雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
【転載】MITREのATT&CK形式で書かれているUS-CSERTのレポート
この北朝鮮関連のCISAのレポなんだけど、MITREのATT&CK形式で書かれていて活用のお手本になると思いますのでぜひ! Alert (AA20-239A) FASTCash 2.0: North Korea's BeagleBoyz Robbing Banks us-cert.cisa.gov/ncas/alerts/aa…: この北朝鮮関連のCISAのレポなんだけど、MITREのATT&CK形式で書かれていて活用のお手本になると思いますのでぜひ!
Alert (AA20-239A)
FASTCash 2.0: North Korea's BeagleBoyz Robbing Banks
us-cert.cisa.gov/ncas/alerts/aa…
バックアップ
将来のチャリンチャリン収入の具体的な目標を検討してみる
日本財託のオンラインセミナーを聞いていた。
自分もワンルームマンション投資をしていて、重吉社長提唱の「レバレッジの黄金率」を目指して日々がんばることを目標にしているのだが、いかんせん長期の活動になり、たまにさぼり癖が出てしまう。
それを回避すべく、定期的にセミナーを聞いて自身のモチベーションの維持に心がけている。
不動産投資会社を選ぶ時の注意点として、売りに来る営業マンが実際に自身で不動産投資をしているかというのは大切なチェックポイントの一つとなる。
今回のオンラインセミナーの講師は自身ですでに1億円の資産を築いており、説得力がハンパなかった。。。
今回のセミナーでは、「レバレッジの黄金率」実現のためのモチベーション維持に加えて、将来のチャリンチャリン収入の具体的な目標設定に向けたヒントを得られたのが、とても有意義だった。
例えば、65歳で年収1000万を目指すための目標設定として、下記のようなモデルケースが出た。
・不動産:600万円
・金融資産(所謂ペーパーアセット。年金保険はこちらに入る):200万円
・年金:240万円
例えば、自分も同じ目標とした場合、現在自分はどのような状況にいるのかを整理してみる。
【現在の自分のステータス】
・不動産:300万円/年
・金融資産(所謂ペーパーアセット):44万円/年
・年金:170万円/年
あれ、全然足りてない。。。
が、単純計算で、不動産はあと倍保有すれば良いこと、金融資産は今の5倍にすればよいことが何となく分かってきた。
年金については更なる制度改悪が無いことが前提となるが、仮に年金制度が崩壊や消滅しても不動産所得と金融資産の収入が年800万になれば、問題ない気がする。
資産運用ガンバロウ
【転載】付箋紙でPCに張り付けたパスワードが全国放送される
パスワードが全国放送される時代:
オーストラリアで最も高い評価を受けるテレビ局、7News Australiaはどうやら意図せず自身のパスワードを放送してしまった様です。
grahamcluley.com
ズームビデオチャットを介して行われた放送インタビュー中に、カメラマンは間違いなく、彼または彼女が記者の肩越しに驚くべき角度を向けていることを想像しました。
ただし、残念なことに、このビューではインタビュー対象者が画面に表示されただけでなく、ログイン認証情報が詰まったモニターも表示されていました。
画像を拡大すると、CanberraニュースチームのGmailアカウントとZoomアカウントのように見えるものの詳細を含め、多くのユーザーIDとパスワードのように見えるものがわかります。
繰り返しますが、パスワードをコンピュータの画面に貼り付けるのは良い考えではありません。次に、それらのパスワードをテレビのニュースレポートで放送することはさらに悪いことです。
(Graham Cluley記事より引用)※機械翻訳
キタきつねの所感
Zoomでのインタビューでインタビュワー(7News側)の画面を映したカットには、どうやら見えてはいけないものが映っていた様です。@7NewsAustralia I’d be changing passwords????? Isn’t this a security issue. @3AW693 @heidimur. Zoom in to the top corner then top right pic.twitter.com/HknnoGWd7Z— Lee Meadows (@lee_mead) August 9, 2020
「パスワードを付箋紙で貼るな」は、パスワード管理の初歩中の初歩だと思いますが、テレビ局のインタビューワー、カメラマン、ディレクターは、「当たり前の風景」すぎて何も違和感がなかったのだと思います。
一部マスキングした上で写真を拡大してみますが、、、IDとパスワードがほぼ解読できます。
画面の上にはIDとパスワードらしきものが2つ貼られています。左側は内部ネットワーク用と思われる(端末ログイン用かと推測)IDとパスですが、IDとパスがまったく同じです。ID(Username)から推測すると、部署の共通アカウントの様にも見えます。
画面右側はGmailアカウントです。アカウントは一部カメラで切れていますが、パスワードは容易に推測できる安易なものが設定されている様です。
既にこのIDとパスワードの組み合わせは、Twitter上では検証がされていました。しかし、2要素認証が設定されていた様で、Googleがブロックした画像が貼られていました。
画面の下側にも、 IDとパスワードらしきものが貼られています。グラハム氏の記事ではGmailとZoomアカウントらしきものが見えると書かれていましたので、恐らくこちらがZoom用だと思われます。
念のため一部マスキングしますが、こちらも単純なパスワードの様に見受けられました。このZoomアカウントは取材等でも使われるものかと思いますので、この程度のパスワード複雑性である事に怖さを感じます。
もう1つ見つけました。モニターの右側も有効に使っていた様です。こちらは内部ネットワーク向けIDだと思われます。
テレビ局の内部システムに侵入しようと考えているハッカー(APT)であれば、こうした断片的な情報も内部侵害のヒントの1つになるかと思います。
また、そもそもこうしたパスワードの単純さから考えると、システム管理者ですらAdmin/Adminレベルのパスワードである事が推測できますので、7News Australiaは、今回の意図しない認証情報漏えいを機に、認証管理を徹底的に見直すと共に、従業員教育も再実施すべきだと思います。
余談です。セキュリティコンサルをやっていると、視察でパスワードが貼られている事を見つけてしまう事も結構あります。
こうして「大胆に」パスワードをモニター画面に貼るケースだけでなく、キーボードやマウスパッドの裏に見かけるケースもあります。その他、付箋紙ソフトでWindowsを立ち上げたら出てくるケースや、パスワードが掛かってないpasswordファイルがデスクトップに分かりやすく置かれているケースもあります。セキュリティ内部監査などをやられている方は、チェックポイントに入れておくと良いかと思います。
こうしたパスワードを張り付ける事は(担当としては)楽ですが、セキュリティ観点では危険としか言えず、いつか事故が発生する可能性は高いと思います。パスワードは、パスワード管理ソフトを利用や、(肌身離さず持っている)手帳を使って管理する方が良いかと思います。
しかし最も重要なのは、容易に推測できるパスワードを使わない事です。(今回の7News Australiaのケースでは、パスワード強度が相当低いものと見受けました)
参考:■日本人のためのパスワード2.0 ※JPAC様 ホームページ
【2020年9月度】株主優待戦略を考える
あとは証券会社で現物の新規買いと、信用新規売りを立てるだけ。