不正プログラム（不審ファイル）の調査で使えるツール(Process Hacker)

昔、インシデント調査で有用なツールを教えてもらったことがあるので、時間を見つけて残していきたい。

第2段はProcess Hacker

■特徴

・プロセス、サービス、ネットワーク通信などをモニタリングできるタスクマネージャの多機能版

・インストーラ版とポータル版がある

・プロセス目盛の確認、エディット機能

・CPU使用率や通信(送信・受信)を行うプロセスも確認可

■主な利用方法

・プロセスツリーをチェックし不審なプロセスが起動していないか確認

・プロセス内部のメモリ内容を確認し、マルウェアの接続先情報などの情報を取得

■画面レイアウト（Processesタブ関連）

■画面レイアウト（Networkタブ関連）

【参考】
https://shimimin.hatenablog.com/entry/2019/03/17/200323

■入手

ツールはここから入手できます。

本記事投稿時点のバックアップ(Process Hacker 2.39 r124)はこちら

【悲報】サイバー防衛後進国の日本・・・

新聞を読んでいたら悲しい記事が見つかった。

「サイバー防衛　遅れる日本」

まず事実として、サイバーセキュリティに関する日本の民間対策は遅れている。

大きな理由は日本企業の経営層におけるセキュリティリスクの意識の低さにある。

サイバーセキュリティにそもそも関心が無かったり、ただのコストと思っている経営者が多いのである。

NRIセキュア社の調査によると、企業におけるCISO（Chief Information Security Officer 最高情報セキュリティ責任者）の設置率はアメリカやシンガポールが80%を超えているのに対して、日本は50%をちょっと超えた程度である。

残念なことに、民間企業におけるセキュリティ対策の観点では日本はシンガポールに追い抜かれた後進国となっているのである。

民間企業がこんな残念な状況にもかかわらず、今日の新聞では国家レベルでも残念な状況を露呈した。

それが、記事にもある各国のサイバー部隊の隊員数である。

まず最も規模が多いのが10万人を擁する中国。

中国の場合、この10万人にプラスアルファで民間のハッカー集団なども動いているため、相当の規模である。

次が7,000人弱を要する北朝鮮。

北朝鮮はもともと外貨獲得の一環でサイバー攻撃能力を高めており、大規模サイバー攻撃の裏にはよく北朝鮮の存在が噂される。

北朝鮮の陸海空軍は恐らく1日で米国に壊滅させられるだろうが、サイバー攻撃に関しては世界トップクラスの攻撃を備えていると考えられる。

その次がわが同盟国でもあるアメリカ軍で約6,000人。

アメリカは130超のチーム(ざっくり1チーム40～50人!?)に分かれ、保護対象を細分化して任務にあたっている。

その次がロシア軍で約1,000人。

アメリカに比べると1/6程度だが、16年の米大統領選で世論操作をした疑惑もあり、技術はそれなりに高いと思われる。

んで、我が国日本だが、規模はなんと220人。

中国の454分の1の規模であり、

北朝鮮の30分の1の規模であり、

アメリカの27分の1の規模であり、

ロシアの4分の1の規模である。

経済規模では北朝鮮は日本の500分の1しかないのに、サイバー部隊の規模では日本の30倍もあるというのは誠に忌々しき事態である。

自分が何かできるわけではない点が実に歯がゆい。

ユナイテッド航空のマイルの原価が判明！？

好きな航空会社はどこですか？

基本自分はワンワールド派なので、日本航空(JL)、キャセイパシフィック航空(CX)、カタール航空(QR)などが気に入っています。

日本航空はやはりサービスがいいですね。

キャセイパシフィックのビジネスも素晴らしいです（ただしエコノミーはイマイチ）

カタールは機材が素晴らしいですね。

では、嫌いな航空会社はどこですか？

真っ先に出てくるのはユナイテッド航空(UA)とフィリピン航空(PR)である。

ユナイテッド航空の国内線ファーストクラスは間違いなく世界一しょぼい。
（しかもマイル修行で共同運航便の罠にはまり、トラウマ継続中）

フィリピン航空は全般的に機材がしょぼい。
バンコク-マニラ間のフライトで、故障により機内エンターテインメントが一切使えなかった恨みは未だに忘れない。

前置きが長くなったが、そんな僕が大嫌いなユナイテッド航空が、マイレージサービス会員からの将来収益見込みタテに借入を試みているらしい。

端的に言うと、「当社のマイレージサービスの顧客は毎年総額で約〇〇億ドルもお金を使ってくれるから、〇〇億ドル貸して」的な感じらしい。

その中で、ユナイテッドのマイレージサービスの一面を垣間見ることができた。

・会員は全世界で1億人超

・フライト収益の半分以上がマイレージメンバーからのものである

・マイレージサービスの平均会員は30歳から64歳

・マイレージサービスの会員の3分の2近くが年間100,000ドル以上を稼ぐ。

・マイレージサービスの会員の半分はユナイテッドハブ地域外に在住(つまり米国外！？)

・2017年から2019年の間に発行されたマイルは平均6％増加。一方、実際の引き換えマイルは同じ期間に4％のみの増加。

・交換されたすべてのマイルの80％がユナイテッドのフライトで使用。

・全マイルの71％はクレジットカードプログラムによる獲得。

・メンバーがクレジットカードパートナーから15,000マイルを獲得すると、パートナーはユナイテッドからマイルを0.02ドルで購入し、300ドルの利益を得る。

メンバーがそれらのマイルをフライトに引き換えると、マイレージサービス(United MileagePlus)はユナイテッドからチケットを0.01ドル/マイル、又は150ドルで購入する。

ひょんなことからユナイテッドの1マイルの原価が分かってしまった。

■クレジットカード会社等の提携パートナーには1マイル0.02ドル(=2.15円)

■マイレージサービス(United MileagePlus)には1マイル0.01ドル(=1.07円)

ちなみにこのニュースと直接関係あるか分からないが、ユナイテッド航空はNASDAQ100構成銘柄から2020年6月22日に削除されるらしい。

【参考】
https://www.flyertalk.com/articles/united-takes-5-billion-loan-against-mileageplus-user-data.html

東京大学で誤送信による研究者のアドレス流出、操作に熟知するも不注意と不手際重なる（転載）

誤送信で研究者のアドレス流出、操作に熟知するも不注意と不手際重なる（東京大学）:

東京大学大学院教育学研究科は6月10日、誤送信による個人情報の漏えいが判明したと発表した。

これは4月30日に、東京大学大学院教育学研究科附属発達保育実践政策学センターで実施する「新型コロナウイルス感染症流行に伴う乳幼児の成育環境の変化に関する緊急調査ご協力のお願い」のメール及びお詫びのメールを送信した際に、誤ってメールアドレスと一部氏名が他の受信者に見える状態で送信したというもの。

漏えいしたのは研究協力者として登録していた558名のメールアドレスと一部の氏名。なお、現時点で個人情報の不正利用等は確認されていない。

同センターによると、メール送信担当者は操作に熟知し情報教育も受講していたが、不注意と不手際が重なったとのこと。

同センターでは今後、手続きのマニュアルを見直すとともに、複数の教員で相互にチェックする体制を強化し、また人為的ミスが生じにくいシステム構築の実現を目指し、再発防止に取り組む。

【転載】JR東日本、JRE POINTでキャンペーン実施　ポイントプレゼントやグリーン券を500ポイントで交換可など

JR東日本、JRE POINTでキャンペーン実施　ポイントプレゼントやグリーン券を500ポイントで交換可など:

JR東日本は、6月12日から8月31日まで、「JRE POINT ためて、つかってキャンペーン」を開催する。「ためるキャンペーン」では、6月12日から7月10日の期間中に対象サービスを利用した人の中から抽選で1,000 […]

投稿 JR東日本、JRE POINTでキャンペーン実施　ポイントプレゼントやグリーン券を500ポイントで交換可などは TRAICY（トライシー）に最初に表示されました。

後継のパスワード管理ツールを考える

トレンドマイクロのパスワードマネージャがデータ消失してしまったため、パスワードマネージャーの課題を踏まえて後継のパスワード管理ツールの選定を進める。

■有償か無償か

無償版でもいいやつがあるのかもしれないが、自分の大切な情報を預ける以上、必要な対価は払うべきである。

今回も有償版を軸に検討。

ただし、買い切りタイプではなく、月額ベースのサブスクリプションパッケージを検討する

■対応端末

メインはWindows OS(ノートパソコン)だが、ブラウザのアドオンで使えるようになっていれば利便性が上がる。

Chrome対応は必須。

あとはAndroidでも使えれば尚可

■バックアップ機能

必須だけど、サブスクリプションの場合、基本データはクラウド管理なので、あまり気にしなくてもいいかも。

ちなみにトレンドマイクロのパスワードマネージャーはオンライン環境では世代バックアップ等は無い。

PC版のアプリを使うことでデータのエクスポートが手動で可能となる（最近追加された機能だろうか？データ消失事件が起きて調べるまでこの機能のこと知らなかった・・・。）

■オフライン利用

これ、意外に重要。

■自動登録

ID/パスワードを管理ツール上でいちいち手入力していくのはかなり手間なので、自動登録機能はあったほうが良い。

ただ、半自動くらいでいいかな。勝手に登録していく機能だとかえってうざい。

登録のないサイトにアクセスした際に自動で検知して登録有無を確認してくれる感じがいい。

■自動入力

この機能もあると助かる。

ただ、勝手に入力せずに、入力前に確認ダイアログを出してくれるほうがいい。

同一サイトで複数アカウントある時、勝手に入力されると迷惑なのだ。

ちなみにトレンドマイクロのパスワードマネージャーはこの機能が弱い。

具体的には自動入力を期待しているのに、ツールが反応しないというケースがよくある。

■パスワードチェッカー

まー、あってもいいけど、無くても困らない。

パスワードチェッカーで引っかかったところで、サイトの制約上貧弱なパスワードにせざるを得ない時がどうしてもある。

■パスワードチェンジャー

いらない。

パスワードは各サイトごとに異なるものを設定すべきであるが、ある程度パターン化しておけばよいと考えている。

つまり、パスワード管理ツールにすべてを託すのではなく、基本パターンは自分で考え、補助的な位置づけでツールを使うのである。

パスワードチェンジャーなんか使って、トレンドのパスワードマネージャーみたいにデータ消失したら、ショックは図りえないものとなる。

以上、いろいろなチェックポイントがあるが、後はランキング記事等を参考に決めていけばよいと思う。

で、今回選定したのは、

1Password

カナダのスタートアップっぽい感じ。

パスワード管理ツールで検索すると大体ランキングされているので、大丈夫かと思ったのと、個人的に一番の選定ポイントは下記。

「削除されたパスワードも365日間までさかのぼって復元可能」

これが今回選定のポイント。

当然トレンドのパスワードマネージャーにはこんな機能は無い。

ちょっと(余計な)機能が多く、金額も高めだが、ま良しとしよう。

【参考】
https://wired.jp/2020/05/28/coronavirus-quarantine-start-using-password-manager/
https://my-best.com/2909
https://ranking.goo.ne.jp/select/9602

【悲報】トレンドマイクロ　パスワードマネージャーの(自分の)データが消失

パスワード管理については、サイトごとに同じパスワードを使いまわすのではなく、異なるパスワードを設定するのが良い。

しかしサイトごとに異なるパスワードを使っていたら当然覚えられない。

そこで登場するのがパスワード管理ツールとなるのだが、自分はトレンドマイクロ社の「パスワードマネージャー」を使用している。

使い始めてかれこれ7年くらい経ち、細かいトラブルはあったものの、それなりにパスワード管理ツールとして利用できていた。

さすがに7年も使うとデータがたまってくる(その数約400弱)ため、最近データの断捨離を行った。

ここで事件が起きる。

パスワードマネージャーはブラウザ上で管理データの編集を行う。

削除するデータにチェックを入れ、最後に削除ボタンを押すだけのシンプルな処理なのだが、削除対象のデータ複数個所のにチェックを入れ、削除ボタンをクリックすると、しばらく反応が無い。

しばらく待ってからパスワードマネージャーにアクセスると、

すべて消えてる・・・・

とりあえず、サポートに問い合わせてみるか。

7年間パスワードマネージャーを使ってきて、ざっくりとしたアーキテクチャはイメージできているつもりだが、そこから想像するに、復旧は難しいのではと踏んでいる。

恐らく原因は管理画面の機能のバグと想定される。複数選択するときに何かが起きるとまとめて消してしまうのではないのだろうか？

パスワード管理ツールは、ツール自体からの情報漏洩は言語道断である。

一方で今回のようなツールの不具合で誤削除されてしまった場合の対策(利便性!?)も両立できていなければならない。

トレンド社パスワードマネージャーのうたい文句は

「あなたにかわって覚える、守る」

であるが、覚えてもらったものを忘れ去られてしまってはシャレにならない。

こういうインシデントが起きた製品は二度と使えないので、並行して、後継のパスワード管理ツールの検討を進めることにしよう。

【転載】JALが最大1万円の「また旅に出ようクーポン」

JALが最大1万円の「また旅に出ようクーポン」:

JALがコロナ後の「未来の旅に使える」クーポンを配布開始。
1名以上の予約・行き先の指定ナシで使える用途範囲の広いクーポンで、ダイナミックパッケージ（航空券とホテル予約のセット予約）に利用できる。

JAL また旅に出よう

これまで抑えてきた”旅をしたい”気持ちを少しでも多くのお客さまに実現していただくために、特別なクーポンもご用意いたしました。

クーポンは複数あり、最大1万円（10万円以上の予約で利用可能）。
そのほか3万円以上の予約で利用可能な3000円クーポンなどもあり、実質的には「最大10%割引のクーポン」ということになる。

予約期間は6月30日、対象の旅行期間は3月末まで。

予約受付	2020年6月30日
対象旅行期間	2020年7月31日～2021年3月31日

対象期間も広く、割と使いやすいクーポンだなと思います。

クーポン配布範囲

今回のクーポンは一応「お客さま限定クーポン」となっている。
クーポンの雰囲気からして全員に配っていそうな感じもしたが、そうでもないのかな？

上記の特設ページにログインするとクーポンが配布されているか分かるほか、対象者にはメールでのお知らせもきているかと思います。

本当に「お客さま限定クーポン」だった場合、その配布している対象範囲は不明です。

ほい。

そんな感じ。

【転載】AWSの設定ミスで顧客情報が閲覧可能状態に（ケアプロ）

AWSの設定ミスで顧客情報が閲覧可能状態に（ケアプロ）:

予防医療事業と在宅医療事業をプロデュースするケアプロ株式会社は6月4日、同社物流業務の委託先データベースにて顧客情報を第三者が閲覧可能であったことが判明したと発表した。

これは同社の物流委託先が、旧サーバから Amazon Web Service サーバ（AWS）へのデータ移行時に、AWSのストレージにケアプロ社のデータをバックアップとして保管していたが、ストレージを公開設定としていたために第三者が閲覧可能な状態となっていたというもの。ケアプロ社に対し2019年12月11日に、Amazon Web Service から委託先のアカウントの1つが不正利用された可能性について連絡があり、委託先での調査過程で判明した。なお、AWS 及び委託先社内で調査を行ったが不正利用の形跡は無かった。

閲覧可能であったのは、2012年1月18日から2019年12月20日までにケアプロ社でイベント開催した顧客622件のイベント開催場所名、物品送付、返送先住所、物品受渡の担当者名を含む情報。

物流委託先では、クラウドサービスが不正利用されない為にWebサービスが必要最小限の設定になっていること、同じID・PW を他システムで利用しない等見直しを実施、不要なアカウントは即時削除されていることの3点を確認済み。また、全PCから重要情報が漏えいしないよう、ハードディスクが暗号化されていること、全PCにウイルス対策ソフトが導入されていることを確認するとともに、AWS への不正アクセス防御の為に、AWS サポートと連携の上で使用履歴をWeb 画面で確認し、海外で利用されていない事を継続的に確認する。

ケアプロ社では2020年1月9日に、警視庁渋谷警察署生活安全課保安係サイバー担当に経緯を相談済みで、二次被害等が発生した場合には、関係官庁や警察機関と連携を取り対応を進めるとのこと。
《ScanNetSecurity》

1/4貯金と住居費1/10（種銭の作り方）

高橋ダンさんのYouTubeを見ていたら、ウラケンさんの教えと重なる所があったので、ちょっと整理してみたい。

高橋ダンさんの動画の要旨は下記の通り（タイトルがイマイチなのだが思ったよりも良い動画だった。）

・支出における居住費の割合がとても高い

・買い物は通販が良い
　-価格が安い
　-無駄な買い物をしなくて済む

・人生で一番大きなウエイトを占める支出は老後(リタイア後)
　-日本でも年金2000万問題で話題になったが、米国では老後資金として8000万ドル弱が必要とされている。

高橋ダンさんはトレーダーなので、投資が難しいといって、利息0%のタンス預金にするくらいなら、過去の実績で年利10%近くをたたき出しているS&P500に毎月1万円ずつでも投資したほうがいいという結論だった。

高橋ダンさんの動画は、買い物の部分の話がよく理解できなかったのだが、話のポイントは、種銭を作って、それを運用して増やしていかなければいけないということである。

この種銭の作り方で、以前ウラケンさんが動画を出していたのを思い出した。

普段の支出に占める住居費の割合はどこの国も高いようである。

そのため、住居費の目安を、収入の1/10とすることで、種銭を貯めることができるという話をしていた。

また、収入の1/4を同様に種銭に回す。

こうすることで種銭を増やすことができる。

年金制度は信用できない。

それは自分が学生時代の時から認識していた。

んで、そのためにどのような対策をとるか。

最初に取り組んだのは貯金だったのだが、貯金だけでは将来の不安を払しょくできないことが分かり、覚悟を決めて投資の世界に突撃。

当初は国内の投資信託をメインに進めていたが、リスク分散の観点で米国ETFや不動産投資にも対象を広げている。

最近感じているのは、リタイアまでに〇〇〇〇万円貯めるのではなく、リタイアまでに毎月〇〇万円の不労所得が得られる状況を作り出すことである。

コツコツ派の自分としては2023年を目指して種銭を作り、不動産投資を進めていきたい。

また、種銭作成の過程でS&P500等にも投資していきたい。

長期的に右肩上がりでの上昇を期待できる銘柄はVOOしかないらしい。

なので、基本はVOOに投資を続けることとなる。

一方でリーマンショックや武漢ウイルスショックによる一時的な暴落に備え、ヘッジとしてSPXSを持ち、リバランスを行うことで、VOOの平均購入価格を抑え、トータルのパフォーマンスをアップさせることができるかもしれない。

自分の場合、一応家賃は収入の約1/10になっているため、後は1/4を投資に回すべく、コストコントロールの強化を図らねばならない。

断る技術　【エッセンシャル思考】

『エッセンシャル思考』を読んでいるのだが、非常に参考になる。

自分はロングスリーパー系で、6時間睡眠だと足りず、7時間～8時間くらい寝ないと満足しない。

それ故に、3時間睡眠で元気な人がとても羨ましかったのだが、この本を読んで、3時間睡眠で元気な人が哀れに思えるようになった。

何でもかんでもはいはい言って仕事をしている人は、ぱっと見受けが良いように思えるが、仕事を受けている本人にはおそらく何も残らない。

それ故に、自分が注力する領域を意識し、その他の(重要ではない)依頼はどんどん断っていかなければならない。

とはいっても、単に「ノー」と言って断ればよいというわけではなく、ちゃんと断り方というものも当然ある。

本でそんな断り方が紹介されていたので、メモがてら残しておきたい。

■とりあえず黙る

誰かに何かを頼まれたら、少しだけ黙ってみる。

ゆっくり3つ数えてから自分の意見を言う。

慣れてきたら相手が気まずくなって何か言うまでじっと待ってみる。

■代替案を出す

代替案を出して、相手に歩み寄りながら断る。

「今は〇〇で手一杯なんです。終わったら対応させていただきます。1か月後でどうでしょう？」

■予定を確認して折り返す

ついつい「イエス」と言ってしまう人は、この手を使ってまずは時間稼ぎをするのが良い。

いったん時間をおいて考えると、断ることが容易になる。

■自動返信メール

今や多くのメールに装備されているであろう自動返信メールを使うのも一つの方法。

〇〇のため、返信が遅くなる旨だけでも自動返信メールで回答しておくようにすると、苦情や文句はなくなるらしい

■どの仕事を後回しにするか

上司からの仕事の依頼は断りにくい。

機嫌を損ねたら面倒なことになる。

しかし、安請け合いすると結果は悲惨なことになる。

この場合は、上司にトレードオフを求める。

「はい。ではこの仕事を優先でやります。今抱えている仕事のうち、どれを後回しにしますか？」

「今かなりの仕事を抱えているので、これを無理やし差し込むと品質が落ちてしまいます。」

こうすると、たいていの上司は何でも引き受ける”非エッセンシャル思考”のメンバーに仕事を持っていく。

■冗談めかして断る

親しい間柄であれば、冗談めかして断ってしまう

■肯定を使って否定する

喜んで引き受けるふりをして実は断るというテクニックも存在する。

例えば、

「どうぞ僕の車を使ってください。キーはここに置いておきますからね」

というのは、親切な言葉を使いつつも、運転は引き受けないという意思をきっぱりと表している。

■別人を紹介する

「僕は無理だけど、彼は興味を示すんじゃないかな」と、別の人に回してしまう。

【悲報】「フエルモール」への不正アクセスによる個人情報漏えい（ナカバヤシ株式会社）

文具、事務機器、アルバム、家具、事務用品、収納用品など取り扱うオンラインショップである、「フエルモール」にて、不正アクセスによる情報漏洩が発生。

・クレジット情報を含む顧客情報漏洩の可能性がある件数：94件

・クレジット情報を含まない顧客情報漏洩の可能性がある件数：120,000件
　-注文情報
　-購入者情報（氏名/住所/メールアドレス）
　-送付先情報（氏名/住所）

早速、想定損害賠償額シミュレータにて、今回の損害額を試算してみる。

【想定損害額試算結果】
1,454,660,000円

原因が「システムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため」とのことなのだが、該当サイトにおいて、クレジットカード情報が保持されていたのかが少し気になる。

クレジットカード情報の保持が無ければ最低限の対応はクリアできていると考えられる。

クレジットカード情報を保持していない前提で考えると、おそらく決済時に決済事業者につなぐ機能が改ざんされたものと考えることもできる。

こうなった場合の対応としては、万全な対策を施して再開させるのも一つの方法だが、いっそのことサイトを閉じてアマゾンや楽天等のECサイトに移行してしまうのも一つの方法と考える。

【参考】
https://www.nakabayashi.co.jp/news/2020/info/715

サイバー攻撃(攻撃する側)の費用は！？

クラウドが普及して、サーバを立てるにもサーバを買わなくて済むようになり、ストレージを確保するにもストレージデバイスを調達しなくてもよくなった。

企業でもメール等はクラウド化が進んでいると思われる。

クラウドは非常に便利である。

しかし、その利便性は一般のエンドユーザのみならず、サイバー攻撃を行う側にも出ている。

というのも、サイバー攻撃事態もクラウドサービス化されており、サービス提供事業者にコンタクトできさえすれば、低額でサイバー攻撃を委託することができる。

トレンドマイクロの調査では、攻撃のカテゴリごとに下記のような価格でサイバー攻撃の委託が可能な模様。

■DDoS攻撃に必要なBotnetの価格

■標的型攻撃等で用いられるRAT（Remote Access Tool ⇒感染させることで端末の遠隔操作が可能になるマルウェア）の価格

■ランサムウェアの価格

■SMSへのメッセージ送信の価格

金額は米ドル表記だが、法定通貨を使うとどうしても足がつくため、決済は匿名性の高い仮想通貨で行われる。

それにしても金額が安い。

防御する側はそれなりの費用をかけて行っていると思うが、攻撃側のコストが非常に低いことには少し驚いた。

Whois情報の変更履歴を確認する方法　【Domain history checker】

2020年6月2日、コインチェック株式会社より、不正アクセスのプレスリリースが流れた。

コインチェックと言えば、2018年にXEM流出事件があり、社会的信用は地に堕ちた。

その後、マネックスグループの一員となり、セキュリティ対策の強化が取られていた、はずである。

結論から言うと、今回はコインチェックの問題ではなく、コインチェックが利用しているドメイン登録サービス「お名前.com（GMOインターネット株式会社）」に対する不正アクセスであった。

今回はお名前.comの不具合を突いたドメインハイジャックであったわけだが、その解説記事で面白いサービスを見つけた。

それが、

Domain history checker

である。

通常Whois情報は現時点のものしか確認できないが、このサービスを使うと、変更履歴を追うことができる。

【参考】
https://www.onamae.com/news/domain/20200603_1/

百害あって一利なしなサービス【リボ】【サブリース】

リボ払いは恐ろしい。

昔、某カード会社でリボ払いにするとポイントが2倍になるというキャンペーンにつられて、ポイ活がてら、リボ払いにしたことがある。

毎月支払う金額以上をリボ払いの額に設定しておけば大丈夫と最初はタカをくくっていたのだが、何故か月日の経過とともに残債が増えていく。

残債が70万になった辺りで、リボ払いがアリ地獄化していることに気が付き、ボーナス一括払いでリボ残債を清算し、お礼代わりにカードも解約した。

それ以降、クレジットカードの支払いについてはニコニコ現金一括払いを徹底している。

百害あって一利なしだと思うのが下記2つである。

1.クレジットカードのリボ払い

2.不動産賃貸におけるサブリース契約

サブリースはこれまで「契約していてよかった」という声を一度も聞いた事が無い。

特に新築物件の賃貸なんかでサブリース契約を結んでしまう人の話を聞く。

新築物件なので建築当初は放っておいてく賃貸人がつく。

その状況下でサブリース契約を結んでも本来得られる賃料から無駄金を払うだけである。

築年数が経過して客付けが難しくなった辺りでサブリースに助けられるはずなのだが、そういう時に限って一方的に解約を突き付けられる。

これって、存在価値ないよね。

ちなみに自分はリボには引っかかったが、サブリースの魔の手には引っかからずに済んでいる。

ワンルームマンション投資の考え方

まず最初に結論だけ言おう。

新築ワンルームマンション投資は避けるべきである。

理屈は簡単で、新築物件には建築価格に加えて広告宣伝費が乗っかっている。

この広告宣伝費分がそのまま投資に対してデメリットとなるのである。

この広告宣伝費が差っ引かれることもあり、新築物件は登記したとたんに中古となり、2～3割価値が落ちるといわれる理由にもなる。

そのため、ワンルームマンション投資は中古で行うことが必須である。

ちなみに自分が最初に購入したワンルームマンションはあろうことか新築だった(´；ω；`)ｳｩｩ

ウラケンさんの言う即死レベルにはかろうじて至っていないが、現状維持で向こう30年間の収支を試算すると辛い現実が待っている。どこかのタイミングで繰り上げ返済をせねば。。。

一方で私が勝手に師匠と呼んでいる内藤忍氏の考え方に則ると、そこまで悲観的な感じでもない。

この違いは何なんだろうと考えてみたのだが、”事業”として考えるか、”投資”として考えるかの違いのような気がしている。

”事業”として考えているのがウラケンさんで、毎月の家賃を事業収入としてきちんと損益管理を行う。

ちなみにこの前提で不動産投資を考えると、多くの人が一棟モノにチャレンジする理由が何となく分かってくる。区分は非常に効率が悪いのである。

一方、”投資”として考えているのが内藤忍さんで、毎月の家賃を投資補助金のイメージで扱う。

毎月の収支をトントンにさえすれば、区分マンションを賃貸人が買ってくれるという扱いにできるわけである。

異なる考え方であるが、いずれも正解であると思う。

が、中古ワンルームマンション投資を行うのであれば、内藤忍さんの考え方の方が精神衛生上良いかもしれない。

ちなみにワンルームマンション投資で国賊企業からババを引かれないようにするにはどうすればよいのだろうか？

ここで、まともなワンルームマンション投資の際によく聞く金融機関を紹介したい。

基本的にここと提携ローンを組んでいる不動産業者であればハズレの可能性は低くなる（安全である保証はないので注意してください）

【ワンルームマンション投資において個人的にまともだと思っている金融機関】
・ソニー銀行株式会社
・株式会社クレディセゾン
・オリックス銀行株式会社

逆に言うと、上記と提携できていない不動産業者はNGということもできる。

「バカッター」のYouTube版は？

ヒューマンバグ大学を見ていたら、なんか見覚えのある動画だなと。

元ネタの動画を探してみた。

そういえば、ツイッターでおバカな行為を晒す人を「バカッター」、同様にインスタグラムでは「バカスタグラム」と言う。

ではYouTubeでは何というのだろう？

調べてみたものの、良く分からない。

SPAでは単に「YouTuber バカ」と言っているので、これを少しもじって

「ユーチューバカ」

ってどうだろう？

意外と便利なradikoのタイムフリー機能

YouTubeやニコ生等のオンラインメディアに危機感を感じてか、既存メディアも便利なサービスを提供している。

テレビであれば、Tverを活用するることで、1週間以内であれば見逃したテレビ番組を見ることができるかもしれない。

当然テレビを持たない吾輩みたいなのにも助かるサービスである。

ラジオはもっと進んでいる。

radikoを利用することで、ブラウザがあればラジオを視聴することができる。

もはやラジオを視聴するのにラジオはいらない時代になっているのである。

ちなみ最近一番好きなのはTokyo FMのJet Streamである。

が、悩みがあって、あまり聞けていない。

悩みというのは、Jet Streamの前座の番組が高校生向けの番組で、個人的には聞くに堪えないのである。

んで、別の事をしていて聞き逃してしまったり、待ちきれずに眠ってしまったりしていたのである。

ある日、radikoにタイムフリー機能なるものがあることを知った。

radikoはエリアフリー機能なるものを有料で提供しており、これも有料機能だと思っていた。

駄菓子菓子

これ、無料サービスだった。

これでJet Streamがいつでも聞ける♪

不審なショートメールが来た時の対応

先日携帯電話のショートメールに知らない人から連絡が来た。

皆さんも似たような経験ないだろうか？

これは広義でウイルスメールの一種であるため、慎重な対応が求められる。

ちなみに、ショートメール本文にあるリンクに進むとどうなるのだろうか？

結論だけを先に言うと、

1.運送会社や金融機関風の偽サイトに繋がる。

2.画面の案内に沿ってアプリをインストールする(させられる)

3.携帯電話に保存されている連絡先情報が詐取され、新たな不審ショートメールの送信先として使われる。

ということになる。

つまり、送信元の携帯電話番号は被害者の可能性が高い。

折り返し電話しても、当の本人は同様の電話を大量に受けているのでそっとしてあげるのが良い。

どうしても送信元が気になる場合は、下記のようなサイトで送信元の番号を検索してみると良い。

電話番号検索@迷惑電話チェック

ここで検索することで、追加の情報が得られるかもしれない。

今回の場合、下記のような情報が得られた。

基本、この時点でアウトなので、ショートメールは削除してしまってよい。

それでもリンク先が何なのか気になるという方は、代理サイト等を使ってアクセスすることをおススメする。

ちなみに、うっかりアプリをインストールして連絡先情報が詐取されてしまった場合、関係者への謝罪連絡とスマホのOS再インストール、場合によっては携帯番号の変更が必要になる。

くれぐれも取り扱いは慎重に。。。

mp4ファイルの結合方法　【ffmpeg】

以前、vimeoのストリーミング動画を保存する方法として、InviDownloaderを使う方法を見つけたが、今度は保存したファイルを結合したくなった。

いろいろ試した結果、InviDownloaderではできない（音声だけのmp4ファイルと、動画だけのmp4ファイルの結合はできるが、複数ファイルのmp4ファイルの単純結合ができない）らしい。

そこでふと思った。InviDownloaderで加工を行う際、ffmpeg.exeなるものが起動している。

このffmpegを使うと解消できるのではないかと。

google先生で調べると、いくつか方法がヒットし、YouTubeで検索すると解説動画まで出てきた。

無事やりたかったことができました。めでたしめでたし。

【参考】
http://tech.ckme.co.jp/ffmpeg_concat.shtml

【転載】【悲報】NTTコミュニケーションズ（NTT Com）に不正アクセス＆一部情報が外部流出した可能性

エヌ・ティ・ティ・コミュニケーションズ株式会社（NTT Com）は5月28日、同社設備に対し攻撃者から不正アクセスがあり一部情報が外部流出した可能性が判明したと発表した。

これは5月7日に、同社システム主管部門がActive Directoryサーバに対し不正な遠隔操作を試みたログを検知し、同日中に遠隔操作の踏み台となった社内セグメントのAD運用サーバ（サーバA）を緊急停止、その後調査を開始し、サーバAへのアクセス元のBizホスティングエンタープライズ/Enterprise Cloud1.0サービス管理セグメントにある運用サーバ（サーバB）を緊急停止し、社内セグメントのADサーバから外部への通信を全遮断、また、マルウェアと通信する外部サイトとの通信を遮断し、社内サーバ群のアクセスログを解析した結果、不審なアクセスがあり一部情報が流出した可能性が5月11日に判明したというもの。

同社ではその後、不正アクセスによる情報流出の恐れのあるルートがサーバB経由であったためフォレンジック調査を実施、その結果、Bizホスティングエンタープライズ/Enterprise Cloud1.0サービス管理セグメントの工事情報管理サーバ（サーバーC）に不正アクセスされた形跡が判明、サーバCのアクセスログを解析したところ、保管されていたファイル流出の可能性が5月13日に判明した。

なお、侵入経路については、サーバBがあるBizホスティングエンタープライズ/Enterprise Cloud1.0サービス管理セグメントに接続されている海外拠点（シンガポール）への攻撃と侵入をきっかけとして日本のサーバBに到達したことが調査から分かっている。

流出した可能性があるのは、サービス管理セグメントの工事情報管理サーバ（サーバーC）に保存された621社分のサービスに関する工事情報。同社では影響を受けた可能性がある顧客に対し、順次連絡を行う。

同社によると、Bizホスティングエンタープライズ利用中の顧客の環境は新サービスへ移行しており、移行に伴って撤去を控えていたサーバB、海外の運用サーバ、ならびに一部の通信経路が攻撃者の侵入経路として利用されたと推測され、今後は、新サービスへ移行中の設備に対しても物理的な撤去が完了するまでは最新の攻撃手法に対応可能なセキュリティ対策を適用し、また顧客が利用停止される度に不要な通信経路の停止を徹底し、再発防止に努めるとのこと。
《ScanNetSecurity》

【転載】日本はランサムウェア暗号化成功率世界最悪、復旧費用は世界２位の高額（ソフォス）

日本はランサムウェア暗号化成功率世界最悪、復旧費用は世界２位の高額（ソフォス）:

ソフォス株式会社は5月26日、グローバルで実施した調査に関するレポート「The State of Ransomware 2020（ランサムウェアの現状2020年版）」を公開した。

同調査は、欧州、南北アメリカ、アジア太平洋、中央アジア、中東、およびアフリカを含む6大陸26カ国の企業のIT意思決定者5,000人を対象に実施したもの。

日本に関する調査結果では、日本企業の約半分（42％）が過去1年間にランサムウェアによる攻撃を受けており、調査対象のITマネージャーの55％が身代金を支払うことなく、バックアップからデータを復元していた。

また日本は、ランサムウェアによるデータの暗号化を効果的に防止できておらず、ランサムウェア攻撃のデータ暗号化成功率が最も低かった。

さらに日本は、被害を回復するための費用も高額になっており、スウェーデンに続き2位という結果となった。

また、ランサムウェアをカバーするサイバーセキュリティ保険加入状況の調査も行われている。

国別ランサムウェア被害率

国別暗号化前に攻撃を阻止できた比率

国別身代金支払比率

国別復旧費用

青：サイバーセキュリティ保険に加入、オレンジ：ランサムウェアをカバーするサイバーセキュリティ保険に加入「The State of Ransomware 2020」

青：サイバーセキュリティ保険に加入

オレンジ：ランサムウェアをカバーするサイバーセキュリティ保険に加入
《ScanNetSecurity》

【転載】レンタカー大手Hertzが破産

190億ドルの負債を抱える第11章破産保護のためのHertzファイル:

レンタカー大手Hertzは、102年の取引の後、米国で第11章の破産保護を申請しました。

このプロセスは、同社によると、次の手順に従って残します。

「長期の旅行と全体的な世界経済の回復をナビゲートする上で、将来に向けて会社を最も位置付ける、より強固な財務構造」

また、多くの小さなヘルツアウトレット、特にオフ空港のアウトレットはフランチャイズであることを覚えておくことも重要です。

ハーツはまた、このファイリングの影響を受けているドル、スリフティ、ホタルブランドを所有しています。

この数字は驚くべきものであり、同社は約190億ドルの負債(2019年の収益の2倍)と10億ドル以下の現金を持っています。債券保有者が多いため、銀行債務よりも再構築がはるかに困難です。

もちろん、第11章は英国の意味では「レシーバーシップ」ではありません。第11章は事実上停止した取り決めであり、ハーツは資産が債権者によって押収されるリスクなしに事務を再構築するスペースを与えます。

Hertzブランドが消滅するシナリオを想像することは困難です. 一日の終わりに、ブランドは会社が持っている唯一の本当の資産です。

560,000台の車両のヘルツ艦隊を清算する必要がある場合、貸し手はお金のほとんどを回収する必要があります。自動車業界全体が会社を存続させるのは有益ですが、CNNは、レンタカー会社が昨年米国で新車の10%(昨年は170万台)を購入したと報告しました。

もちろん、ハーツの株主にとっては悪いニュースですが、今年はすでに価値の80%以上を失っていましたが、実際には、米国のレンタカー業界はUberとLyft. の発売以来ずっと問題を抱えています。

この記事を読んだりコメントをしたりするには、ここをクリックしてください。修正は、ここに表示されます。最近の記事をすべて見るには、ホームページをご覧ください。

今日ホテルを予約しますか?最高の現在のホテルのプロモーションの概要については、ここをクリックしてください。

新しい報酬クレジットカードをお探しですか?最新のオファーはこちらからご覧ください。

ーー

Car rental giant Hertz has filed for Chapter 11 bankruptcy protection in the US after 102 years of trading. This does NOT include its international operations, so any pre-paid bookings made for non-US locations should be safe – for now.

The process will, according to the company, leave it with:

“a more robust financial structure that best positions the company for the future as it navigates what could be a prolonged travel and overall global economic recovery.”

It is also important to remember that many smaller Hertz outlets, especially off-airport ones, are franchises. These would not be impacted if the company did disappear for good.

Hertz also owns Dollar, Thrifty and Firefly brands which are also impacted by this filing.

The numbers are startling. The company has almost $19 billion of debt (double its 2019 revenue) and under $1 billion of cash. The majority of the debt is secured against its fleet of cars, but Hertz was caught out by clauses which force the company to make cash payments to lenders if second-hand car values fall. The debt is primarily in the form of bonds which require regular repayments and, because of the large number of bondholders, is far harder to restructure than bank debt.

Chapter 11, of course, is NOT ‘receivership’ in the UK sense. Chapter 11 is effectively a standstill arrangement, which gives Hertz breathing space to restructure its affairs without the risk of its assets being seized by creditors.

It is difficult to imagine any scenario in which the Hertz brand will disappear. At the end of the day, the brand is the ONLY real asset that the company has. It does not own any of its cars outright and the only ‘assets’ it has are its customer list and leases on prime airport pick-up locations.

The lenders should recover most of their money if the Hertz fleet of 560,000 vehicles did have to be liquidated, although it is beneficial for the entire car industry to keep the company alive. CNN reported that car rental companies buy 10% of all new cars in the US – 1.7 million vehicles last year. One plan, apparently, is for Hertz to begin selling down its fleet at the rate of 30,000 cars per month to raise funds.

It is bad news for Hertz shareholders, of course, although they had already lost over 80% of their value this year. In truth, the car rental industry in the United States has been in trouble ever since the launch of Uber and Lyft. Many travellers now find it more convenient to use a rideshare service during their travels rather than deal with the hassles of hiring a car.

Click here to read or make comments on this article. Any corrections will appear here. To see all recent articles visit our home page.
Booking a hotel today? Click here for our summary of the best current hotel promos.
Looking for a new rewards credit card? Check out all the latest offers here.

【転載】JALマイルの期限が切れる前に換金する（JAL Global WALLET）

JALマイルの期限が切れる前に換金する（JAL Global WALLET）:

コロナ影響で飛行機に乗れない日々が続いているが、JALでは期限切れを迎えるマイルについて救済策を用意している。
2020年2月から2020年9月末までに期限切れになるマイルについては、1.5倍のeJALポイント(有効期限1年)として積算するというもの。
有効期限をむかえるマイル・e JALポイント・JALクーポンの取り扱いについて

ちなみに会員による「事前登録」が必要。事前登録していない場合は救済されず、単に期限切れで消えてしまう。

（ANAも同様の救済策を実施しているが、そちらは事前登録などは不要）

期限切れになるマイルが救済されるのはありがたい。
しかしeJALポイントは有効期限が1年しかない上に、航空券代にしか使えないのでイマイチ・・・。

そこで今回は、キャンペーンを実施中の「JAL Global WALLET」経由で、換金しておくことにした次第。

そのJAL Global WALLETで、現在1マイル=1.2円としてチャージできるキャンペーンが実施中。期間は5月31日まで。

1マイル=1.2円は、必ずしもお得とは言えない。
しかし航空券にしか使えないeJALポイント(1マイル=1.5円)よりは、クレカとして使えるJAL Global WALLETの方が使いやすいよなぁ、と。

なお、利用するマイル数によって交換率が異なる。
1マイル=1.2円にするには、1万マイルが必要。

このマイルでチャージ特典に申し込むと、10日以内にJAL Global WALLET側に「日本円」としてチャージされる。

今回試したところ、実際には2日後にチャージが完了した。
1万マイルが、1.2万円(日本円)として加算。

とりあえず換金が完了して良かった。
あとはショッピングで利用するか、両替して遊ぶかですね。

なおクレカとしてショッピングに利用する場合、1マイル/200円が付与される。

1万マイルについてはJAL Global WALLETにチャージしたワケだが、端数のマイルについてはそのまま失効させることにした。

先日のその期限切れマイルが、eJALポイントとして積算されたのを確認。

1マイル=1.5 eJALポイントだが、小数点は切り上げ。
2167マイルが期限切れで、3251ポイントが積算されている。

繰り返しになるが、期限切れマイルを救済してもらうには、ユーザーが自分で「事前登録」をする必要があるので注意。

【国賊か！？】ARUHI・アプラス投資不動産不正融資

少し前に話題になった、「かぼちゃの馬車」事件で、スルガ銀行が代物弁済することでやっと一件落着かと思っていたら、別なところで似たような問題が起きていた。

今度はARUHI・アプラスの投資不動産不正融資。

そういえばARUHIはこの疑惑で過去に株価を大きく下げていたような気がする。
(⇒TATERUの件と勘違いでした・・・)

通常不動産投資ローンは個人の与信力を背景にフルローンやオーバーローンを組むため、概ね年収500万円以上のサラリーマンが対象となってくる。

かぼちゃの馬車事件もそうだったのだが、ARUHIも金融機関に提出する資料を改ざんし、年収200万円くらいの低所得者層にも不動産投資マンションを売りつけていたらしい。

やはり企業は信用が第一なので、こういうことをしてしまってはアウトである。

改めて下記の企業を勝手に国賊企業に認定したい。

【国賊企業】
株式会社スマートデイズ
スルガ銀行株式会社
アルヒ株式会社
株式会社アプラス
株式会社TATERU

迷走するダイナースクラブに未来はあるのか！？

サービスの劣化が続くダイナースカード。

2020年2月のマイル積算率の変更を受け、自分はすでに解約済みだが、私が勝手に師匠と呼んでいる内藤忍さんも解約を検討している模様。

やはりマイル積算率の改悪を受け、カード解約者が続出しているのだろうか？

ポイントサイトでは高額ポイントを餌に入会キャンペーンを連発している模様。

ただ、マイラーとして持つメリットが薄くなってしまったカードを、陸マイラーが群がるポイントサイトで募集しても、すぐ解約されてしまい、広告宣伝費の浪費になったりはしないのだろうか？

内藤さんは後継のカードどこにするのだろうか？

「同じ年会費13万ならアメックスプラチナにする」って言ってたな。

ちなみに、自分もアメックスプラチナである。

正しくは、「セゾンプラチナ・ビジネス・アメリカン・エキスプレス・カード」

所謂プロパーカードではなく、提携カードである。

年会費は2万円と、本家プラチナの半額以下である。

にもかかわらず、プライオリティ・パスはちゃんと付帯している。

また、「セゾンマイルクラブ」に加入し、「セゾンクラッセ」を使い倒すことで、JALマイルへの還元率を1.25％にすることができ、JALカードよりもマイル還元率が高いカードにすることができる。

ちなみに年間200万円決済すると、年会費が半額の1万円になる。

カードをステータスで選ぶ時代は終わりました。

カードは中身で選びましょう！

ラタム航空、米裁判所に破産法の適用を申請

ラタム航空、米裁判所に破産法の適用を申請:

2020年5月26日火曜日 4:37 PM 編集部

LATAMエアラインズグループとチリ、ペルー、コロンビア、エクアドル、アメリカの関連会社は5月26日、アメリカ連邦破産法第11条（チャプター11）の適用を申請した。

航空便の運航は継続し、すでに予約済みの航空券やマイル、バウチャーは利用できる。アルゼンチン、ブラジル、パラグアイの関連会社は申請に含まれていない。従業員への給与の支払いは継続される。

新型コロナウイルスの感染拡大の影響に伴うもので、債権者をはじめとするステークホルダーと協力し、債務の削減などにより、事業の継続と転換を図るとしている。つなぎ融資として、カタール航空などの大株主から、最大9億米ドルを調達する。現在の手元資金は約13億米ドルだという。各国政府と協議し、追加の資金調達を目指す。

ロベルト・アルボ最高経営責任者（CEO）は、「前例のない業界の混乱の影響を軽減するために対策を実施してきましたが、最終的に、当社の航空会社グループの将来の正しい基盤を築くためには、この道が最良の選択肢です」とコメントした。声明では、倒産や清算を意味するものではないことを強調している。

英ＬＣＣにサイバー攻撃、９００万人の顧客情報流出（easyJet）

英ＬＣＣにサイバー攻撃、９００万人の顧客情報流出（easyJet）:

イギリスの格安航空会社であるeasyJetは5月20日、同社にサイバー攻撃があり個人情報の流出が判明したと発表した。

同社ではサイバー攻撃を認識後に、フォレンジックの専門家に調査を依頼、関係当局に通知を行った。

フォレンジック調査の結果、約900万人の顧客の氏名とメールアドレス、旅程（出発地の空港と目的地、出発日等）への第三者からのアクセスに加え、2,208人分のクレジットカード情報へのアクセスが判明した。なお、同社がアクセスを受けた情報に顧客の財務情報やパスポート情報は含まれない。

同社によると、サイバー攻撃は非常に巧妙で、攻撃範囲を特定し影響を受けた顧客の特定に時間がかかったとのこと。

同社では対象の約900万人の顧客に対し5月26日までに連絡を行う予定で、Covid-19の発生以来、フィッシングメールのリスクが高まっていることから注意を呼びかけている。

同社では既に、サイバー攻撃を遮断し、システムのセキュリティの強化を行っている。

登録: 投稿 (Atom)