ファイヤー戦略

FIREと聞いて何を連想するだろうか？

日本語的には「火」である。

キリンの缶コーヒー「ファイアー」もある。

英語を多少勉強した人であれば「解雇」も連想できるであろう。

ちなみに今日のFIREはFinancial Independence Retire Earlyの略で、アーリーリタイアメントの略である。

人生100年時代とはいえ、70歳や80歳になっても務め人をするのは嫌である。

そのためには早めに資金計画を立てる必要がある。

ちなみに年金はアテにしてはいけない。そのうち消えてなくなると思ったほうが良い。

また、貯蓄ベースもNGである。以前、72の法則の話をしたが、銀行預金で資産形成は10000%不可能である。

むしろ銀行に預けて資金を膨らませたところで、どこかのタイミングで高コストの投資信託を進められて逆に資産を減らしていくのがオチである。

目指すべき姿は資産〇億円ではなく、月収(不労所得)〇〇万円といった、チャリンチャリン収入の形である。

先日、ウラケンさんが↓な動画を出していたので、是非参考にしたい。

ちなみに40歳セミリタイアは既に不可能なので、自分は55歳をセミリタイア目標にしようと考えている。

実現のためのパーツは「区分マンション投資」「ペーパーアセット」「為替(FX)」で考えている。

■区分マンション投資（現在3つ所有で3つローン中）
・2023年目途に区分マンションCのローンを完済し、収益物件化。
・2024年目途で700～800万の区分マンションDをローンで購入
・2030年目途で区分マンションDのローン完済
・2031年目途で700～800万の区分マンションE、区分マンションFを購入
・2036年目途でマンションE、マンションFのローン完済

■ペーパーアセット
・S&P500：ドルコスト平均法にて毎月積み立て実施（10%をベア型商品に投資し、急落時はベア型商品を売却してナンピン買い）
・日経225：移動平均線大循環分析による資産増大を目指す。
・ペーパーアセット全体の10%以内をめどに金、原油、仮想通貨に投資

■FX
・ループイフダン：USDJPY、EURUSDの2通貨ペアに絞って実施。年利15%を目指し、2030年目途でループイフダン単体の総資産1600万円を目指す。

と、ざっくりと計画を立ててみたものの、区分マンションAと区分マンションBの返済計画が漏れてた。

気が向いたら設計しなおそう・・・。

そういえば、ウラケンさんがオンラインサロンの募集している。

個人的には価値>価格と感じたので、入会してみようと思ってる。

【転載】『脅威インテリジェンスの教科書』を公開しました！

『脅威インテリジェンスの教科書』を公開しました！:

2015年頃に脅威インテリジェンスという概念に出会ってから、色々調べて、講演・ブログで調査結果や自分の考えを公開してきましたが、一度その内容を体系的な資料として整理したいと考え、『脅威インテリジェンスの教科書』という形で執筆・整理したので、公開します。

脅威インテリジェンスの教科書 from Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE

www.slideshare.net

先日公開した金融ISACの講演では、時間制約上、概要しかお話しできませんでした。それぞれの内容について、より詳細が知りたいという方は上記資料をご覧ください。

www.scientia-security.org

資料はいったんダウンロード不可としていますが、コメントを残す（承認機能付きなので公開されません）or メールアドレスに連絡いただければ、お渡しします。

なにかのご参考になれば幸いです。

【転載】マイクロソフトがこっそりWindows 10ファイル回復ツールを作成。その使用方法は？

マイクロソフトは静かにWindows 10ファイル回復ツールを作成しました, 使用方法:

マイクロソフトは、削除されたファイルを回復し、誰にも伝えることを忘れたWindows 10ファイル回復ツールを作成しました。

誰もが誤ってファイルを削除し、その後、彼らはバックアップを持っていなかったことに気づいた。このファイルが重要だった場合は、サードパーティのファイルの回復、または削除されたデータを回復するプログラムを削除解除を使用して幸運を得ることができます。

Windowsスルースウォーキングキャットは最近、マイクロソフトが作成したプログラムを「Windows回復ツール」と呼び出しました。

このツールは、ハードドライブ、USBドライブ、さらにはSDカード上のファイルを削除解除することを可能にするファイル回復プログラムであることを述べています。

"誤って重要なファイルを削除しましたか?あなたのハードドライブをきれいに拭いた?破損したデータをどうするかわからない場合Windows ファイルの回復は、あなたの個人データを回復するのに役立ちます。

マイクロソフトの Windows ファイル回復ツールは、"既定""""""""セグメント"、"署名" の 3 つの動作モードをサポートしています。

これらの各モードは、以下で説明するように、ストレージデバイスから削除されたファイルを別の方法でリカバリしようとします。

既定モード: このモードでは、マスターファイルテーブル (MFT) を使用して、失われたファイルを検索します。デフォルト・モードは、MFT およびファイル・セグメント (ファイル・レコード・セグメント (FRS) とも呼ばれる) が存在する場合に適しています。
セグメントモード: このモードは MFT を必要としませんが、セグメントは必要です。セグメントは、名前、日付、サイズ、種類、クラスター/アロケーションユニットインデックスなど、NTFS が MFT に格納するファイル情報の概要です。
署名モード: このモードでは、データが存在し、特定のファイルタイプを検索する必要があります。小さなファイルには動作しません。USB ドライブなどの外部ストレージデバイス上のファイルを回復するには、署名モードのみを使用できます。

インストールすると、プログラムは winfr.exe と呼ばれるコマンドラインツールとしてインストールされます。

以下では、Windows 10 で winfr ツールを使用する方法のいくつかの例を示しています。

マイクロソフトの Windows ファイル回復ツールの使用方法

Windows 10 ファイル回復ツールを使用するには、まず Microsoft ストアからアプリをインストールする必要があります。

このプログラムには管理者特権が必要なので、インストール後に Windows 10 管理者特権コマンドプロンプトを起動して使用する必要があります。

コマンドプロンプトで、を入力できます。 ウィンフ を押し、Enter キーを押して、使用可能なコマンドのリストを表示します。

ウィンドウズ 10 ファイルの回復ツール

 Windows ファイル回復著作権 (c) マイクロソフト株式会社すべての権利予約バージョン: 0.0.11761.0 ---------------------------------------------------------- usage: winfr ソース ドライブ: 宛先フォルダー [/スイッチ] /r - セグメント モード (NTFS のみ、 ファイル レコード セグメントを使用した回復) /n [filter] - フィルター検索 (既定またはセグメント モード、ワイルドカード、フォルダーの末尾 \) /x - 署名モード (ファイル ヘッダーを使用した回復) /y:[type(ファイル ヘッダーを使用した回復)] /#特定の拡張グループを回復する (署名モードのみ、コンマ区切り) /# - 署名モードの拡張グループとファイルの種類を表示します/ ?- ヘルプテキスト /!- 高度な機能の表示 例 - winfr C: D:\回復目的地 /n ユーザー\[ユーザー名]\ダウンロード\ウィンフC: D:\回復先 /x /y:PDF,JPEG ウィンフ C: D:\回復先 /r /n *.pdf /n *.jpg ユーザーガイドのhttps://aka.ms/winfrhelpを訪問サポート, 電子メールwinfr@microsoft.com

Winfr には、入力して表示できる高度なオプションも含まれています ウィンフル /! .

以下に示す高度なオプションでは、スキャンするセクタ、リカバリの実行方法、特定のファイル拡張子の無効化を指定して、リカバリプロセスを微調整できます。

 Windows ファイル回復著作権 (c) マイクロソフト株式会社すべての権利予約バージョン: 0.0.11761.0 ---------------------------------------------------------- usage: winfr ソースドライブ: デスティネーション フォルダ [/スイッチ] /p:[フォルダ] - 回復ログのデスティネーションを指定する (既定: デスティネーション フォルダ) /a - すべてのユーザー プロンプトを受け入れる /u - 削除されていないファイルを回復する (デフォルト/セグメント モードのみ) /k - システム ファイルを回復する (デフォルト/セグメント モードのみ) /o:a (n)everまたはkeep (b)oth常に (デフォルト/セグメントモードのみ) /g - プライマリデータストリームなしでファイルを回復する(デフォルト: false、 デフォルト/セグメントモードのみ) /e - 拡張除外リストを無効にする (デフォルト/セグメントモードのみ) /e:[拡張] - 特定の拡張子を無効にする(デフォルトの拡張リストは適用されなくなりました)(デフォルト/セグメントモードのみ)/s:[セクタ] - ボリューム内のセクター数(セグメント/シグニチャーモードのみ) /b:bytes - クラスター内のバイト数 (セグメント/シグニチャーのみ) /f:セクター

Windows 10 ファイル回復ツールを使用する場合、ソースドライブ、ドライブファイルの回復、回復するファイルとファイル回復モードを微調整するフィルターを指定する必要があります。

たとえば、'default' モードを使用して、削除されたすべてのを回復する場合などです。D: ドライブ上の JPG ファイルを E: ドライブに復元するには、次のコマンドを使用します。

 ウィンフ D: F: /n.Jpg

'default' モードを使用して、削除されたすべてのファイルを E:\temp フォルダから回復するには、次のコマンドを使用します。

 winfr E: F: /n 'temp'。Png

winfr.exe の例

'segment' モードを使用して、ファイル名に文字列 'statement' が含まれている削除済みファイルを C: ドライブで検索し、E: ドライブにリカバリするには、次のコマンドを使用します。

 ウィンフ C: E: /r /n *ステートメント*

最後に、'署名' モードを使用して C: ドライブから Word 文書 (.docx) を回復するには、次のコマンドを使用します。

 ウィンフ C: D: 回復先 /x /y:DOCX

フォルダ名と一致するフィルタを使用する場合は、ドライブ文字を使用しないでください。

たとえば、ソースドライブを C: に設定し、C:\テストを行う場合は、フィルタを使用します。 /n \テスト\ .

残念ながら、私たちのテストでは、回復されたファイルの多くは実際には使用できませんでした。E: から .txt ファイルをリカバリしようとすると、以下に示すように、回復されたファイルが破損していました。

破損した回復ファイル

私たちは、それがどれだけうまく機能するかを確認するために、実際の回復テストでツールを使用し続けます。

ただし、現時点では、Photorec または Recuva などのツールを使用して、削除されたファイルを回復する方が成功している可能性があります。

--以下原文--

Microsoft has created a Windows 10 File Recovery Tool that recovers deleted files and forgot to tell anyone.

Everyone has deleted a file by accident and then realized that they had no backup. If this file was critical, then you may get lucky using a third-party file recovery, or undelete, program to recover the deleted data.

Windows sleuth WalkingCat recently discovered a program created by Microsoft called the 'Windows Recovery Tool.'

This tool states it is a file recovery program that allows you to undelete files on a hard drive, USB drive, and even an SD card.

"Accidentally deleted an important file? Wiped clean your hard drive? Unsure of what to do with corrupted data? Windows File Recovery can help recover your personal data."

Microsoft's Windows File Recovery Tool supports three modes of operation: 'Default,' 'Segment,' and 'Signature.'

Each of these modes attempts to recover deleted files from a storage device in a different way, as described below.

Default mode: This mode uses the Master File Table (MFT) to locate lost files. Default mode works well when the MFT and file segments, also called File Record Segments (FRS), are present.
Segment mode: This mode does not require the MFT but does require segments. Segments are summaries of file information that NTFS stores in the MFT such as name, date, size, type and the cluster/allocation unit index.
Signature mode: This mode only requires that the data is present and searches for specific file types. It doesn't work for small files. To recover a file on an external storage device, such as a USB drive, you can only use Signature mode.

When installed, the program will be installed as a command-line tool called winfr.exe.

Below we have provided some examples of how to use the winfr tool in Windows 10.

How to use Microsoft's Windows File Recovery tool

To use the Windows 10 File Recovery Tool, you need to install the app first from the Microsoft Store.

As this program requires administrative privileges, once installed, you need to launch a Windows 10 elevated command prompt to use it.

In the command prompt, you can type winfr and press enter to see a list of the available commands.

Windows 10 File Recovery Tool

Windows File Recovery
Copyright (c) Microsoft Corporation. All rights reserved
Version:            0.0.11761.0
----------------------------------------------------------

USAGE: winfr source-drive: destination-folder [/switches]

/r           - Segment mode (NTFS only, recovery using file record segments)
/n [filter]  - Filter search (default or segment mode, wildcards allowed, trailing \ for folder)

/x           - Signature mode (recovery using file headers)
/y:[type(s)] - Recover specific extension groups (signature mode only, comma separated)
/#           - Displays signature mode extension groups and file types

/?           - Help text
/!           - Display advanced features

Example usage - winfr C: D:\RecoveryDestination /n Users\[username]\Downloads\
                winfr C: D:\RecoveryDestination /x /y:PDF,JPEG
                winfr C: D:\RecoveryDestination /r /n *.pdf /n *.jpg

Visit https://aka.ms/winfrhelp for user guide
For support, please email winfr@microsoft.com

Winfr also includes advanced options, which can be viewed by typing winfr /!.

These advanced options, shown below, allow you to fine-tune the recovery process by specifying what sectors to scan, how the recovery should perform, and disabling specific file extensions.

Windows File Recovery
Copyright (c) Microsoft Corporation. All rights reserved
Version:            0.0.11761.0
----------------------------------------------------------

USAGE: winfr source-drive: destination-folder [/switches]
/p:[folder]    - Specify recovery log destination (default: destination folder)
/a             - Accepts all user prompts

/u             - Recover non-deleted files (default/segment mode only)
/k             - Recover system files (default/segment mode only)
/o:[a|n|b]     - Overwrite (a)lways, (n)ever or keep (b)oth always (default/segment mode only)
/g             - Recover files without primary data stream (default: false, default/segment mode only)
/e             - Disable extension exclusion list (default/segment mode only)
/e:[extension] - Disable specific extension(s) (default extension list no longer applies) (default/segment mode only)

/s:[sectors]   - Number of sectors in volume (segment/signature mode only)
/b:[bytes]     - Number of bytes in cluster (segment/signature mode only)
/f:[sector]    - First sector to scan (segment/signature mode only)

When using the Windows 10 File Recovery Tool, you need to specify the source drive, the drive files will be recovered, and any filters that fine-tune what files are recovered and the file recovery mode.

For example, to use the 'default' mode to recover all deleted .JPG files on the D: drive and restore them to the E: drive, you would use the following command:

winfr D: F: /n *.JPG

To use the 'default' mode to recover all deleted files from the E:\temp folder, you would use the command:

winfr E: F: /n \temp\*.PNG

winfr.exe example

To use the 'segment' mode to search the C: drive for deleted files whose filename contained the string 'statement' and recover them to the E: drive, you would use the following command.

winfr C: E: /r /n *statement*

Finally, to use the 'signature' mode to recover Word documents (.docx) from the C: drive, you would use the following command:

winfr C: D:\RecoveryDestination /x /y:DOCX

It should be noted that when using filters that match a folder name, you should leave off the drive letter.

For example, if you set your source drive to C: and want to recover files from C:\ test, you would use a filter of /n \test\.

Unfortunately, in our tests, many of the recovered files were not actually usable. When attempting to recover .txt files from our E:, the recovered files were corrupt, as shown below.

Corrupted recovered file

We will continue to use the tool in real-life recovery tests to see how well it performs.

For now, though, you may have better success using tools like Photorec or Recuva to recover any deleted files.

セキュリティ(安心を提供するため)に必要な要素とは？

@IT主催のIT Security Live Weekを視聴したのだが、川口設計の川口洋氏の話でもう一つ思い出したことがある。

セキュリティはコワイと思われている。

何故か？

・セキュリティは難しく、通常のシステム担当からみると思考のロジックが分からず、とっつきにくい。

・インシデントレスポンスの際、CSIRTには最悪システム停止やネットワーク停止といった、権限を持っている。

1点目は自分がシステムマネジメントを実施していた際のセキュリティ担当に対するイメージである。

一方、セキュリティが仕事のメインとなってから感じるのは、インシデント検知はシステム監視と同じレベルで、システム担当者やユーザーからのタレコミが重要であるという点。

つまり、不安を感じた際に気軽に相談してもらえるような環境にしておかないといけないのである。

んで、そうするためにはどうすればよいか？

ゴキゲンな人

になるのである。

重要性はすごく理解できる。

出来るかな、自分・・・・・。

【悲報】テレワークリスク（テレハラ、テレ鬱）が顕在化

以前、テレワークのリスクについて考察してみたが、それから2か月が経過し、想定通りリスクが顕在化しているように感じている。

特に顕在化しているのがテレ鬱。

政府の緊急事態宣言と強制在宅勤務がセットになったようで、テレハラは見受けられない。

当時はネット上でほとんど記事が無かったが、今は関連記事が容易に、しかも大量に見つかる。

ワンルームで在宅勤務する単身者の苦悩　「まるで独居房」の声も

コロナ禍がもたらすメンタル不全にどう向き合うか

在宅勤務のメンタル危機

在宅勤務でメンタルが危険水域に…会社員27歳を救った意外な“仕事”とは

テレワークで、体やメンタル不調の人が増加中。きちんと自分をケアする方法は？

“テレワークうつ”が急増中？その原因と心をリフレッシュする方法

テレワーク拡大も6割が｢従業員のストレス増加｣企業はメンタルケアが課題

リモートワークによるメンタルヘルスリスク

在宅勤務になった時点でビジネスとプライベートの境界線が溶解するため、ビジネスで受けたストレスがダイレクトにプライベートに影響してくる。

これをうまくコントロールできないとあっという間にメンタルがやられるが、正直上手くコントロールできる人は少数と考えられる。

一方で強制テレワークの導入により、自殺者が減ったとの情報もある。

ただ個人的にはテレワークで助かる人がいる一方で、同じ割合でテレワークによりメンタルをやられる人が出てくると考えている。

つまり、ヤられる人の割合は結局変わらないものとみている。

そう意味では、レジリエンスの強さが必要なのかなと思う今日この頃。

バリューブックスオンライン見学ツアー

チャリボンってご存じだろうか。

ちなみにチャリンコとは一切関係ない。

自宅にある不要になった本を売却して、その売却益を寄付するというものである。

今日本は世界3位の経済大国と言いつつも、衰退しつつあり、海外支援よりも国内の方に目を向ける必要に迫られつつあるが、自分は以前は国際貢献に興味があり、その関連で本でも寄付ができることを知った。

んで、過去に1度チャリボンで寄付を行ったことがあったのだが、そのチャリボンを運営しているバリューブックスさんより、オンライン見学ツアーの案内が届き、先日参加してきた。

武漢ウイルスの蔓延により、”テレワーク”とかいうダサい言葉が流行ったり(自分は”リモートワーク”を推奨)、在宅勤務とか悪い生活様式が広まりつつあるが、セミナー関係がオンライン化されたことは歓迎すべきことだと思う。

バリューブックスは、私にとっても縁もゆかりもある長野県上田市の企業である。

本来見学ツアーはオンサイトで計画されていたとの事であったが、武漢ウイルスの蔓延によりオンライン開催に切り替わり、その結果関東に住んでいても見学ツアーに参加することができた。

興味深かったのは買取査定で届く本のうち、半分は値がつかず、売れる見込みのない本は古紙回収業者に回るということだった。

自分もAmazonで中古本を買うことがあるが、1円で販売されていることもあるので、古本業者から古紙回収業者に行く流れは想定外だった。

ちなみに、買取価格の査定にAmazonが関係しているのは、驚きと言えば驚きだが、冷静に考えればその通りと感じた。

プラットフォーマー(=Amazon)の力はすごいと改めて認識させられた。

古紙回収の話に戻るが、その動画もバリューブックスが公開している。何か文明が否定されているような感じがしてちょっと悲しくなった。

バリューブックスもこの事実に問題意識を感じているようで、実店舗を出して1冊50円で販売したり、書店併設カフェを出してドリンク1杯頼むと1冊本が無料になる等、本が紙くずになるのを防ぐ試行が続けられている。

こういう類の見学ツアーはいろいろな気づきを得られて面白い。

実施する側も企業が抱える問題点や取り組みをエンドユーザーと共有し、巻き込むことで中長期的に自社のファンを増やすことに繋がるのではなかろうか？

少なくとも自分はバリューブックスのファンになったし、Amazonで同じ本をA社が1円、バリューブックスが100円で出されていても、積極的にバリューブックスから購入していきたいと思うようになった。

MITRE ATT&CK No1

アタックNo1ってご存じだろうか？

「だけど涙が出ちゃう。女の子だもン」のフレーズが有名だが、個人的にアニメ自体は見た事が無い。

ま、そもそも1960年代～1970年代のアニメだし、少女ものなので、縁も無い。

話がそれたが、今日はアタックはアタックでもサイバーセキュリティ関連のアタックの話である。

MITRE ATT&CKってご存じだろうか？

これで「マイターアタック」と読む。

MITRE ATT&CKとは、MITRE社が開発している攻撃者の攻撃手法、戦術を分析して作成されたセキュリティのフレームワーク・ナレッジベースである。

尚、MITRE社はアメリカの非営利団体で、CVE(脆弱性識別番号)の管理も行っている。

ATT&CK には、攻撃者の視点で、どんな戦術でどんなテクニックを利用しているのかをマトリックス図として見ることができる。

先日、サイバーキルチェーンの話をしたが、このサイバーキルチェーンとMITRE ATT&CKの”戦術”が関連している。（下図の矢印内のワードがMITRE ATT&CKにおける”戦術”となる）

ちなみにMITRE ATT&CKの全体像が下図。

かなり細かい図になってしまっているが、これは最近のサイバー攻撃における手法の分解結果ともいえる。

サイバーキルチェーンに沿って手法が分類されているとはいえ、数が多すぎてわからないので、MITRE ATT&CKではプラットフォームごとやソフトウェア(マルウェア)ごとに関連する手法が整理されている。

下図がLinuxプラットフォームに関する一覧。

各テクニックの文字列はリンクになっており、クリックすることで下記のような情報を得ることができる。

・攻撃手法についての説明

・この攻撃手法を利用した攻撃グループやツールについての情報

・攻撃の緩和策についての情報

・実際に過去に起こった事例集(Reference)

なので、各プラットフォームの管理者はMITRE ATT&CKを使って該当するプラットフォームの対策強化を行うことができる。

また、MITRE ATT&CKはソフトウェア(マルウェア)ベースでも同様な確認が可能である。

この場合は対象のマルウェアがどのようなテクニックを使ってサイバーキルチェーンの各戦術をクリアしていくのかを調べることができる。

【参考】
https://www.cybereason.co.jp/blog/edr/3113/
https://blogs.mcafee.jp/mitre-attck
https://www.anomali.com/jp/what-mitre-attck-is-and-how-it-is-useful
http://www.intellilink.co.jp/article/column/attack-mitre-sec01.html
https://qiita.com/hikao/items/6b2a3c9247e63f09b010
https://qiita.com/IK_PE/items/201e6b900e0de1d9fc89

サイバーキルチェーンとは

サイバーキルチェーンってご存じだろうか？

ちなみにマイクロソフト(略してマイクソ)のIMEで変換すると、「サイバー着るチェーン」となり、少しイラッとする。

以前はこのイライラに耐えかねてATOKを使っていたのだが、ATOKが暴走して日本語入力が不能になる事件が発生。

イライラを抑えるために有償のソフト使っているのに逆にイライラさせられ、結局イライラするけど無償のマイクソIMEに戻った。

サイバーキルチェーンの話に戻るが、これは、サイバー攻撃を構造化(分解)したもの。

2000年代くらいのサイバー攻撃はいたずら中心だったので、比較的シンプルだったが、
最近のサイバー攻撃はビジネス化されており、目立たず人知れずに機密情報を奪い去っていく。

そのためのプロセスがサイバーキルチェーンだといっても過言ではない。

サイバーキルチェーンの攻撃構造を理解し、各段階の攻撃に対して有効なソリューションを適切に導入することが重要となり、多層防御の考え方にも繋がっている。

■■■■
1. 偵察（例：事前調査）

攻撃対象となる企業へ侵入するために事前調査を行う段階。
（標的型攻撃メールを送るために、標的となる人間の情報を集める段階。）

攻撃者はSNSを使って情報を収集。

役員や従業員はFacebookやTwitter、Instagramなど、さまざまなSNSを利用している場合が多い。

場合によっては、企業のページもSNS上で展開していることもある。

それらの情報を集め、組み合わせることで、標的となる人間を決める。

SNSの情報から人間関係や趣味、普段の行動なども把握できる。

※対策：従業員教育(会社のメアドやSNSを使用しない、プライベートのSNSで所属情報を晒さない)

■■■■
2. 武器化（例：標的型攻撃メールの送付）

標的が決まったら、標的の友人や知人、同僚、上司になりすまして標的型攻撃メールを送付。

添付ファイルを開かせたり、特定のURLをクリックさせたりすることで、マルウェアをダウンロードさせようとする。

偵察段階で得た情報を元に作成されたメールは、標的にとって思わず開いてしまうメールとなっている。

マルウェアは常に実行ファイルであるとは限らず、PDFやWord、Excelといったファイルに扮していることもあり、巧妙に細工されている場合が多い。

※対策：従業員教育(メール訓練の実施)、企業のメール環境に対するアンチウイルス対策の実装

■■■■
3. デリバリ（例：C&C通信の確立）

標的の端末のマルウェアに感染に成功すると、次に攻撃者が侵入するためのバックドアの作成が行われる。

不正なコマンドをリモートで行うためのコマンド＆コントロールサーバ（C&Cサーバ）と呼ばれる、攻撃者のサーバーへの通信を確立する。

C&Cサーバーへの接続が確立されると、攻撃者は自由に企業内のネットワークで行動できるようになる。

※対策：境界防御の強化(次世代FWの導入、認証型プロキシの導入)

■■■■
4. エクスプロイト（例：内部行動）

最初に侵入した端末を足がかりとし、企業の内部ネットワーク構造を把握したり、機密情報を保存している場所を探したりする。

攻撃者は見つからないように慎重に行動する。

この段階は、長いときには数年にも及ぶ場合もある。

企業内のセキュリティソリューションの情報を収集したり、パソコンを含む機器のぜい弱性情報の収集を通じて、さらに侵入範囲を拡大していく。

※対策：端末のパッチ適用徹底、ネットワークのマイクロセグメンテーション化

■■■■
5. インストール（例：高い権限を持つPCへの侵入）

企業の機密情報を保存しているファイルサーバーやデータベースには、アクセスできる端末が限られている場合が多い。

ここでは、より高い権限を持つ端末（本丸）への侵入や、アクセス権限の盗取を行う。

※対策：PCの権限分離(エンドユーザはuser権限とし、Administrator権限はIT部門等での集中管理とする。データベースアクセスを行う端末は業務端末とは物理的にもネットワーク的にも異なる端末とする。とか)

■■■■
6. 遠隔操作（例：情報の盗み出し）

機密情報の盗み出しや改ざん、破壊などを実施。

機密情報を盗み出す場合は、デリバリーの段階で確立したC&Cサーバーへのバックドアを用い、企業内で一般的に利用されるソフトウェアのプロトコルに偽装するなどして、見つからないように送信する。

※対策：無い？(UEBAとかがあると検知できるのかな？)

■■■■
7. 目的の実行（例：痕跡の消去）

最後に、攻撃者は自身の行動した痕跡(マルウェアの行動履歴や、侵入した端末のログファイルなど)を消去する。

仮に企業側が攻撃されていることに気づいても、ログファイルなどの痕跡が残っていないと攻撃者を追跡することが難しくなる。

攻撃者が痕跡を消去することは、自らの行為を知らないようにすることと、仮に知られても追跡できないようにすることを目的としている。

※対策：SIEM導入

昔はセキュリティ対策と言えばアンチウイルスソフトやファイアウォールに代表されるような、侵入を防ぐことに主眼が置かれていた。

ところが、最近ではサイバーキルチェーンを見れば分かるように、侵入防止を重視しつつも侵入後の早期発見にも主眼が置かれている。

【転載】スクート、ノックスクート利用者に半額分を返金へ　航空券やバウチャーなど対象

スクート、ノックスクート利用者に半額分を返金へ　航空券やバウチャーなど対象:

2020年6月30日火曜日 8:33 AM 編集部

会社の清算を決めたノックスクートの予約客に対し、シンガポール航空グループのスクートが、ノックスクートの航空券やバウチャー、クレジットシェルの半額分を返金することを、顧客に送付したメールで明らかにした。

ノックスクートは、バンコクのドンムアン空港を拠点とする航空会社で、タイのノックエアとスクートによる合弁企業として、シンガポール航空が運航していたボーイング777-200型機を使用し、札幌/千歳・東京/成田・大阪/関西〜バンコク/ドンムアン線の日本線3路線を運航していた。スクートは49％を出資している。

通常、航空会社が破産や清算をした場合、航空券は無効となり、返金がされないケースが多い。クレジットカードなどで支払った場合、カード会社が補償するケースはあるものの、出資者が一部を負担する事は極めて稀。返金には手続きが必要となる。ノックエア側からの対応は、現段階で発表されていない。

⇒詳細はこちら

【転載】IIJ、インターネットの最新の技術動向・セキュリティ情報の技術レポート「IIR Vol.47 June 2020」を発行

今号は、定期観測「メッセージングテクノロジー」をはじめ、フォーカス・リサーチ（1）では「農業IoTでのLoRaWAN®普及に向けたIIJの取り組み」、フォーカス・リサーチ（2）では「新型コロナウイルスのフレッツトラフィックへの影響」をご紹介します。

全体（一括）
エクゼクティブサマリ
「定期観測レポートメッセージングテクノロジー」	なりすましメール対策に有効な送信ドメイン認証技術（SPF、DKIM、DMARC）の普及状況を報告し、現在、流通しているフィッシングメールへの対処法についても解説します。更に、昨年開催されたJPAAWG 2nd General Meetingの様子を紹介します。
フォーカス・リサーチ（1）「農業IoTでのLoRaWAN®普及に向けたIIJの取り組み」	IoTの活用分野の一つとして注目されている農業。IIJでは、同分野におけるIoT活用の最大の課題となっている「通信の確保」のために、最新の無線通信技術「LoRaWAN®」を採用した水田センサーを開発するなど、実績を積んできました。ここでは、現場での基地局の設置工事や通信性能の評価などを通じて、私たちが実際に体験し手探りで培ってきたノウハウを掘り下げて解説します。
フォーカス・リサーチ（2）「新型コロナウイルスのフレッツトラフィックへの影響」	2020年3月から2020年5月にかけて、新型コロナウイルスCOVID-19の感染拡大によって、全国の学校が一斉休校となり、在宅勤務が推奨されました。そんな中、家庭でのインターネット利用にどのような変化が見られたのか、またインターネットにどのような影響があったのか、IIJのブロードバンドサービスのトラフィック推移を調査した結果を報告します。

バックアップ

【転載】ノックスクート、取締役会で清算を決議

ノックスクート、取締役会で清算を決議:

2020年6月26日金曜日 9:09 PM 編集部

ノックスクートは、会社の清算を取締役会で決議した。株主も約14日後に行う株主総会で、同様の決議を行う見通し。

ノックスクートは、シンガポール航空グループのスクートと、タイのノックエアが合弁で2014年に設立。ボーイング777−200型機で、バンコクと日本や中国などを結ぶ路線を運航していたものの、経営状況は当初から芳しくなかった。新型コロナウイルスの感染拡大の影響も甚大で、会社の清算を決議した。

すでに、425人の従業員を、タイの労働法に準拠して解雇し、解雇手当が全額支給されている。清算手続きの完了後に、再就職の優遇措置を受けることができるという。

管財人の任命後、さらなる情報が提供されるとしている。

⇒詳細はこちら

【転載】北朝鮮「国産」アンチウイルスソフト製品レビュー

北朝鮮「国産」アンチウイルスソフト製品レビュー:

北朝鮮。インターネット接続の実態さえ不明な国だが、「国産」アンチウイルスソフトが開発され流通しているという。北朝鮮製アンチウイルスソフトおよびその市場はどうなっているのだろう。

　北朝鮮のセキュリティ研究者は少ないながら世界中に存在する。Kaspersky Global Research & Analysis Team の Mark Lechtik 氏と Ariel Jungheit 氏も、北朝鮮のアンチウイルスについて調査研究を続けているプロフェッショナルたちの一人だ。彼らが、それらの製品のうちバージョン違いを含め 6 つのアンチウイルスソフトを解析したレポートを昨冬行われた AVAR 2019 Osaka で公表している。

●北朝鮮がアンチウイルスソフトを国内開発する理由

　北朝鮮でアンチウイルスソフトが製造され流通していることは、多くの人にとって初めて認識させられる事実ではないだろうか。そもそも、国内にアンチウイルスを市販するほど PC やインターネットが普及しているのかというのが第一の疑問だ。Lechtik、Jungheit 両氏の研究によれば、北朝鮮がアンチウイルスソフトを自主開発する背景には「主体思想」が関係しているという。

《中尾真二（ Shinji Nakao ）》

【転載】コスト削減効果の高い内部脅威対策ランキング（日本プルーフポイント）

コスト削減効果の高い内部脅威対策ランキング（日本プルーフポイント）:

日本プルーフポイント株式会社は6月24日、内部脅威による事故等により発生するコストに関する調査レポート「内部脅威による損失グローバルレポート 2020」を発表した。

調査対象は、内部関係者による重大事故を過去に1回以上経験した従業員1,000人以上の北米・ヨーロッパ・中東・アフリカ・アジア太平洋地域のグローバル企業の、ITおよびITセキュリティの担当者約1,000人。

調査によれば内部脅威の60％以上が従業員や委託業者などの過失によるもので、内部脅威が発生すると１社平均年間あたり約12億円（1,145万ドル）の対応コストを要し、各インシデント封じ込めには平均で77日を要した。

主な調査結果は下記の通り。

●内部脅威事故の原因

・従業員または委託業者の不注意や怠慢：60％以上

・悪意を持った内部関係者：23％

●内部脅威事故発生時の年間コスト1社平均

・2018年 866万ドル

・2019年 1,145万ドル（31％増加）

●事故対応費用

・封じ込めに要した日数：90日：1,371万ドル

・封じ込めに要した日数：30日未満：712万ドル

本調査によれば、コスト調査結果をもとに、内部関係者による事故対策の費用対効果のランキングを求めた。それによれば「ユーザー行動分析（UBA)」「特権アクセス管理」「アウェアネストレーニング」「SIEM」などの費用対効果が高く、反対にさもありなんな「第三者機関による厳格な身元調査」「従業員監視」「DLP」などの費用対効果は低かった。

《高橋潤哉（ Junya Takahashi ）》

レポートバックアップ

ハンコと並ぶ無駄な日本文化”PPAP”

@IT主催のIT Security Live Weekがあり、視聴している。

川口設計の川口洋氏の話は面白かった。

セキュリティと直接関係ないのだが、いつか辞めたい日本の無駄な文化としてハンコとPPAPを挙げられていた。

ちなみに、ピコ太郎さんを出しておいて何なんだが、
PPAPはPen-Pineapple-Apple-Penの略ではない。

ここでのPPAPは下記の略である。

P：Pass付ZIP送ります。
P：Pass送ります。
A：Aん(暗)号化
P：Protocol

会社勤めの人であれば例外なくやっているであろう、メール添付ファイルZIP暗号化。

これ、日本固有の文化であることをご存じだろうか？

海外とのやり取りでこんなことすると、かえって不審がられる。

”日本の常識は世界の非常識”の典型の一つである。

しかも、残念なことにセキュリティ的に効果は無い。

武漢ウイルス蔓延を機にハンコ文化が収束に向かうことは歓迎すべきである。

同様に無駄文化のPPAP(ピコ太郎さんじゃないほうね)も何かをきっかけに無くなってほしい。

ちなみに武漢ウイルスとともに蔓延してきた言葉である”テレワーク”だが、個人的には古臭くてどうしても好きになれない。

”リモートワーク”とかもう少しマシな表現はできなかったのだろうか？

【転載】個人情報保護法の改正で押さえるべき4つのポイント（ガートナー）

個人情報保護法の改正で押さえるべき4つのポイント（ガートナー）:

ガートナージャパン株式会社（ガートナー）は6月19日、個人情報保護法の改正を機に、IT／セキュリティ・リーダーが押さえるべき4つのポイントと、取り組むべきアクションを発表した。企業は今回の個人情報保護法改正のポイントや世界的な法規制のトレンドを把握し、セキュリティとプライバシーの観点から必要なアクションを速やかに推進すべきとしている。

4つのポイントは、「個人の権利の在り方」「事業者の守るべき責務の在り方」「データ利活用に関する施策の在り方」「ペナルティの在り方」。

「個人の権利の在り方」では、個人の権利がより尊重され、その幅も拡大される。これは、プライバシーを基本的人権として位置付け「Subject Right (主体の権利)」を重視するEU一般データ保護規則 (GDPR)の考え方に近づく形となっている。企業は個人のプライバシーをより尊重・重視する姿勢が重要になるとしている。

「事業者の守るべき責務の在り方」では、個人情報の漏えい時には、個人情報委員会への報告および本人への通知が義務化される。これもGDPRに近づく動きとなる。セキュリティ・リーダーは、どのような個人情報を取得し、それがどこに流れ、処理、保管され、廃棄されるのかといったフローを把握し、万一の漏えい等を想定したインシデント対応プロセスが機能するかを早期に点検すべきとしている。

「データ利活用に関する施策の在り方」では、Cookieなどの個人関連情報を第三者が個人データとして (つまり個人を識別できるデータとして) 取得することが想定されるときは、本人の同意が得られていることの確認が企業に義務付けられる。また仮名加工情報が新設される。これはデータの利活用が促進される反面、個人情報保護委員会から公表される情報を踏まえ、それに従う必要があるとしている。

「ペナルティの在り方」では、個人情報保護委員会からの命令への違反、同委員会に対する虚偽報告等についての法定刑が引き上げられる。GDPRほどの高額な制裁金には及ばないものの、制裁が行われたときの顧客の信用の失墜や、顧客離れによるビジネスへの負の影響は甚大なものとなる。儲けや利便性のためだけに個人情報を利己的に使い回す企業は、顧客からも社会からも受け入れられなくなるとしている。

《ScanNetSecurity》

不正プログラム（不審ファイル）の調査で使えるツール(apateDNS)

昔、インシデント調査で有用なツールを教えてもらったことがあるので、時間を見つけて残していきたい。

第3段はapateDNS

※apateとは、ギリシャ語で「偽装」の意

■特徴

・DNSレスポンスとして応答される接続先IPアドレスを、任意のIPアドレスに偽装できる。

・実行には管理者権限が必要。

・インシデント調査の観点でいうと、ツールの利用に際してネットワークのリンクアップが必要になるので要注意。

■主な利用方法

・不正な外部URLへの通信発生の有無の確認。

・Process Hackerを組み合わせることで、通信元プロセスの特定が可能

■画面レイアウト

■apateDNSの動き概要

■通信プロセスの特定

・apateDNSとProcess Hackerを併用することで、通信プロセスの特定が可能に(!?)

■入手
https://www.fireeye.com/services/freeware/apatedns.html

バックアップ(ver1.0)はこちら

【転載】歩くとマイルが貯まる「JAL Wellness & Travel」

歩くとマイルが貯まる「JAL Wellness & Travel」:

歩くとマイルが貯まるサービスをJALが発表した。
JAL Wellness & Travel

あらかじめ設定された歩数を達成いただくと、マイルを獲得することができます。

ただし、月額500円の有料サービスとなる。
もしくは400マイル/月の支払いでも可。

月額500円の時点でなかなか厳しい気がするが、マイルはどの程度貯まるのか。

まずは、スマホで計測された歩数でマイルが貯まる。
公式ページのキャプチャをみると、LEVEL2「8000歩」で「1マイル＋抽選券」とある。

歩数でマイルが貯まる

実際のサービスでもこうしたマイル数になるかは不明だが、まぁ規模感としてはこんな感じなんでしょうね。
1日につき6000歩とか8000歩は、普段の生活なら「がんばったら到達できるかな？」というレベル感と思います。

次に、チェックインポイントでもマイルが貯まる。
チェックポイントは国内外に用意され、定期的に更新されるとのことだが、「旅行のお供に」ということだけあって、普段の生活ではなかなか行けないポイントかもしれない。

チェックインポイントで得られるマイル数は、公式サイトのキャプチャによると「2マイル」とか。

ということで、マイル獲得はそれほど大きくない模様。

スポーツクラブ割引とオーディオブック

「JAL Wellness & Travel」は月額500円するが、マイル獲得以外にどんなサービス・特典があるのかというと、オーディオブックとスポーツクラブ割引が要素として大きいのかもしれない。

オーディオブックは、歩きながらナレーターが朗読する本を聴こうというもの。どんな書籍が用意されるかは不明。

「聴き放題サービスではございません」と注意書きがあるので、用意される本の冊数は少ないかも。

インターネットの階層　【Tor】

Googleで検索すると実にいろいろな情報を引っ張ってきてくれる。

Google等で検索できる情報だけでも、十分すぎるが、実はこれはインターネット全体の4％程度の情報でしかない。

インターネットは大きく3つの階層に分かれている。

■Surface Web：誰もがアクセスできる階層。Googleで検索でき、Amazonや楽天市場等の誰でも使えるオンラインショッピングサイト等が該当。

■Deep Web：アクセスが限られた階層。機微情報が管理される仕組みが該当するが、広義ではFaceBook等メンバーでないとアクセスできない情報もここに該当する。

■Dark Web：インターネット版闇市と言った感じ。通常のブラウザではアクセスせず、専用ブラウザと専用の検索エンジンを使用。

Dark Webは闇市だけあって、様々な禁制品を大量に扱っている。

戦後の闇市等はモノは禁制品であっても決済は円を使っていたと思う。

Dark Webでは法定通貨を使わず、仮想通貨で取引が行われる。

こういう世界があることを知るのは面白い。

面白いので覗いてみたいと思った方は事前準備が必要となる。

例えていうののであれば、闇市を見学して楽しんで帰路に就く際、悪い人があなたを悪行のターゲットとして尾行されるのを防ぐための準備だ。

通常のブラウザでWebサイトにアクセスすると、Webサイトにアクセス元の情報が残る。

この情報を隠蔽するために専用ブラウザを使用する。

そのブラウザが

Tor

である。

通常ブラウザでサイトにアクセスすると、サイトに直接アクセスする。

ところがTorブラウザを使用すると、いろいろと迂回してからサイトにアクセスする。

つまり、サイトに残る情報も迂回先の情報が残るため、特定が困難となる。

このツールを使うことで、不審者による追跡を回避することが可能となる。

当然迂回するため、速度は落ちる。

【Torブラウザ入手先】
https://www.torproject.org/

投稿時点のバックアップ(win64-9.5)はこちら

登録: 投稿 (Atom)