらしい。

[バックアップ] 
https://www.dropbox.com/sh/2u9hfla7imgzg0i/AADKF9Mrg1mcA2y3zYP0u2rpa?dl=0

※Hacme Casinoのバックアップは汚染されている可能性あり。最悪マルウェアに感染しても構わない環境でお願いします。

【参考】
https://www.atmarkit.co.jp/ait/articles/0910/23/news112.html