【転載】MITREのATT&CK形式で書かれているUS-CSERTのレポート

この北朝鮮関連のCISAのレポなんだけど、MITREのATT&CK形式で書かれていて活用のお手本になると思いますのでぜひ！ Alert (AA20-239A) FASTCash 2.0: North Korea's BeagleBoyz Robbing Banks us-cert.cisa.gov/ncas/alerts/aa…: この北朝鮮関連のCISAのレポなんだけど、MITREのATT&CK形式で書かれていて活用のお手本になると思いますのでぜひ！



Alert (AA20-239A)

FASTCash 2.0: North Korea's BeagleBoyz Robbing Banks

us-cert.cisa.gov/ncas/alerts/aa…

バックアップ

将来のチャリンチャリン収入の具体的な目標を検討してみる

 日本財託のオンラインセミナーを聞いていた。

自分もワンルームマンション投資をしていて、重吉社長提唱の「レバレッジの黄金率」を目指して日々がんばることを目標にしているのだが、いかんせん長期の活動になり、たまにさぼり癖が出てしまう。

それを回避すべく、定期的にセミナーを聞いて自身のモチベーションの維持に心がけている。

不動産投資会社を選ぶ時の注意点として、売りに来る営業マンが実際に自身で不動産投資をしているかというのは大切なチェックポイントの一つとなる。

今回のオンラインセミナーの講師は自身ですでに1億円の資産を築いており、説得力がハンパなかった。。。

今回のセミナーでは、「レバレッジの黄金率」実現のためのモチベーション維持に加えて、将来のチャリンチャリン収入の具体的な目標設定に向けたヒントを得られたのが、とても有意義だった。

例えば、65歳で年収1000万を目指すための目標設定として、下記のようなモデルケースが出た。

・不動産：600万円
・金融資産（所謂ペーパーアセット。年金保険はこちらに入る）：200万円
・年金：240万円

例えば、自分も同じ目標とした場合、現在自分はどのような状況にいるのかを整理してみる。

【現在の自分のステータス】
・不動産：300万円/年
・金融資産（所謂ペーパーアセット）：44万円/年
・年金：170万円/年

あれ、全然足りてない。。。

が、単純計算で、不動産はあと倍保有すれば良いこと、金融資産は今の5倍にすればよいことが何となく分かってきた。

年金については更なる制度改悪が無いことが前提となるが、仮に年金制度が崩壊や消滅しても不動産所得と金融資産の収入が年800万になれば、問題ない気がする。

資産運用ガンバロウ

【転載】付箋紙でPCに張り付けたパスワードが全国放送される

パスワードが全国放送される時代:

オーストラリアで最も高い評価を受けるテレビ局、7News Australiaはどうやら意図せず自身のパスワードを放送してしまった様です。

grahamcluley.com

ズームビデオチャットを介して行われた放送インタビュー中に、カメラマンは間違いなく、彼または彼女が記者の肩越しに驚くべき角度を向けていることを想像しました。

ただし、残念なことに、このビューではインタビュー対象者が画面に表示されただけでなく、ログイン認証情報が詰まったモニターも表示されていました。

画像を拡大すると、CanberraニュースチームのGmailアカウントとZoomアカウントのように見えるものの詳細を含め、多くのユーザーIDとパスワードのように見えるものがわかります。

繰り返しますが、パスワードをコンピュータの画面に貼り付けるのは良い考えではありません。次に、それらのパスワードをテレビのニュースレポートで放送することはさらに悪いことです。

（Graham Cluley記事より引用）※機械翻訳

キタきつねの所感

Zoomでのインタビューでインタビュワー（7News側）の画面を映したカットには、どうやら見えてはいけないものが映っていた様です。

@7NewsAustralia I’d be changing passwords????? Isn’t this a security issue. @3AW693 @heidimur. Zoom in to the top corner then top right pic.twitter.com/HknnoGWd7Z

— Lee Meadows (@lee_mead) August 9, 2020

「パスワードを付箋紙で貼るな」は、パスワード管理の初歩中の初歩だと思いますが、テレビ局のインタビューワー、カメラマン、ディレクターは、「当たり前の風景」すぎて何も違和感がなかったのだと思います。



一部マスキングした上で写真を拡大してみますが、、、IDとパスワードがほぼ解読できます。



画面の上にはIDとパスワードらしきものが２つ貼られています。左側は内部ネットワーク用と思われる（端末ログイン用かと推測）IDとパスですが、IDとパスがまったく同じです。ID（Username）から推測すると、部署の共通アカウントの様にも見えます。

画面右側はGmailアカウントです。アカウントは一部カメラで切れていますが、パスワードは容易に推測できる安易なものが設定されている様です。





既にこのIDとパスワードの組み合わせは、Twitter上では検証がされていました。しかし、2要素認証が設定されていた様で、Googleがブロックした画像が貼られていました。





画面の下側にも、 IDとパスワードらしきものが貼られています。グラハム氏の記事ではGmailとZoomアカウントらしきものが見えると書かれていましたので、恐らくこちらがZoom用だと思われます。

念のため一部マスキングしますが、こちらも単純なパスワードの様に見受けられました。このZoomアカウントは取材等でも使われるものかと思いますので、この程度のパスワード複雑性である事に怖さを感じます。





もう１つ見つけました。モニターの右側も有効に使っていた様です。こちらは内部ネットワーク向けIDだと思われます。





テレビ局の内部システムに侵入しようと考えているハッカー（APT）であれば、こうした断片的な情報も内部侵害のヒントの１つになるかと思います。

また、そもそもこうしたパスワードの単純さから考えると、システム管理者ですらAdmin/Adminレベルのパスワードである事が推測できますので、7News Australiaは、今回の意図しない認証情報漏えいを機に、認証管理を徹底的に見直すと共に、従業員教育も再実施すべきだと思います。



余談です。セキュリティコンサルをやっていると、視察でパスワードが貼られている事を見つけてしまう事も結構あります。

こうして「大胆に」パスワードをモニター画面に貼るケースだけでなく、キーボードやマウスパッドの裏に見かけるケースもあります。その他、付箋紙ソフトでWindowsを立ち上げたら出てくるケースや、パスワードが掛かってないpasswordファイルがデスクトップに分かりやすく置かれているケースもあります。セキュリティ内部監査などをやられている方は、チェックポイントに入れておくと良いかと思います。



こうしたパスワードを張り付ける事は（担当としては）楽ですが、セキュリティ観点では危険としか言えず、いつか事故が発生する可能性は高いと思います。パスワードは、パスワード管理ソフトを利用や、（肌身離さず持っている）手帳を使って管理する方が良いかと思います。



しかし最も重要なのは、容易に推測できるパスワードを使わない事です。（今回の7News Australiaのケースでは、パスワード強度が相当低いものと見受けました）



参考：■日本人のためのパスワード2.0   ※JPAC様 ホームページ

【2020年9月度】株主優待戦略を考える

 

2020年9月の株主優待戦略を考える。

自分にとってはJALマイルの獲得が行動の源泉となっているため、プレミアム優待倶楽部の中から対象を絞り込んでいくこととなる。

優待取りで株式を取得して損失を出してしまっては元も子もないので、まずは下記のポイントで絞り込みを実施

①プレミアム優待倶楽部の9月権利確定企業の一覧を確認

　⇒継続保有条件ありやポイント付与終了の企業は脱落

②証券会社のWebサイトにアクセスし、空売りが可能かを確認

　⇒空売りできない銘柄は脱落

③株主優待情報サイトにアクセスし、最も効率の良い投資対象を選定

上記の絞り込みの結果、今回は下記とすることにした。

あとは証券会社で現物の新規買いと、信用新規売りを立てるだけ。

成行で注文を入れるため、見積もりの必要資金額464,500円に対し、注文に際しての必要資金は約600,000円となってしまった。

指値で入れれば資金効率は上がるが、刺さらないと困るので、一旦諦める。

尚、獲得したポイントは500ポイント⇒100マイルに交換可能。

予定通り11,000ポイント獲得できると、2200マイル獲得予定となる。