【転載】NSAがセキュアな多要素認証を利用するためのガイドラインを公開

NSAがセキュアな多要素認証を利用するためのガイドラインを公開 Selecting Secure Multi-factor Authentication Solutions [PDF] media.defense.gov/2020/Sep/22/20…: NSAがセキュアな多要素認証を利用するためのガイドラインを公開

Selecting Secure Multi-factor Authentication Solutions

[PDF] media.defense.gov/2020/Sep/22/20…

バックアップ

【転載】東証の障害、富士通はケシカラン!～一国の証券取引所のシステムとしてはやはり運用管理のずさん感はぬぐえない～

東証の障害、富士通はケシカラン!

品質どうなってんだ。

全然関係ないですが、cf.takeover.on_panicというパラメータについてNetApp社のサイトを調べました。

すると、リリース日が違うけどタイトルが同じな2つのマニュアルを見つけました。

富士通や東証の人が信じていた挙動

https://megalodon.jp/2020-1021-2016-08/https://library.netapp.com:443/ecm/ecm_download_file/ECMP1210206

Data ONTAP(R) 8.2 High Availability and MetroCluster Configuration Guide For 7-Mode

Part number: 215-07985_A0

May 2013

Enable or disable automatic takeover on panic by entering the following command:
options cf.takeover.on_panic {on|off} on enables immediate takeover of a panicked node. This is the default value. off disables immediate takeover of a panicked node. If you disable this option, normal takeover
procedures apply: if a node panics and stays down without sending messages to its partner for 15
seconds, the partner then automatically takes over the failed node.

→ オフでも15秒後には切り替わるよ!

実際の挙動

https://megalodon.jp/2020-1021-2017-57/https://library.netapp.com:443/ecm/ecm_download_file/ECMP1368831

Data ONTAP(R) 8.2 High Availability and MetroCluster Configuration Guide For 7-Mode

October 2020 | 215-08524_B0

Enable or disable automatic takeover on panic by entering the following command:
options cf.takeover.on_panic {on|off} If the cf.takeover.on_panic option is set to on, a node panic will cause an automatic takeover. If the cf.takeover.on_panic option is set to off, a node panic will not cause an automatic takeover.
You should not turn this option off unless you are instructed by technical support to do so.

→ オフだと切り替わらないぞ! オフにするな!

【転載】資格を保有しているからと言ってプロフェッショナルな行動ができるとは限らない。CISSPしかり、情報処理安全確保支援士しかり。。。

CISSP持っているからといってプロフェッショナルな行動ができるかと言われるとそうでもないということがわかってきた: CISSP持っているからといってプロフェッショナルな行動ができるかと言われるとそうでもないということがわかってきた

【転載】意外と簡単？ フィッシングサイトの発見から通報まで

【やってみた】意外と簡単？　フィッシングサイトの発見から通報まで - 午前７時のしなもんぶろぐ:

今年に入ってからフィッシングサイトの件数・報告数がすごい勢いで増加傾向にあることは当ブログにおいて何度か触れてきましたが、最近私も自力でフィッシングサイトを発見し、関連機関に通報することを始めましたので、やり方をご紹介します。



フィッシング対策協議会　2020/08 フィッシング報告状況より

動機

• 何かセキュリティの分野で世の中の役に立つことしたいなーという漠然とした思い
• 後述のバイブルが公開され、読むうちに「これ自分でもできるんじゃない？」という気分に
• 職業柄フィッシングサイト (メール) の始末には苦労させられており、その恨み (八つ当たり？)

フィッシングサイトの見つけ方

フィッシングサイトの発見にはいろいろな方法があるようですが、特別な知識がなくとも可能な方法に次の２つがあります。

• 
  実際に届いたフィッシングメール (SMS などを含みます。以下同じ。) を調べる
• 
  新規に登録されたドメインを監視し、怪しいものを調べる

前者は簡単ですね。

攻撃者が実際に騙すことを狙って送り付けてきたものなので、それがフィッシングメールであることにさえ気づければ、記載されたリンク先はほぼ間違いなくフィッシングサイトです。

その一方で、メールが来なければ何も始まりません。

私は個人でフィッシングメールを効率よく集める環境を持っていませんので*1、今回はこちらの方式は使っていません。

後者の「新規登録ドメイン」を監視する方法は少し説明が必要かと思います。

なお、「ドメイン」についてはこちらの記事をご参照ください。

am7cinnamon.hatenablog.com

フィッシングサイトに使われるドメインには、次のような特徴があることが多いです。

• 次々に現れ、見つかり次第潰されているものなので、営業中のサイトには登録されてから数日以内の新しいドメインが多い。
• 
  偽装先サービスと同じか、似た文字列が含まれていることが多い。例えば、amazon、annazonn、amazone、amzn、cojpなど。
• 誘導先はたいてい偽ログイン画面なので、account、security、support、login、signin、verify などの文字列が含まれていることも多い。

つまり、数日以内に新しく登録されたドメインの中から、怪しい文字列を含むものを探し出して調べれば、効率よくフィッシングサイトを見つけることができます。

もちろんフィッシングサイトのドメインがわかりやすい文字列を含むとは限らないので、どんなフィッシングサイトでもこの手法で見つけることができるわけではありません。

また、この手法を採るとフィッシングサイトの存在はわかっても「どのように誘導するのか」はわかりません。

一方で、タイミングが合えば実際にメールなどが配信される前に関連機関などへの通報ができることもあり得るでしょう。一長一短ということです。

今回はこちらの「新規登録ドメインを手がかりにする」方法でフィッシングサイトを探します。

DN Pedia

新規登録ドメインを調べるには、DN Pedia というサービスを利用します。

dnpedia.com

英語のサービスですが、使い方はそんなに難しくありません。

Mode：フィッシングサイト探索目的なら ”Contains” (～を含む) でよいでしょう。

Search Word：検索したい文字列を入力します。

Where："Recently Added" (最近登録された)

Duration："Last 2 Days" (直近 2日間。これより古いドメインは撤収していたり有志によって発見済のことが多いです)

さあ、実際に探してみましょう。"Search Word" が肝で、センスの見せ所です。

最初は「amazon」「rakuten」「smbc」など有名でよく詐称されるサービスの名前をそのまま打ち込んでみるといいでしょう。これだけでも怪しいドメインがたくさん出てくるはずです。

微妙に変えてある場合も多いので、より短い部分で検索するのも手です。例えば「rakutcn.～」というドメインは一見して楽天詐称っぽいですが、「rakuten」で検索すると引っかかりません。「raku」で検索すると引っかかります。

さて、今回は「co-jp」で検索してみました。



「co-jp」で検索した様子



…………。

怪しいのがいっぱい出てきましたね……。

日本国内の企業を表すトップレベル／セカンドレベルドメイン「co.jp」と似ていて見間違えそうなドメインをわざわざ登録しているわけですから、どのドメインも真っ当ではなさそうです。

そのようなわけでいろいろ見てみたのですが、すでに有志によって発見・通報済だったり、サイトが存在しなかったり *2 するので、新しいフィッシングサイトとして確認できるもの自体はそれほど多くなかったりします。

今回は、下から 3番目のドメイン「account-co-jp-user[.]xyz」が生きていることを確認できました。

サイトを確認

さて、実際にアクセスしてみましょう。

大前提として、フィッシングサイトらしきサイトが現れても、絶対に本物の情報を入力しないでください。

本物の情報を渡したら、フィッシングに引っかかったのと何も変わりません。

 また、素性の良くないサイトなのは間違いないので、マルウェアなどが仕掛けられていることもないとはいえません。

専用の仮想マシン (マルウェアに感染しても復元が比較的容易) 内のブラウザからアクセスしたり、aguse Gateway のような代理アクセスサービスを用いた方が安全です。

gw.aguse.jp

 aguse のようなサイト調査に便利な Web サービスについては、後日まとめて記事にする予定です。

 以上の前提を踏まえて行ってみましょう。

実際に調査した 9/21 深夜時点では、特に警告など出ませんでした*3。未知のフィッシングサイトの可能性大です。



偽ログイン画面



はい。これがフィッシングサイトです。

ドメイン名だけでは何を詐称するサイトか判然としませんでしたが、Amazon.co.jp であることがわかりました。

ちなみに本物の Amazon.co.jp のログイン画面はこちらです。



本物ログイン画面



サイトの外観自体は極めてそっくり、というかフィッシング側が本物を丸パクリしているので似ていて当たり前なんですけどね。

見た目に騙されてはいけません。

•  ドメインが正規の「amazon.co.jp」ではない
  
• アドレスバーの鍵マークに赤線が入っていることからわかるように、HTTPS での接続ではない*4
  

ことから、完全に偽サイトであると断定してよいでしょう。

 これで無事「フィッシングサイトを発見した」ことになり、通報するにはこれで十分なのですが、せっかくですのでもうちょっと遊んでみましょう。

適当にイジる

※安全を考えるとこれ以降は実際にはやらない方が無難です

挙動を確かめるという名目のもとに、日ごろの恨みを込めてフィッシング犯のデータベースを汚染してやります。



メールアドレス、パスワード入力



たった 1桁のパスワードでログイン (？) できるまともな通販サイトがあるわけないので、これも偽サイトであることの証拠になりますね*5。



ログイン後の画面①



「更新するまでアカウントにアクセスできません」と脅して全部入力させようという魂胆のようです。

この辺で「こんなにいろいろ入力させるなんておかしくないか？」と気づけたら、直ちに Amazon のパスワード変更すれば助かるかもしれません。



ログイン後の画面②



ちょっと気の利いたフィッシングサイトでは、有効期限やカード番号の実在性を確認して異常値の場合は差し戻すこともあるのですが、今回のは特にそうした工夫はありませんでした。



ログイン後の画面③



なんとメールアカウントのパスワードまで聞いてきました。通販サイトがメールアカウントのパスワードを要求する理由がどこにあるというのでしょうか。

メールアカウントが乗っ取られるとアドレス帳を盗まれたりそこからスパムメール (フィッシングやマルウェア付きも含む) を送られたりして関係ない人にも大迷惑をかけかねません。

絶対に回避しなければなりません。

とりあえずパスワードは「1」で。



おめでとう



おめでとうだそうです。殴りたくなりますね。

この後間もなく本物の Amazon へリダイレクトされました。

メールアカウントのパスワードまで盗もうとする点はちょっと珍しいかなと思いますが、総合的にはよくあるフィッシングサイトであるといって差し支えないでしょう。

通報する

フィッシングサイトであるとの確信が持てましたので各所に通報しましょう。

通報先は各種あります。

 一番強力なのはプロバイダへのテイクダウン依頼で、成功すればサイトそのものを潰すことができるのですが、海外のことが多いですし難しそうなのでしなもんはやったことがありません。

上記のうち、Google と Microsoft は通報が非常に簡単なのでおすすめです。

Google に通報

Google Safe Browsing への報告はとりわけ簡単で、しかも悪性判定されるとChrome、Firefox、Safari といったメジャーブラウザでアクセスしようとした際に警告画面を出してくれるようになるので、被害防止のための実質的な効果も大きいです。

safebrowsing.google.com



Google Safe Browsing への通報



手順

1. 通報フォームへアクセス

2. フィッシングサイトの URL を入力

3. reCAPTCHA (信号機をクリック！みたいなやつです) を実施

4. もし何かあれば詳細情報を記入

5. 「報告を送信」

これだけです。行っけーー！



通報しますた


「ウェブ環境の安全性向上に貢献したご自分の功績を、しばしの間称えてあげましょう。」

 言い方は大仰ですが、確かに何かイイコトした感はありますね。

通報後、Google によって詐欺サイトであると判定されると、主要ブラウザで閲覧時に下のような警告画面が出るようになります (画像は Firefox での例)。

これだけでも相当防止効果はありそうです。



この先は詐欺サイトです

Microsoft に通報

Microsoft への通報もかなり簡単です。

Microsoft によって悪性判定されると、Windows Defender が警告を出してくれるようになるそうです。

Windows Defender のユーザの多さを考えるとかなり魅力的です。

www.microsoft.com



Microsoft への通報



手順

1. 通報フォームへアクセス

2. フィッシングサイトの URLを入力

3. "Phishing" を選択

4. フィッシングサイトで使われている言語 (今回は "Japanese") を選択

5. 画像に表示されている文字列を入力

6. "Submit"

これだけです。おりゃーー！



通報しますた

フィッシング対策協議会へ報告

フィッシング対策協議会はすでにしなもんぶろぐで何度も取り上げているように、フィッシングに関する情報収集や注意喚起を行っている団体です。

www.antiphishing.jp

フィッシング対策協議会に報告すると、(しなもんぶろぐでもたびたび引用している) 報告実績として計上されるほか、協議会が確認した時点でサイトが稼働中であれば、閉鎖のための調査を JPCERT/CC に依頼してくれたりするようです*6。

フィッシング対策協議会にはメールで報告します。



今回送付した報告メール


今回は新規登録ドメインから直接フィッシングサイトを見つけたわけですが、もしメールが手元にあればそれを転送するといいそうです。

一つ一つ確認されているようなので即座にとはいきませんが、数日以内に報告を受理した旨の連絡が来ます。

Phishtank に登録

Phishtank はコミュニティ型のフィッシングサイト情報集積サービスです。

参加者一人一人がフィッシングサイトを登録、または検証できます。

今回のサイトも報告しました。



登録しますた


記事執筆時点ではまだ誰も verify (フィッシングサイトであるかどうかの検証) していないようですね……

まあそういうこともあります。

SNS で注意喚起する

フィッシングメールを真に受けた方が被害を受けないように、また同じくフィッシング情報を追いかけているリサーチャの方々へ知らせるために注意喚起を実施します。

私の場合は Twitter で行っています。

#Phishing #Amazonフィッシングサイト営業中です。ご注意ください。

Google・MSには通報済、これからフィッシング対策協議会に報告します。

hxxp://account-co-jp-user[.]xyz-> 107.172.122[.]49

urlscanhttps://t.co/dm2WTAZsoH



Phishtankhttps://t.co/5MRdEGg21j pic.twitter.com/9Y4n7nq2M2
— しなもん (@am7cinnamon) 2020年9月21日

記載する内容はリサーチャによって差があり、特に私の書き方がベストというわけではありません。

後述のバイブルを参照していただくか、日常的に発信しているベテランフィッシングハンターの方々 (#Phishing などで調べると見つけやすいです) をお手本にするとよいのではと思います。

 注意点として、見た方が意図せずフィッシングサイトにアクセスしてしまうことがないように、URL や IP アドレスを無害化しておく (Defang (牙を抜く) といいます) 必要があります。

例えば、

• http -> hxxp
• ～.com -> ～[.]com
•  phish@example～ -> phish[at]example～

コンピュータが URL やアドレスだと解釈できない形であればよいので、厳密に上記のやり方でなくてもいいとは思います。

なお、元々何万人ものフォロワーがいるかよほど人目を惹く話題でもない限り、こうした個別の注意喚起に大量の RT やいいねがつくことはまれ*7なので、そういう期待はしない方が賢明だと思います。

バイブルの紹介

さて、これまでご紹介してきた探索・通報法には手引きがあります。

というか本記事よりずっと正確で充実しています。新しく始める方は本記事よりこちらを熟読された方がいいです。

実際これらの手引きがなければ、「フィッシングサイトは自分にも見つけられるものだ」という発想にならなかったでしょうし、実際にやってみようとも思わなかったでしょう。

敬意と感謝を込めて、バイブルとしてご紹介させていただきます。

qiita.com

ninoseki.github.io

実際にやってみて

ここまでご覧いただいた方ならお察しの通り、フィッシングサイトを 1つ 2つ見つけて通報するのは、大して難しいことではありません。

立場によらず誰でもできますし、特別な知識や技術もほとんど必要ありません。

しかし、とはいえそれなりに手間はかかりますし、やったからといってお金や名声が得られたり直ちに人から感謝されるようなことではありません。

そして、1件 2件見つけたからといって、特別な知識が得られるというわけでもありません (新しいことを体験したという意味での学びはありますが)。

一歩進んだ洞察を得るには時間をかけて継続的に watch していく必要があります。

それだけに継続的に調査・発信を行い、その過程で独自の知見を積み重ねてこられたフィッシングハンターの方々の凄さを実感しています。

一方で、目に見える対価は小さいかもしれませんが、もしかしたらネットの向こうの知らない誰かを救えるかもしれない活動です。

細々とですが続けていこうと思います。皆様もいかがですか？

英国の国家サイバーセキュリティセンター、東京五輪を混乱させるロシアの計画を明らかに / UK National Cyber Security Centre Reveals Russia’s Plan to Disrupt Tokyo Olympics【転載】

UK National Cyber Security Centre Reveals Russia’s Plan to Disrupt Tokyo Olympics

英国国立サイバーセキュリティセンターは先日、「世界最高峰のスポーツイベント」を完全に崩壊させるために、ロシア軍の諜報機関が、日本が主催する東京オリンピック・パラリンピックへのサイバー攻撃を考えていたことを明らかにしました。

ロシアのサイバー偵察作業は、大会主催者、物流サービス、スポンサーなどを対象としており、オリンピックが武漢ウイルス(Covid-19)の影響で延期される前に進行していた。

この証拠は、ロシアがこの夏の大会を妨害することまで計画していたことを示す初めてのものです。

共同通信社によると、日本政府高官が、サイバー攻撃がロシアによって行われたと断定された場合、東京はモスクワに抗議することを考えると明言したという。

日本政府の加藤勝信報道官は、延期された大会がいかなるサイバー攻撃からも解放されることを保証するために、日本は考えられるすべてのことを行うと述べた。

"民主主義の根幹を揺るがすような悪意のあるサイバー攻撃を看過することはできません」と述べ、日本政府はデータを収集しており、今後も各国に提供していくと述べました。

英国政府は、冬季と夏季の両オリンピックの混乱がGRUのユニット74455によって遠回しに行われたと、95％の確実性をもって報告したことを発表しました。

平昌でも、英国が示したように、GRUのサイバー部隊は、北朝鮮や中国のハッカーを装って、2018年冬季大会の開会式を中心に、観客がチケットを印刷できないようにサイトを破壊したり、競技場のWiFiをクラッシュさせたりした。

主要な標的にはさらに、放送局、スキー場、オリンピック関係者、サービス提供者、2018年に開催されるゲームのスポンサーなどが含まれており、攻撃の対象は単に韓国だけではなかったことになります。

ドミニク・ラーブ外務大臣は次のように述べています。"オリンピック・パラリンピックに対するGRUの行動は、冷笑的で無謀なものです。我々は最も強い言葉でそれらを非難する」と述べました。

その後、"英国は同盟国と協力して、将来の悪意あるサイバー攻撃を呼びかけ、対抗していく "と述べました。

英国のこれらの主張は、ロシアのサイバーセキュリティ上の脅威を最大限に露呈させることで混乱させ、来年の夏季大会の再延期を阻止しようとする試みの一環であると考えられます。

【転載】政府サイバー対策「侵入防止型」から「監視型」へ

 

piyokango @piyokango

3w

Via tike (Twitter)

記事を翻訳

tike retweeted:

政府サイバー対策「侵入防止型」から「監視型」へ sankei.com/economy/news/2… via @Sankei_news

　菅義偉（すがよしひで）内閣が掲げる行政のデジタル化に備え、サイバーセキュリティー対策を強化するため、政府が「ゼロトラスト」と呼ばれる新しいセキュリティー対策の導入を検討していることが２５日、分かった。「不正侵入はあり得る」との前提で対策を講じる新たな考え方で、侵入を防御する従来の対策からの転換となる。

　ゼロトラストは「信用しない」という言葉の通り、外部も内部もすべて疑ってかかるという「性悪説」に基づいた考え方。具体的には全ての利用者や使われている機器を正確に把握し、常に監視・確認する仕組みだ。米グーグルが今春にサービス提供を開始し、広く知られるようになった。

　現状の政府のセキュリティー対策は「境界型」と呼ばれ、城の守りのようなイメージで、ネットワーク上に強固な壁を作り、ウイルスや不正なユーザーが入り込むことを徹底的に防御している。

　ただ、境界型は壁を一度突破されるとリスクは甚大で、内部犯行にも十分に対応できないといった弱点がある。また在宅勤務などのテレワークの導入や他の企業との連携など、社内ネットワークを外部と接続することで壁に穴が生じるリスクもある。

　行政のデジタル化を進める政府としてもゼロトラストの導入を進めなければ、安全・安心なサイバー環境は維持できないと判断。来年早々にも、内閣官房の情報通信技術（ＩＴ）総合戦略室の事務局のシステムに一部導入して実証実験を開始。一連の取り組みは、来年創設を目指すデジタル庁に引き継がれる見通しだ。

　平井卓也デジタル改革担当相は２５日の閣議後記者会見で、来年の創設を目指すデジタル庁について「システム構築に責任を持つので、セキュリティーが最重要課題であることは間違いない」と述べ、安全対策へ意欲を示した。

【転載】ハッカーに優しい銀行とは

Twitterでハッカーに優しい銀行が話題に:

Twitterで一部の銀行がハッカーに優しい仕様だとして話題になっていたようだ。イオン銀行やローソン銀行では、ユーザーの誕生月別に支店名が振り分けられる仕様であることから、支店名から名義人の誕生月が特定可能となる（発端となったriron博士のツイート、INTERNET Watch、イオン銀行、ローソン）。

先日のリバースブルートフォース攻撃で狙われやすい暗証番号の話でもあったように、生年月日を暗証番号を例にしているユーザーはとても多く1～31日の日付、いや月によってはもっと少ない数字だけの調査で「当たり」暗証番号を引く可能性はとても高い。つまり攻撃者にとって、攻めやすいとても親切な銀行というなる。

なお誕生月別よりは安全だと思われるが、セブン銀行も支店名から口座開設月の特定が可能となっているとのこと（セブン銀行）。

【転載】東京電力エナジーパートナー株式会社が新しい支払い方法として「SMS選択払い」を導入～東電は流行りのSMS詐欺に加担するつもりなのか！？～

 Oh My God!!

https://t.co/FsnHmkdJrE

Quoted tweet from @autumn_good_35:

😨😨😨😨😨
『「SMS選択払い」は、利用者のスマートフォンのSMSに請求情報と利用者専用の決済画面のURLを通知し、そこからスマートフォン上での支払い手続き』

2020年10月19日
東京電力エナジーパートナー株式会社が推進する電気料金支払い等のデジタル化を支援 | GMOペイメントゲートウェイ株式会社

【転載】2020年2月〜2020年12月末までのJALマイル・e-JALポイントは有効期限延長が可能

年内にJALのマイル・e-JALポイントが有効期限切れになる方は申請を:

皆様こんにちは。

2020年はコロナの影響で海外旅行は絶望的ですね(；´∀｀)

そうした状況を鑑みて2020年中に有効期限がきれるJALのマイルとe-JALポイントの特別対応を受けることができます。

もともと2020年9月30日までが対象だったものを年内に延長した形になります。

特別対応を受けるには申請が必要なので対象の方は忘れずに対応しておきましょう。

対象となる有効期限

今回の特別対応の対象となるマイルとe-JALポイントの有効期限は

• 2020年2月〜2020年12月末まで

となっております。

この期間中に失効するマイルとe-JALポイントをお持ちの方が対象になります。

対応内容

マイルとe-JALポイントで対応方法が異なります。

e-JALポイントの場合は、失効するポイントと同数の有効期限1年間のポイントが付与されます。

シンプルですね。

マイルの場合は、e-JALポイントで付与されるので注意！

失効するマイルの1.5倍のe-JALポイントが付与されます。こちらも有効期限は1年間となります。

10,000マイル失効する場合は、15,000e-JALポイントになるということです。

マイルはビジネスクラスの特典航空券で利用することができれば1マイル4円以上の価値で使うことができるので、1.5倍のe-JALポイントだと損してしまいます。

後述する裏技で無理やりマイルの形で有効期限を延長するやり方もお伝えします。

e-JALポイントの付与タイミングはこのようになります。

• 事前登録をした月までに有効期限をむかえた場合：事前登録した月の翌月下旬頃
• 事前登録をした後に有効期限をむかえた場合：期限をむかえた翌月下旬頃

申請方法

特別対応は申請が必要です。

有効期限をむかえるマイル・e JALポイント・JALクーポンの取り扱いについて（2020年8月31日更新）

上記ページにアクセスすると申請ボタンがあるので案内に従って登録しましょう。

なお、有効期限が「9月30日まで」の場合は、9月30日までに登録をしておかないと失効してしまうので注意。

逆に言えば9月30日までに登録できれば、3月に失効した分も取り戻せることになります。

マイルをマイルのままで有効期限を伸ばす方法

上記の方法だとマイルはe-JALポイントになってしまいます。

マイルのママで延長する方法も裏技的にあります。といって100％成功する保証はありませんので、頭の片隅にでも。

それは「一度特典航空券を発券し、フライトキャンセルによって払い戻しを受ける」という方法です。

JALのマイルを使った特典航空券は通常3000円ほどを支払うことで口座にマイルを戻してもらえます。

ただし、この際マイルの有効期限は変わらないため、払い戻し時点で失効していたマイル分は戻ってきません。

なので、大事なのはフライトキャンセルさせることです。

そうすることで、航空会社側の都合ということでマイルの有効期限を3年間に延長して口座にマイルを戻してもらうことが可能です。

【JAL】フライトキャンセルキターー！マイルは有効期限延長対応に

2020年7月16日

先日のフライトキャンセル時にそのように案内を受けて3年間延長してもらうことができました。

善意の悪用なのでおすすめはしませんが、どう考えても乗れないだろう路線に直近の日程で予約しておき、フライトキャンセルを待てば延長することができます。

もし、フライトキャンセルされなくても普通に払い戻しすれば有効期限が切れてないものは戻ってきますので比較的ローリスクです。

露骨にやりすぎると目をつけられるかもしれませんので自己責任でどうぞ。

最後に

と、いうことで年内にマイルとe-JALポイントの失効分がある方は忘れずに登録しておきましょう。

特に9月30日までに失効していたポイントを取り戻すには9月30日までに登録が必要です。

有効期限をむかえるマイル・e JALポイント・JALクーポンの取り扱いについて（2020年8月31日更新）

↑のサイトで忘れずに登録しておきましょう。

なお、マイルはe-JALポイントに1.5倍のポイントとして付与されることになる点は注意が必要です。

マイルとe-JALポイントの有効期限はHPから簡単に調べることができます。



HPの「マイル詳細」、「残高などの詳細はこちら」から確認することができます。

気になる方はチェックしておきましょう。

それでは！

【転載】BAにGDPR制裁金27億円 顧客情報流出、コロナで約10分の1に減額

BAにGDPR制裁金27億円　顧客情報流出、コロナで減額　（写真=ロイター）　:日本経済新聞: 

英情報保護当局の情報コミッショナー事務局（ICO）は16日、英航空大手ブリティッシュ・エアウェイズ（BA）が2018年に大量の顧客情報を流出させた問題で、2千万ポンド（約27億円）の制裁金を科したと発表した。約1億8千万ポンド（約245億円）を科す予定だったが、新型コロナウイルスの感染拡大で業績が低迷していることを受け大幅に減額した。

BAは18年、サイバー攻撃を受けて顧客の氏名や住所、クレジットカード情報などの個人情報が外部に漏れ、40万人以上が被害を受けた。ICOは16日、BAが多要素認証などの必要な対策を怠ったと結論づけ、「不作為は受け入れがたく、過去最大の罰金を科した」と説明した。

ICOは欧州連合（EU）が18年に施行した一般データ保護規則（GDPR）に基づき調査していた。流出規模の大きさやセキュリティー管理の甘さを重く見て、19年時点ではBAの17年売上高の1.5%に当たる約1億8千万ポンドの制裁金を科す考えを示していた。

GDPRは企業などに個人情報の管理徹底を求めるEUのルール。重大な違反者は最大で年間売上高の4%か2千万ユーロ（約25億円）の高い方という、巨額の制裁金が科される可能性がある。英国は20年1月にEUを離脱したが、加盟当時の案件だったためGDPRに基づく手続きを進めた。

【転載】茨城県、7年連続の魅力度最下位から”脱出” 2020年の魅力度最下位は栃木県～相変わらず調査結果の信ぴょう性が疑わしい（笑）～

茨城県、7年連続の魅力度最下位から”脱出”　2020年の魅力度最下位は栃木県:

都道府県などの魅力度を調べる地域ブランド調査を実施しているブランド総合研究所は、今年の調査結果を発表し、7年連続で都道府県別の魅力度が最下位であった茨城県は42位に順位を上げた。

茨城県は「都道府県魅力度ランキング」（ブランド総合研究所）で7年連続最下位を記録していて、県内企業や団体が”脱出”に向けた取り組みを行っており、JR東日本水戸支社も取り組みを行っていた企業の1つ。

今回のランキングでは、北海道が12年連続の1位となった。茨城県は42位にランクインし、今年の最下位は栃木県となった。市町村別の魅力度は、前年3位の京都市が1位に入り、2位には前年1位の函館市、同2位の札幌市が並んだ。

【転載】様々なソースが分類されてまとまっているサイト（technisette）

@00001B1A technisette(technisette.com)はいろんなリソースが分類されてまとまっていて使いやすくて好きです。リソースだけじゃなくてブラウザのアドオンやツールまで満遍なくカバーしていて最高です。: @00001B1A technisette(technisette.com)はいろんなリソースが分類されてまとまっていて使いやすくて好きです。リソースだけじゃなくてブラウザのアドオンやツールまで満遍なくカバーしていて最高です。

【転載】流出情報の検索に便利なサイト（IntelligenceX、phonebook.cz）

@00001B1A IntelligenceX(intelx.io) 流出情報の検索などに便利です。他にもToolsのページでメールアドレス/電話番号/ユーザー名を各所で一気に検索できたりして愛用してます。 系列でphonebook.czというサイトもあります。これも便利です。: @00001B1A IntelligenceX(intelx.io) 流出情報の検索などに便利です。他にもToolsのページでメールアドレス/電話番号/ユーザー名を各所で一気に検索できたりして愛用してます。

系列でphonebook.czというサイトもあります。これも便利です。

【転載】DDoSランサム攻撃で企業にビットコインを要求する恐喝横行～多層防御ならぬ多層攻撃か（笑）～

DDoSランサム攻撃で企業にビットコインを要求する恐喝横行--JPCERT/CC:

　JPCERT コーディネーションセンター（JPCERT/CC）は10月15日、国内企業に対して数百GbpsのDDoS（分散型サービス妨害）攻撃を仕掛けると脅しビットコインの支払いを迫る犯罪が増えていると発表した。特に、情報通信系の企業が狙われる傾向にあるという。

　DDoS攻撃は、ITシステムや通信設備の処理能力を超える膨大な量のデータや処理要求などを送り付けることで安定稼働を妨害するもの。システムやネットワークの使用が困難になりユーザーがサービスを受けられなくなるほか、犯罪者に狙われるシステムやネットワークの用途によっては社会インフラにも深刻な影響を及ぼす恐れがある。

　同種の行為は8月頃が続いており、「DDoS脅迫」「ransom DDoS」などと呼ばれる。犯罪者は、まず標的の組織に脅迫メールを送り付けて6日ほどの期日までに5～20BTCほどのビットコインを支払うように要求する。脅迫内容を証明する目的でDDoS攻撃を実行したり、期日までに支払いがないと増額したりするほか、脅迫内容を公表すると攻撃を仕掛けたり、支払い期限を過ぎても攻撃しなかったりするケースもあるとされる。

脅迫メール例（JPCERT/CCより）

これまでは、証券取引所やオンライン決済サービス事業者などの可用性の確保が重要なシステムが狙われる傾向にあったとされる。しかし現在は、加えて外部からアクセス可能なサーバーやインフラも狙われ、DNSコンテンツサーバーやSSL-VPN装置が稼働するシステムを標的とするようなケースが確認されるようになった。

　攻撃手法としてはSYN FloodやNMP Flood、DNS Flood、ICMP Flood、GRE Protocol Flood、WSDiscovery Flood、ARMS Reflectionなどが使われるという。攻撃規模は、Akamai Technologiesでは50G～200Gbps規模、Link11では数時間継続する数百Gbps規模の攻撃を確認しているという。国内は多くの事例で犯罪者が攻撃能力を示す狙いから数十G～100Gbps規模の攻撃を30～60分ほど行うケースが確認されているという。

　JPCERT/CCは、犯罪者が仮想通貨の支払いを確認するまでしつこく攻撃を継続する場合があると指摘する。しかし、仮想通貨を支払っても攻撃が止まる保証はなく、支払うべきでないとしている。

【転載】総務省サイバーセキュリティタスクフォース（第26回）～私法上、契約書の押印は実は必須ではなかったりする～

総務省｜サイバーセキュリティタスクフォース｜サイバーセキュリティタスクフォース（第26回） soumu.go.jp/main_sosiki/ke…: 総務省｜サイバーセキュリティタスクフォース｜サイバーセキュリティタスクフォース（第26回）

soumu.go.jp/main_sosiki/ke…

配布資料

・資料26－1 テレワークのセキュリティについて

・資料26－2 スマートシティセキュリティガイドライン（第1.0版）の概要

・資料26－3 NOTICEの実施状況及び実施計画の変更について

・資料26－4 電子署名を用いた電子契約サービスに関する整理について

・資料26－5 令和3年度総務省サイバーセキュリティ関連予算概算要求について

・参考資料1 　　IoT・5Gセキュリティ総合対策2020

・参考資料2－1  中小企業等担当者向けテレワークセキュリティの手引き（チェックリスト）（初版）

・参考資料2－2  設定解説資料（Cisco Webex Meetings／Microsoft Teams／Zoom）

・参考資料3 　　スマートシティセキュリティガイドライン（第1.0版）

・参考資料4－1  電子契約サービスに関するQ＆A（電子署名法第2条1項関係）

・参考資料4－2  電子契約サービスに関するQ＆A（電子署名法第3条関係）

・参考資料4－3  押印についてのQ＆A

バックアップ

防衛省がサイバーセキュリティ防衛技官募集～公的機関のサイバーセキュリティ担当業務ってどうなんだろう？～

防衛省がサイバーセキュリティ関連業務に従事する防衛技官（係長級）を募集している。

ーー

同省が募集するのは、自衛隊指揮通信システム隊にてサイバーセキュリティ技術に関する知見を活用し、サイバー攻撃等の脅威から情報システム等の防護やサイバーセキュリティに関する人材育成、隊員の能力向上等に係る業務を行う防衛技官（係長級）。

同省では、民間企業、官公庁等にて正社員・正職員として従事した職務経験が2020年10月1日現在で通算13年以上となる、1962年4月2日から1989年4月1日までに生まれた、IPAが示すITスキル標準のレベル3以上またはこれに相当する民間資格を保有する者で、職務経験を通じて体得したサイバーセキュリティに関する知識及び技能を有する者を募集している。

概要は以下の通り。

・スケジュール

募集期間：10月7日から12月10日

第1次試験合格発表：12月18日

最終合格発表：2021年2月1日

・選考方法

第1次試験：書類選考、小論文試験

・採用予定数

若干名

・応募方法

防衛省統合幕僚監部Webサイトから書類をダウンロードし必要事項を記載し郵送。

サイバーセキュリティ防衛技官募集、実務経験13年以上の31歳から58歳（防衛省）

ーー

ということなのだが、業界周辺の見る目は厳しい。

例えば、

とか、

https://nino192.hatenadiary.org/entries/2017/02/26

とか、

とか。

防衛省ではないが、公務員つながりで、以前元国税調査官の方から公務員の実態の話を聞いたことがある。

民間企業は現在労働環境の改善が進んでいて残業時間規制とか休日労働規制とかが進んでいるが、公務員はこの辺が全く進んでおらず、民間企業をしのぐブラックな職場環境らしい。

あと、公務員といえば、定期的な人事異動があるが、サイバーセキュリティ担当って典型的なジョブ型になるため、この定期人事異動がキャリアパス形成の観点で結構大きなリスクとなる。

あとは給料が安い。

業界的にこの給与水準だと、奴隷募集と思われても正直仕方がない。

民間企業の係長相当職と同じレベルを求めるのであれば、6-700万位の給与水準にしないと、正直厳しいのかと思う。

一方で、日経新聞の記事にも取り上げられていたように、わが国日本は完全にサイバー防衛後進国となっている。

サイバー部隊の構成員数を比較しても、アメリカ6,000人規模、中国100,000人規模、ロシア1,000人規模、北朝鮮6,800人規模に対して、日本は220人程度である。

対北朝鮮に対しては、経済規模では500倍の差があるにもかかわらず、サイバー部隊構成員数では30分の1しかないという、忌々しき事態に陥っている。

職場環境は悪い、キャリアパスは視界不良、給料は安い、けど国家防衛という非常に大きなやりがいは得られる。

う～ん。ちょっと考えてみるかな。。。