【転載】「反省記」西和彦 ー ビルゲイツに嫉妬した男の笑って泣ける壮絶な「半生記」


「反省記」西和彦 ー ビルゲイツに嫉妬した男の笑って泣ける「半生記」 

創業者の書いた自叙伝と言うのは、どれも本当に面白いものです。サラリーマンとして組織でトップに立った人にはない、個性と魅力が溢れています。

そんな本を今までたくさん読んできましたが、西和彦さんの「反省記」の読後感は他の本とは違いました。ビジネス本なのに、なぜかとても泣けるのです。

前半は、マイクロソフトの副社長として、あのビルゲイツと一緒に仕事を進める天才プログラマーの凄まじいエネルギーが描かれています。特にマイクロソフトの飛躍のきっかけになったMS-DOSの開発に至った経緯の描写には痺れます。

日本人離れした行動力と図々しさ。そもそも、ビルゲイツに国際電話をかけ、アメリカに会いに出かけ、そこで意気投合してしまい、一緒に仕事を始める。そんな日本人はなかなかいないと思います。

しかし、その日本人離れした強烈な個性が、ビルゲイツとの対立を招き、最終的に袂を分かつことになるのです。

その後も新しいビジネスを始めては周囲の人たちと対立し、うまくいかない。その繰り返しの中で出会ったのが、日本興業銀行の中山素平さんとCSKの大川功さんでした。

実業界の重鎮たちに出会う中で、自分の問題点や失敗について子供のように気づきを覚え、大川さんの生き様からこれからの自分の人生でやるべきことについて考える。

この大川さんとのやりとりは、本当の親子よりも親子のようで、壮絶な最後には涙がこぼれました。

おわりに、に書いてある「すべてのことがすぎ去っていく」そして「感謝している時が「幸せ」なのだ」と言う2つの言葉に、最終的に到達した西和彦さん。

あまりに激し過ぎる人生ですが、文章から感じられるのは、西さんの天性の明るさです。悲壮感あふれる話をシリアスに書いているのに、なぜかユーモアを感じてしまう。これこそが、たくさんのビジネス界の実力者たちを虜にし「爺(じじ)殺し」と言われた西さんの最大の魅力だと感じました。

ビジネス書なのに、人生とは何かを考えさせてくれる一冊。全ての人に一読をお薦めします。

<参考図書>
「反省記」西和彦


Labels:

【転載】仕事で成長し続ける人の「3つの共通点」



仕事で成長し続ける人の「3つの共通点」:

2012年に資産デザイン研究所を立ち上げてから、もうすぐ8年になります。創業の頃からずっと一緒に仕事をしている人たちを見ていると、当時と比較した成長度合いは、人によって大きな違いがあると感じます。

仕事で成長を続ける人と、いつまで経ってもあまり変わらない人。その違いはどこにあるのでしょうか?私なりに、その違いを考えてみました。

まず、成長を続けている人は、素直であると言う共通点があるといえます。

頑固に自分のやり方や考えに執着するのではなく、誰かに言われたことを素直に信じてやってみるような柔軟性を持っています。

プライドが高すぎる人や、自信過剰な人、そして思い込みの激しい人は、人の言うことに耳をかさず、自分を変えようとしません。これでは、現状の枠から抜け出せず、成長することができないのです。

また、前向きであることも重要です。仕事は、うまくいかないことが当たり前。そんな思い通りにいかない場合に、すぐに腐ってしまうのではなく、あきらめないで前向きに次の手を考える。継続して粘り強く仕事を続ければ、いずれ結果を手に入れることができます。

そんな努力を続けるためには、物事をポジティブに捉え、失敗を成功につなげていく楽観的なマインドが必要です。

さらに、好奇心旺盛であることも、仕事で成長するために大切な要素です。

変化が激しい時代においては、次に何がビジネスになるかは分かりません。

新しく出てきたものにわからないと拒否反応ではなく、何だろうと好奇心を示す。そのような人こそ、変化を恐れ逃げるのではなく、変化を楽しみ取り入れることができるのです。

素直で、前向きで、好奇心旺盛。このような人であれば、たとえ何度失敗しようとそれを最終的に結果に結びつけていくことができます。

かく言う私自身も、このような気持ちを忘れないようにしたいと、この文章を書いていて改めて思いました。

■【もうすぐ購読者5万人!】毎週金曜日17時に配信している無料のメールマガジン「資産デザイン研究所メール」。メールアドレスとお名前を登録するだけで、お金の不安を解消するための具体的な方法をご紹介します。

■ 「初めての人のための99%成功する不動産投資」、シリーズ累計30万部を超えた「初めての人のための資産運用ガイド」など、今までに出版された書籍の一覧はこちらから。

※内藤忍、及び株式会社資産デザイン研究所、株式会社資産デザイン・ソリューションズは、国内外の不動産、実物資産のご紹介、資産配分などの投資アドバイスは行いますが、金融商品の個別銘柄の勧誘・推奨などの投資助言行為は一切行っておりません。また、投資の最終判断はご自身の責任でお願いいたします。

Labels:

【転載】デルタ航空(DL)の改悪再び(2020年版)


デルタ航空(DL)の改悪再び(2020年版) 

ユナイテッド航空(UA)と同じく、頻繁に改悪を行うデルタ航空(DL)。

今年も、突然の改悪がやってきました。
 
今回は、提携航空会社フライトをDLマイレージで予約する際の、必要マイレージ数の増加です。
 
影響がある範囲をお伝えします。
 
日本人初のBoardingAreaオフィシャルブロガー PAR@Seasoned Travellerです。

目次 

  • 1 改悪概要
  • 2 唯一の「Sweet spot」は無事か?
  • 3 まとめ

改悪概要

今回改悪となったのは、主にエールフランス航空(AF)、KLMオランダ航空(KL)、ヴァージン・アトランティック航空(VS)を利用した大西洋路線と大韓航空(KE)、チャイナエアライン(CI)太平洋路線です。
 
例えば、エールフランス航空(AF)を利用してヨーロッパからアメリカへ行く場合、ビジネスクラス片道が75,000マイルから95,000マイルに上昇しています。
 
日によっては、片道195,000マイルになる日もあります。
 
もちろん、事前の連絡はありません。
 
大韓航空(KE)、チャイナエアライン(CI)を利用した北米路線も、ビジネスクラス片道が85,000マイルだったのが115,000マイルほどになっています。

直近であればあるほど、必要マイレージ数は上がる傾向にあるようです。

唯一の「Sweet spot」は無事か?

DLマイレージで唯一と言ってもいいくらいの「Sweet spot」であるKEの日韓線。
 
今回の改悪で影響を受けたのでしょうか。

無事でした。
 
また、エールフランス航空(AF)を利用してのドバイ(DXB) – パリ(CDG)乗り継ぎ – 日本のフライトも、ビジネスクラス片道70,000マイルです。
 
ですが、比較的マシな使い方ができる日本 – 香港間のフライトも、ビジネスクラス片道35,000マイルに、ベトナム航空(VN)を利用したベトナム – 日本のフライトも、ビジネスクラス片道45,000マイルとなっていて、5,000マイル増えていました。
 
いつか、日韓線のフライトもメスが入るでしょう。

まとめ

長く続いたニッポン500マイルも終了し、ますますマイレージの獲得が遠ざかっていくDL。
 
必要マイレージ数もどんどん多くなり、いつしかFlying Blueと大差ない状態になるでしょう。
 
自分はクレジットカード決済ではなく、フライトでスカイチーム上級会員を目指していますが、どうせ上級会員になるならAFのファーストクラスに搭乗できるチャンスがあるFlying Blueの上級会員になった方が良いと思います。
(AFファーストクラスはFlying Blue上級会員でないと特典航空券予約ができないので)

スカイチームメンバーの有償フライトは基本的に安いので、うまく活用して修行もしつつスカイチームメンバーのフライトでないと行けないようなところにも行ってみたいと思います。

Labels:

【転載】JAL、国際線エコノミーで足元の広い座席の有料座席指定サービス開始~上級会員は引き続き無料~


日本航空(JAL)は、国際線のエコノミークラスで、非常口前などの足元の広い座席を有料で座席指定できるサービスを、12月3日以降搭乗分より開始する。

航空券番号が131から始まるJAL発券の航空券のうち、カナダ路線と他社運航便を除く全路線が対象で、座席指定画面から指定・購入ができる。販売開始は11月10日午後4時30分から。

片道あたりの料金は、北米・欧州・ハワイ・オーストラリア・インド線は10,000円、東南アジア線は6,000円、東アジア・グアム・マニラ・ウラジオストク線は4,000円。

JALマイレージバンクのダイヤモンド・JGCプレミア・サファイア・クリスタル会員、JALグローバルクラブ(JGC)会員、ワンワールドステイタス会員とその同行者、予約クラス「Y」の航空券は無料で指定ができる。事前座席指定ができない運賃や団体旅行運賃などの一部運賃では対象外となる。非常口座席の指定は、安全規定を満たしている必要がある。

Labels:

【転載】定額制住み放題サービス「HafH」、会員向けに国内外航空券の提供を開始

KKabuK Styleが運営する定額制住み放題サービス「HafH」では、国内外航空券手配を含む会員サポートを開始する。

HafHでは、国内47都道府県167都市261拠点、海外80都市139拠点で居住可能となっている。航空券手配は、新たなカスタマーサポート「HafHコンシェルジュ」の機能の一つとして提供するもので、このほかにも、チャット機能を通した宿泊施設や施設周辺レストランの相談、国内・海外旅行プランの相談などにも応じるとしている。

また、東京海上日動と連携し、2021年1月1日からすべてのHafHプランに個人賠償責任保険が自動付帯されるようになる。また、ウェブサイトのリニューアル、地図検索機能のリリースなどを行ったとしている。

Labels:

【転載】小島よしおさんが手がけるサイバーセキュリティ、題して”OPPセキュリティ”



警視庁、小島よしおさんを先生にサイバーセキュリティ教室を公開:

警視庁サイバーセキュリティ対策本部では、都民に向け、サイバーセキュリティ対策についての啓発コンテンツ「小島よしおのサイバーセキュリティ教室」を期間限定で10月1日より公開している。
サイト内で公開されるムービーでは、警視庁のキャラクター「サイバーAI犬」と共に、小学生向けの授業動画「小島よしおのおっぱっぴー小学校」で分かりやすく解説しているお笑いタレントの小島よしお氏が先生役で出演。


サイバーセキュリティ対策の大切さについて動画で学べる特別授業を3回に分けて配信していく予定だ。
スマートフォンやIoT機器の普及やデジタル化・オンライン化の推進によって、インターネットが都民にとって必要不可欠な社会基盤となっている近年、サイバー犯罪の手口は凶悪化しており、ネット利用者の心の隙を突く手口が問題視されている。 中でもネットバンキングでの2段階認証を突破する不正送金被害が急増しており、サイバーセキュリティ対策本部ではスミッシング詐欺の手口をVR技術を活用し、解説する動画も9月5日より配信している。 授業は「みんなのサイバーセキュリティ編」「フィッシング詐欺ってなに?編」「そのページ、アドレスは合ってる?!編」に分かれていて、どの授業も子どもはもちろん、親である大人も一緒に見て勉強できる内容となっている。


警視庁では、本サイトを通じて、サイバー空間におけるルールやマナーを学ぶことで安全、安心、快適にネットワークが利用できる環境作りを目指すとしている。

Labels: ,

【転載】新しいRATマルウェアはDiscord経由でコマンドを取得し、ランサムウェア機能を持っています。 / New RAT malware gets commands via Discord, has ransomware feature

Discord-2.jpg


新しい「アバドン」リモートアクセストロイの木馬は、感染したPCでどのようなタスクを実行すべきかをマルウェアに指示する本格的なコマンド&コントロールサーバーとして、Discordを初めて使用する可能性があります。さらに悪いことに、このマルウェアのためにランサムウェア機能が開発されています。

脅威行為者が悪意のある活動のためにDiscordを悪用することは、何も新しいことではありません。

過去には、脅威の行為者がDiscordを盗用データのドロップとして使用したり、Discordクライアントを改変して資格情報などを盗ませるマルウェアを作成したりする方法を報告してきました。

RATはDiscordをフルC2サーバーとして使用しています。

しかし、MalwareHunterTeam が発見した新しい「アバドン」リモートアクセストロイの木馬 (RAT) は、本格的なコマンド&コントロールサーバーとして Discord を使用する最初のマルウェアである可能性があります。

コマンド・アンド・コントロール・サーバー(C2)とは、マルウェアが感染したコンピュータ上で実行するためのコマンドを受信するリモートホストのことです。

起動すると、アバドンは感染したPCから以下のデータを自動的に盗み出します。

  • Chromeのクッキー、保存されたクレジットカード、クレデンシャル。

  • チームの資格情報とインストールされているゲームのリスト

  • DiscordトークンとMFA情報。
  • ファイルリスト
  • 国やIPアドレス、ハードウェア情報などのシステム情報。
そしてアバドンは、下の画像のように、Discordのコマンド・コントロール・サーバーに接続して、新たに実行するコマンドがないかどうかをチェックします。


これらのコマンドは、次のいずれかのタスクを実行するようにマルウェアに指示します。

  • コンピュータからファイルやディレクトリ全体を盗む
  • ドライブのリストを入手
  • 攻撃者が感染したPC上でコマンドを実行できるようにする逆シェルを開く。
  • 開発中のランサムウェアを起動する(これについては後述)。
  • 収集した情報を送り返し、既存のデータ収集をクリアする。
マルウェアは、新しいタスクを実行するために10秒ごとにC2に接続します。

Discord C2サーバを使用することで、脅威者は感染したPCのコレクションを継続的に監視して新しいデータを取得し、コンピュータ上でさらなるコマンドやマルウェアを実行することができます。

基本的なランサムウェアの開発

マルウェアが実行できる作業の一つに、基本的なランサムウェアでコンピュータを暗号化し、身代金を支払った後にファイルを復号化するというものがあります。

この機能は、ランサムノートのテンプレートにフィラーが含まれているため、現在開発中です。


ランサムウェアが非常に有利な状態にあるため、今後この機能が完成しても不思議ではありません。




Labels: ,

【転載】たらこ通販サイトに不正アクセス - クレカ情報流出、不正利用のおそれ~想定損害賠償額は2,000万円程度か~



たらこ通販サイトに不正アクセス - クレカ情報流出、不正利用のおそれ

たらこなど海産物を取り扱うオンライン通信販売サイト「たらこ家虎杖浜」が不正アクセスを受け、顧客の個人情報が流出したことがわかった。

同サイトを運営するカネシメ松田水産によれば、不正アクセスを受けて同サイトの決済アプリケーションが改ざんされたもの。

2018年9月15日から2020年5月14日までに同サイトで決済に利用された顧客のクレジットカード情報811件が流出し、不正利用された可能性がある。

クレジットカードの名義、番号、有効期限、セキュリティコードなど、攻撃者が用意した偽画面に入力された情報が詐取されたもので、811件以外で決済に至らなかったケースも、偽画面に情報を入力してしまった場合は、窃取された可能性がある。

5月にクレジットカード会社より流出の可能性を指摘する連絡があり、問題が発覚。外部事業者による調査は6月26日に完了し、9月7日に警察へ被害を申告、個人情報保護委員会には翌8日に報告した。

顧客に対しては、11月9日よりメールや書面で連絡を取り、身に覚えのない請求が行われていないか注意を呼びかける。

Labels: ,

【転載】LinkedInでの接触から始まった積水化学工業元社員の営業秘密情報持ち出しについてまとめてみた



LinkedInでの接触から始まった積水化学工業元社員の営業秘密情報持ち出しについてまとめてみた:



2020年10月13日、大阪府警は不正競争防止法違反の容疑で化学メーカー元社員を書類送検しました。元社員は在職当時、中国企業へ自社の営業秘密に当たる情報を漏えいした疑いがもたれています。ここでは関連する情報をまとめます。

不正競争防止法容疑で書類送検

  • 営業秘密の漏えいが行われたとされるのは積水化学工業。中国企業は潮州三環グループと報じられている。
  • 犯行は2018年8月上旬から半年にかけ行われ、営業秘密に該当する技術情報を中国企業の社員にメールで送信した疑いがもたれている。
  • 書類送検の容疑は不正競争防止法違反(営業秘密の領得、開示)。

スマホ画面用素材の技術情報漏えいか

  • 漏えいしたとみられるのはスマートフォンの画面に使われる素材「導電性微粒子」に関係する情報(製造設備のリスト)
  • 元社員は積水化学工業の技術開発部門で勤務。営業秘密にアクセスすることが可能だった。
  • 元社員は当時勤務していた社内サーバーから私物のUSBメモリにコピーし営業秘密に当たる情報を不正に入手。*1
  • 私用PCとフリーメールを用いて2回にわたり中国企業側へ送信していた。

中国からLinkedIn通じ接触

  • 中国企業は元社員に対し、LinkedInを使って接触を行っていたことが判明している。*2
  • 元社員はLinkedIn上で氏名、社名の他、導電性微粒子の研究に関わっていることを公開していた。
  • 中国企業側は積水化学工業の取引先として元社員に接触。LinkedInで接触後にメール等で連絡を交わし、元社員を中国企業の負担で中国に数回招いていた。*3
  • 取引先でないことは訪中後に判明したが、元社員は在籍をしたまま、中国企業から技術指導として非常勤の技術顧問就任を打診されていた。直接的な金銭の授受は確認されていない。

動機は社内評価か

  • 元社員は中国企業の社員と技術情報の交換を通じ自身の知識を深め社内評価を高めることだったと供述している。自身の研究に対する社内評価にも不満があったとも報じられている。*4
  • 中国企業側が示した技術が自社にないものだったという。
  • 交換と供述はしているが、実際には中国企業側から元社員に対して情報提供が行われたことは一度もなかった。
  • 同僚が元社員の不正行為に気づきこれを指摘。その後の社内調査により事案が発覚した。*5

事案発覚受け懲戒解雇と刑事告訴

  • 積水化学工業は事案発覚を受け、懲戒処分と大阪府警へ刑事告訴。
  • 元社員は容疑を認めていたことから、府警は逮捕を見送ったとしている。
  • 中国企業の関係者が中国本土にいることから捜査が出来ず、漏えいした情報の使途等は明らかになっていない。
  • 今回の事案を受け、積水化学工業は情報管理と従業員教育の徹底を行う。
  • 元社員は懲戒解雇の後、別の中国企業大手通信機器メーカーの国内事業所に再就職をしている。

関連タイムライン

日時 出来事
中国企業が元社員へLinkedInを使って接触。
元社員が訪中。中国企業より技術指導の依頼を受ける。
2018年8月~2019年1月 元社員が中国企業へ営業秘密を含む情報をメールで送信した疑い。
同僚の指摘を受け内部調査により元社員の不正行為が発覚。
2019年5月末 積水化学工業が元社員に対し懲戒解雇処分。
2019年9月 積水化学が大阪府警へ刑事告訴。
2020年10月14日 大阪府警が元社員を不正競争防止法違反の容疑で書類送検したと発表。(送検日は13日)

更新履歴

  • 2020年10月15日 PM 新規作成
Labels: ,

【転載】ばらまきメール回収の会(@retrieve_member)メンバーのtweetから抽出したIoCを確認できるサイト



S-Owl retweeted: ばらまきメール回収の会(@retrieve_member)メンバーのtweetから抽出したIoCを確認できるサイトを公開しました 自己責任でご利用ください baramaki.ninoseki.xyz:8000 API docs: baramaki.ninoseki.xyz:8000/docs Repo: github.com/ninoseki/baram…:

S-Owl retweeted:

ばらまきメール回収の会(@retrieve_member)メンバーのtweetから抽出したIoCを確認できるサイトを公開しました

自己責任でご利用ください

baramaki.ninoseki.xyz:8000

API docs: baramaki.ninoseki.xyz:8000/docs

Repo: github.com/ninoseki/baram…

Labels: ,

サーバ管理会社が契約更新ミス 「ふくいナビ」全データがクラウドから消失、復旧不能に(転載)



サーバ管理会社が契約更新ミス 「ふくいナビ」全データがクラウドから消失、復旧不能に - ITmedia NEWS:

  福井県の産業を支援する公益財団法人ふくい産業支援センターが運営するポータルサイト「ふくいナビ」の全データが、サーバ管理会社であるNECキャピタルソリューションの社内手続きミスにより、完全に消失した。データの復旧も不可能という。同センターが11月5日付で発表した。

画像発表文より

 発表によると、同センターとNECキャピタルソリューションは、今年10月31日までふくいナビのクラウドサーバの賃貸借契約を結んでおり、10月13日にその契約を更新していたが、NECキャピタルソリューションの社内手続きのミスで更新の手続きがされておらず、貸与期間が終了したとして全データが削除されたという。

 これにより、システムの全プログラムが完全に消失。同センターが登録したデータや、ユーザーが登録したデータ(メールマガジンの配信先や配信内容など)も完全に消失した。

 プログラムの再構築は可能だが「相当の期間が必要」で復旧のめどは立っておらず、データは「完全に消失し復旧が不可能な状態」としている。ユーザー情報の漏えいはない。

Labels: ,
Location: 日本、〒108-0075 東京都港区港南2丁目15−3

【転載】ゆうちょ銀行「mijica」取りやめへ セキュリティー対策に不備



ゆうちょ銀行「mijica」取りやめへ セキュリティー対策に不備 | 電子決済 不正引き出し問題 | NHKニュース:

 ゆうちょ銀行は、デビッドカード・プリペイドカードの「mijica」について、セキュリティー対策を点検した結果、多くの不備があったことを受け、ほかのサービスに機能を移したうえで、取りやめる方針を固めました。

ゆうちょ銀行が発行する「mijica」は、貯金が不正に引き出される被害が相次いだほか、不正にログインされ、個人情報を盗み取られたおそれがあることも明らかになっています。

ゆうちょ銀行はきょう、mijicaのセキュリティー対策を点検した結果、不正なログインを検知する仕組みがないことや、口座と連携する際の認証が十分でないことなど、キャッシュレス業界などが設けた22の点検項目のうち14項目で、対策が実施されていないか不十分だったことがわかったと発表しました。

これを受けて池田憲人社長は記者会見で、mijicaについて「新規サービスの構築や他のサービスによる代替案も含めた戦略の具体的な施策を早急に決定する」と述べました。

ゆうちょ銀行はmijicaを取りやめる方針を固め、デビットカードやプリペイドカードの機能はほかのサービスに移し、継続して利用できるようにすることを検討しています。

mijicaの会員はおよそ20万人にのぼり、銀行では一連の被害にすみやかに対応するため、相談窓口を充実させることにしています。

【参考】
キャッシュレス決済サービスの セキュリティ総点検タスクフォース報告書

Labels: , ,

【転載】原子力規制委員会への不正アクセスについてまとめてみた



原子力規制委員会への不正アクセスについてまとめてみた - piyolog:

 2020年10月27日、原子力規制委員会の情報システムが不正アクセスを受けたと報じられました。ここでは関連する情報をまとめます。

一部サーバーへの侵入確認

  • 全職員が利用する情報システムに対し、外部から攻撃とみられる不正アクセスを情報システム部門が検知。*1
  • 接続ログより情報システムの一部のサーバーへ侵入された痕跡が確認されている。*2

影響を受けたシステム

  • 不正アクセスが確認された情報システムは原子力規制委職員約1000人がメール送受信、業務用ファイルの共有などで使用している。*3
  • 重要情報である核物質防護に関する情報の流出被害は確認されていない。*4 外部とは接続していない独立したシステムに保管されているため。*5

把握後の規制委の対応

f:id:piyokango:20201028110303p:plain
規制委の発表(不正アクセスに関する記載なし)

原子力規制委員会とのメールの送受信の一時的な利用に停止について

  • 10月27日17時以降、原子力規制委のメール等の外部とのアクセスを遮断。
  • 電力会社とは専用線を用いて連絡など取ることが可能。万一原発等で問題発生時に遮断による影響はない。
  • 10月27日午後に電力会社とオンラインによる審査会合を行っている。(このシステムでは今回の不正アクセスの影響は受けていない。)
  • 内閣サイバーセキュリティセンターなどと連携し調査対応。原因分析などを進める。*6
関連タイムライン
日時出来事
2020年10月26日 17時40分頃原子力規制委で不正アクセスを検知。
2020年10月27日 17時原子力規制委がメール等の外部とのやり取りを遮断。
2020年10月28日官房副長官が記者会見で外部への情報漏えい事実は確認していないと発言。

更新履歴

  • 2020年10月28日 AM 新規作成
  • 2020年10月29日 AM 続報反映(情報流出確認されず)

*1:原子力規制委にサイバー攻撃 外部から不正侵入か,朝日新聞,2020年10月27日

*2:[https://www.jiji.com/jc/article?k=2020102701029&g=soc:title=https://www.jiji.com/jc/article?k=2020102701029&g=soc:title=https://www.jiji.com/jc/]article?k=2020102701029&g=soc,時事通信,2020年10月27日

*3:規制委にサイバー攻撃か 情報漏洩の有無確認,日本経済新聞,2020年10月27日

*4:原子力規制委のシステムに不正アクセス 情報漏洩の有無を調査,NHK,2020年10月27日

*5:核情報漏えいなし 政府,時事通信,2020年10月28日

*6:原子力規制委に外部からの不正アクセス 情報漏えい確認されず,NHK,2020年10月28日

Labels: ,

【転載】”ZIP”とか”FTP”とかをブランド名に使うのはどうかと思う。。。

ZIPAIR、航空運送事業許可を取得 バンコクに5月、ソウルへ7月就航 - TRAICY(トライシー)

FTPがまさかのこの略とは。。。:

FTPがまさかのこの略とは。。。

EkG27HLUwAAkpCP.jpg:large

Labels: ,

【転載】不正アクセスで問合顧客の情報が流出~想定損害賠償額は1.8億円程度か~



不正アクセスで問合顧客の情報が流出 - ALL CONNECT:

スマホEC事業や通信サービスなどを展開するALL CONNECTは、不正アクセスを受け、顧客情報が流出したことを明らかにした。

同社によると、脆弱性を突く不正アクセスを受けたもので、2012年から2015年にかけて、同社や関連会社の集客サイトへ問い合わせを行った顧客の個人情報が流出した可能性があるという。

同社の3649件をはじめ、関連会社Link Lifeの9866件、フルコミット(旧ピークライン)の1440件など、あわせて1万4955件の氏名や住所、電話番号、メールアドレスが流出した可能性がある。

2月27日に同社が利用するクラウドサーバ事業者より不正アクセスについて指摘があり、問題が発覚。ログを調べたところ、顧客情報をはじめとする機密情報の一部がダウンロードされていることが3月3日に判明したという。

同社では同月12日に関西情報センター、同月16日に日本情報経済社会推進協会(JIPDEC)へ報告。その後5月18日になって原因や被害の全容を把握するため、外部事業者へ調査を依頼。7月31日に報告を受けたという。

顧客に対しては、11月4日より電話やメール、書面などを通じて報告し、身に覚えのない連絡などに注意するよう呼びかけるという。

インシデント報告バックアップ

Labels: , ,

【転載】鍼灸や医療など複数運営通販サイトで情報流出~想定損害賠償額は3,000万円程度か~



鍼灸や医療など複数運営通販サイトで情報流出 - メイプル:

メイプルが運営する鍼灸や医療、介護分野の複数通信販売サイトにおいて、利用者のクレジットカード情報が外部へ流出し、悪用された可能性があることがわかった。

鍼灸師や柔整師向けの通信販売サイト「メイプルショップ鍼灸サイト」をはじめ、「メイプルショップ医療向けサイト」「メイプルショップ介護サイト」「全国鍼灸マッサージ協会オンラインストア」など4サイトにおいてクレジットカード情報が流出し、不正に利用された可能性がある。

6月26日にクレジットカード会社より、情報流出の可能性について連絡があり発覚した。システムの脆弱性を突く不正アクセスが原因で、いずれも2019年8月28日から2020年6月26日にかけて顧客が決済に利用したクレジットカード情報が対象。

「メイプルショップ鍼灸サイト」では775件、「メイプルショップ医療向けサイト」は299件、「メイプルショップ介護サイト」は14件、「全国鍼灸マッサージ協会オンラインストア」は59件が被害に遭った可能性がある。クレジットカードの名義、番号、有効期限、セキュリティーコードなどが含まれる。

外部事業者による調査は8月26日に終了しており、9月10日に警察へ被害を申告、10月5日に個人情報保護委員会へ報告した。顧客に対しては、11月10日よりメールや書面を通じて経緯を報告し、謝罪するとしている。

報告書バックアップ

Labels: , ,

【転載】伊藤忠商事のサイバーセキュリティ



S⃣ A⃣ S⃣ A⃣ retweeted: 1で、2で具体策と紹介しているから気になる方には申し訳ないな、と思い講演資料2もあげます。我々の仕組みの一部ですが、こんなポイントにこんな小技を使うと効果があるのか、という感じで見ていただければ。なお他の施策も知りたい他CSIRTの方は見学に来ていただけましたら slideshare.net/MotohikoSato1/…:

1で、2で具体策と紹介しているから気になる方には申し訳ないな、と思い講演資料2もあげます。我々の仕組みの一部ですが、こんなポイントにこんな小技を使うと効果があるのか、という感じで見ていただければ。なお他の施策も知りたい他CSIRTの方は見学に来ていただけましたら



slideshare.net/MotohikoSato1/…


バックアップ

Labels: ,

【転載】カプコンでサイバー攻撃発生 / Gaming company Capcom hit by cyberattack



Gaming company Capcom hit by cyberattack:

日本のゲーム開発会社であるカプコンは、同社のシステムの一部に影響を及ぼすサイバー攻撃の被害に遭ったことを明らかにしました。ストリートファイター」や「バイオハザード」をはじめとする人気ゲームを多数リリースしているカプコンは、月曜日に侵入の兆候にいち早く気付き、攻撃の拡大を防ぐために迅速な対応を行ってきました。

"2020年11月2日の早朝から、カプコングループのネットワークの一部で、電子メールやファイルサーバーを含む特定のシステムへのアクセスに影響を与える問題が発生しました "と、同社のウェブサイトに掲載されている通知を読んでください。

同社は、今回の攻撃の犯人や侵入方法については明らかにしていないが、不明な第三者が不正アクセスを行ったことを確認しており、社内ネットワークの一部の運用を停止している。


ゲーム開発者は、現在のところ顧客情報が漏洩したことを示唆する証拠はないと主張しています。とはいえ、調査はまだ進行中であるため、結論を出すのは時期尚早かもしれません。

カプコンは、今回の事件は、当社のゲームをオンラインでプレイするための接続に影響を与えるものではなく、当社のウェブサイトへのアクセスに支障をきたすものではないとしています。しかしながら、ご迷惑をおかけした関係者の皆様にはお詫びを申し上げます。

また、カプコンは、IRフォームからのお問い合わせには対応しないことをお知らせしています。

"カプコンは、「2020年11月2日に発生したネットワークの問題を受けて、現在、このフォームからのお問い合わせおよび/または資料請求に対応することができません。その間、同社は警察や当局と協力して事件の調査を行うとともに、システムの正常な稼働状態への復旧に努めているとのことです。

侵入者が個人情報に手をつけたわけではないようですが、セキュリティ侵害で得たデータはフィッシング攻撃に利用されることが多いようです。カプコンのアカウントをお持ちの方は、十分に警戒してください。

ゲーム業界は 2023年までに 2,000 億米ドルの価値があると予測されており、企業とプレイヤーの両方が脅威の標的となるのは当然のことです。コンテンツ・デリバリー・ネットワーク・プロバイダーのアカマイは、2018年7月から2020年6月までの2年間に業界内で100億件を超えるクレデンシャル・スタッフィング攻撃が観測され、2019年7月から2020年6月までの間にゲーム業界を標的とした3,000件を超える明確な分散型サービス拒否(DDoS)攻撃が観測されたと述べています。


ー以下原文ー

Japanese video game developer Capcom has disclosed that it was the victim of a cyberattack that affected some of its systems. The publisher of a long list of popular franchises, including Street Fighter and Resident Evil, first noticed signs of the intrusion on Monday before apparently taking swift action to prevent the attack from spreading across its systems.

“Beginning in the early morning hours of November 2, 2020 some of the Capcom Group networks experienced issues that affected access to certain systems, including email and file servers,” reads the notice on the company’s website.

While the company did not disclose the culprit behind the attack or the method through which its systems were breached, it did confirm that an unknown third-party gaining unauthorized access to its systems, which led Capcom to suspend some of its operations on its internal networks.

The game developer claimed that currently there is no evidence to suggest that any that customer information was compromised. Having said that, it may be too early to make any conclusions as the investigation is still ongoing.

The company went on to assure players that the incident had no bearing on the connections used to play the studio’s games online, nor did it hinder access to its websites. However, Capcom did issue an apology to any of its stakeholders who were inconvenienced by the situation.

The Japanese game publisher also shared an announcement warning that it won’t be responding to contact requests made through its investor relations form.

“We are currently unable to reply to inquiries and/or to fulfill requests for documents via this form following the network issues that began November 2, 2020,” said Capcom. In the meantime, the company is working with the police and authorities to investigate the incident, as well as to restore its systems to normal running order.

While the intruders don’t seem to have got their hands on people’s personally identifiable information, data harvested from security breaches is often used for phishing attacks. So if you have a Capcom account, you’d be well advised to remain vigilant.

With the gaming industry projected to be worth US$200 billion by 2023, it’s no wonder that both companies and players prove to be an attractive target for threat actors. Content delivery network provider Akamai stated that it observed over 10 billion credential-stuffing attacks within the industry over a two year period between July 2018 and June 2020, and over 3,000 distinct Distributed Denial-of-Service (DDoS) attacks targeting the gaming industry between July 2019 and June 2020.

Labels: ,

【転載】IPA、DX認定制度の申請受け付けを開始



IPA、DX認定制度の申請受け付けを開始:

 情報処理推進機構(IPA)は11月9日、経済産業省による「DX認定制度」のウェブ申請の受け付けを開始した。


 DX認定制度は、5月15日施行の「情報処理の促進に関する法律の一部を改正する法律外部リンク」に基づいて、デジタルトランスフォーメーション(DX)を推進する上でのビジョンや戦略、体制などが準備されている事業者を経済産業省が認定する。IPAが事務局を担当している。

 申請は通年可能で、IPAが公開しているガイダンスに従って申請書をポータルサイトに提出する。IPAが審査し、認定を経済産業省が行う。認定結果はIPAが通知するとしており、申請から通知までは60日程度(土日、祝日、年末年始を除く)という。


 認定の有効期間は2年で、該当事業者はIPAサイトで公表される。なお、経済産業省と東京証券取引所の「DX銘柄2021」では、DX認定を申請していることが条件になるという。

Labels: ,

【転載】ガートナー:2020-2021年のセキュリティプロジェクトトップ10


Gartner recommends that security and risk management leaders focus on these 10 security projects to drive business-value and reduce risk for the business.

No. 1: Securing your remote workforce

No. 2: Risk-based vulnerability management

No. 3: Extended detection and response (XDR)

No. 4: Cloud security posture management

No. 5: Simplify cloud access controls

No. 6: DMARC

No. 7: Passwordless authentication

No. 8: Data classification and protection

No. 9: Workforce competencies assessment

No. 10: Automating security risk assessments

----

セキュリティおよびリスク管理のリーダーは、これらの10のセキュリティプロジェクトに焦点を当てて、ビジネス価値を高め、ビジネスのリスクを軽減する必要があります。
「リモートの従業員のセキュリティを確保しようとしていますが、ビジネスの生産性を妨げたくないですか?」「セキュリティ機能のリスクとギャップを特定するのに苦労していますか?」「CISOは時間とリソースをどこに集中させるべきですか?」 
セキュリティとリスク管理の専門家は常にこれらの質問をしますが、本当の問題は、絶えず変化するセキュリティ環境において、どのプロジェクトが最大のビジネス価値を推進し、組織のリスクを軽減するかということです。 
2020年の仮想GartnerSecurity&Risk Management Summitで、シニアディレクターアナリストのBrian Reedは、次のように述べています「私たちは、基本的な保護の決定を超えて、検出と対応、そして最終的にはセキュリティインシデントからの回復への革新的なアプローチを通じて組織の回復力を向上させる必要があります。」
重要なのは、ビジネスの実現に優先順位を付け、リスクを軽減し、それらの優先順位をビジネスに効果的に伝えることです。 
ガートナーの予測に基づいてCOVID-19の影響を調整した、今年のトップ10のセキュリティプロジェクトは、リスク管理とプロセスの内訳の理解に重点を置いた8つの新しいプロジェクトを特徴としています。重要度の高い順に記載されていないこれらのプロジェクトは、独立して実行できます。 

No. 1:リモートワーカーの保護

ビジネス要件に焦点を当て、ユーザーやグループがどのようにデータやアプリケーションにアクセスしているかを理解します。最初のリモートプッシュから数ヶ月が経過した今、アクセスレベルが正しいかどうか、セキュリティ対策が実際に作業を妨げていないかどうかを判断するために、ニーズ評価と変更点のレビューを行う時期です。

2番目:リスクベースの脆弱性管理

すべてにパッチを当てようとするのではなく、実際に悪用可能な脆弱性に焦点を当ててください。脅威の一括評価を超えて、脅威インテリジェンス、攻撃者の活動、内部資産の重要性を利用して、実際の組織リスクをよりよく把握しましょう。  

No. 3:拡張検出および応答(XDR)

XDRは、複数の独自コンポーネントからデータを収集し、相関させる統合セキュリティおよびインシデント対応プラットフォームです。プラットフォームレベルの統合は、後から追加されるのではなく、導入時に行われます。これにより、複数のセキュリティ製品が1つに統合され、全体的なセキュリティの成果が向上する可能性があります。企業は、セキュリティを簡素化し、合理化するために、この技術の使用を検討すべきである。 

4位:クラウドセキュリティ態勢管理

組織は、IaaSとPaaSの間で共通のコントロールを確保し、自動化された評価と修正をサポートする必要があります。クラウド・アプリケーションは非常に動的であるため、自動化された DevSecOps スタイルのセキュリティが必要です。クラウドのセキュリティアプローチ全体でポリシーの統一性を確保する手段がなければ、パブリッククラウドのセキュリティを確保することは難しいでしょう。 

No. 5:クラウドアクセス制御の簡素化

クラウドのアクセス制御は通常、CASBを介して行われます。CASB は、ポリシーの施行とアクティブ・ブロックを提供できるインライン・プロキシを介したリアルタイムの施行を提供します。また、CASBは、例えば、トラフィックの忠実性をより確実にし、セキュリティアクセスを理解するために、監視モードで開始することにより、柔軟性を提供します。

6位:DMARC

組織は電子メールを認証の単一ソースとして使用しており、ユーザーは本物のメッセージと偽物を見極めるのに苦労しています。DMARC(ドメインベースのメッセージ認証、報告および適合性)は、電子メール認証ポリシーです。DMARCは、電子メールセキュリティのための総合的なソリューションではなく、全体的なセキュリティアプローチの一部であるべきです。しかし、送信者のドメインとの信頼と検証の追加レイヤーを提供することができます。DMARCはドメインのなりすましを助けることはできるが、すべての電子メールセキュリティ問題に対処することはできない。

No. 7:パスワードなしの認証

従業員は、個人の電子メールと同じパスワードを仕事用のコンピュータに使用することを考えないかもしれませんが、それはセキュリティ上の大きな頭痛の種となる可能性があります。機能的にはいくつかの異なる方法で機能するパスワードレス認証は、セキュリティのためのより良いソリューションを提供しています。目標は、信頼を高め、ユーザーエクスペリエンスを向上させることであるべきです。

No. 8:データの分類と保護

すべてのデータは同じではありません。万能型のセキュリティアプローチでは、セキュリティが多すぎる領域と少なすぎる領域が作られ、組織のリスクを増大させます。セキュリティ技術のレイヤー化を始める前に、まずポリシーと定義から始めて、プロセスを正しく理解しましょう。 

No. 9:労働力コンピテンシー評価

適切なスキルを持つ適切な人材を適切な役割に配置する。ハードな技術的スキルとソフトなリーダーシップの専門知識を組み合わせることは、非常に重要ですが、やりがいのあることです。完璧な候補者は存在しませんが、プロジェクトごとに5~6つの必須コンピテンシーを特定することができます。サイバーランニングやサイバーシミュレーション、ソフトスキルの評価など、さまざまな方法でコンピテンシーを評価しましょう。 

No. 10:セキュリティリスク評価の自動化 

これは、セキュリティチームがセキュリティ運用、新規プロジェクト、またはプログラムレベルのリスクに関連するリスクを理解するための一つの方法です。リスクアセスメントは、完全にスキップされるか、限定的に行われる傾向があります。このような評価を行うことで、限られたリスクの自動化と、リスクギャップが存在する場所の可視化が可能になります。  
Labels: ,

【転載】傘専門ネットショップに不正アクセス - クレカ情報が流出~想定損害賠償額は700万円前後か~



傘専門ネットショップに不正アクセス - クレカ情報が流出:

【概要】

■被害企業

  • Tokyo noble* online shop (イー・ビー・アイ)


【ニュース】

◆傘専門ネットショップに不正アクセス - クレカ情報が流出 (Security NEXT, 2020/11/05)
https://www.security-next.com/120339


【広報文】



「弊社が運営するECサイトの不正アクセスによる個人情報流出に関するお詫びとお知らせ」
http://www.e-b-i.co.jp/img/txt1105.png

Labels: ,
登録: 投稿 (Atom)