62カ国のセキュリティ専門家は昨年、Google製品の脆弱性を発見したことで、Googleから670万ドル以上の報酬を受け取っていた。グーグルは10年間、脆弱性報奨プログラム(VRP)の運営に成功しており、同社はグーグル製品の脆弱性を発見したセキュリティ専門家に2800万ドル近くを支払っている。
雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
セキュリティ研究者は、バグバウンティの報酬としてGoogleから670万ドル以上を受け取った / Security Researchers Received More Than $6.7 MIllion by Google as Bug Bounty Rewards(転載)
62カ国のセキュリティ専門家は昨年、Google製品の脆弱性を発見したことで、Googleから670万ドル以上の報酬を受け取っていた。グーグルは10年間、脆弱性報奨プログラム(VRP)の運営に成功しており、同社はグーグル製品の脆弱性を発見したセキュリティ専門家に2800万ドル近くを支払っている。
CISベンチマーク 2021年2月アップデート / Update | CIS Benchmarks - February 2021(転載)
CISは、以下のCISベンチマークのリリースを発表します。これらのCIS Benchmarkのリリースは、チケット、コメント、コミュニティコールへの参加など、コミュニティへの貢献者の皆様の時間とサポートなしでは実現できませんでした。皆様の貢献は、私たちのコンセンサスプロセスにとって非常に貴重なものであり、ボランティア活動に感謝しています。
CIS Google Workspace Foundations Benchmark v1.0.0
これは、Google Workspace の安全な設定姿勢を確立するための指針の最初のリリースです。
SecureSky の Wacey Lanier 氏、および Google の Iulia Ion 氏に特別な感謝の意を表します。
Download the CIS Google Workspace Foundations Benchmark PDF
CIS Microsoft Intune for Windows 10 Release 2004 Benchmark v1.0.0
これは、Microsoft Intune for Windows 用のセキュアな設定姿勢を確立するための処方的なガイダンスの最初のリリースです。
William Ferguson 氏、Jeff Hunt 氏、Kai Markl 氏、Sergio Sarinana 氏に感謝します。
Download the CIS Microsoft Intune for Windows 10 Release 2004 Benchmark PDF
CIS Microsoft Windows 10 Enterprise Release 20H2 Benchmark v1.10.0
このドキュメントでは、Microsoft Windows 10 の安全な構成姿勢を確立するための規定的なガイダンスを提供します。変更点の概要を説明します。
- 新たに3つのセキュリティ設定を追加しました。
- ADMXテンプレートの更新に伴い、いくつかのセクションを移動しました。
- 2つの設定を更新しました。
完全な変更ログは、PDF の最後に含まれています。
また、CISベンチマークのExcel版には、MITRE ATT&CKのマッピングとCIS統制実装グループが含まれていることにもご注意ください。このマッピングの初期拡張により、攻撃に対処するための様々な手法を特定することができます。マッピングに関するご意見がありましたら、benchmarkinfo@cisecurity.org までご連絡ください。
このアップデートの作業を行ってくださった Haemish Edgerton 氏と Windows コミュニティの皆様に特別な感謝の意を表します。
Download the CIS Microsoft Windows 10 Enterprise Release 20H2 Benchmark PDF
CIS Microsoft Azure Foundations Benchmark v1.3.0
このCIS Benchmarkは、Microsoft Azureのセキュアなベースライン構成を確立するための指針を提供します。今回の更新での変更点は以下の通りです。
- Advanced Data SecurityをAzure Defenderに変更するための複数の推奨事項を更新しました。
- 追加のAzure Defenderバンドルのための新しい推奨事項
- 複数のアクティビティログアラートコンソールの改善手順を更新しました。
- 非推奨となった機能に対する複数の推奨の削除
- CIS Azure Security Benchmarkへの複数の推奨事項で参照リンクを更新しました。
この更新を可能にするために時間と労力を割いてくれた Microsoft Azure チーム、編集者と貢献者に特別な感謝の意を表します。
変更点の完全なリストは、PDFの変更ログを参照してください。
Download the CIS Microsoft Azure Foundations Benchmark PDF
Vex と SecuriST、ふたつの脆弱性診断の資格を軸に「日本のセキュリティを取り戻す」(転載)~「食料自給率の向上」ならぬ、「セキュリティ自給率の向上」を目指せ!~
2020年12月、経産省から『DXレポート2』として中間報告書が公開された。新型コロナウィルスのパンデミックにより、企業を取り巻く環境は大きく変化し、あらゆる業界においてDXは最優先の課題となっている。
その中でセキュリティは重要な要素の一つだ。サイバーリスクが高まる中で、DevOpsといった言葉に代表されるように、ビジネスのスピードアップに対応した高速なサイクルでのシステム、サービスの開発やリリースが求められているからだ。
DXを進めるうえで不可欠ともいえる脆弱性診断のニーズが高まる一方で、診断できる人材が少ない、診断サービスを提供するベンダーに問い合わせても数ヵ月待たされるといったように、脆弱性診断の需要と供給のバランスは逼迫している。
これまでのように、開発会社に丸投げして納品時と年数回のアップデートのときだけ脆弱性診断を行うようなやり方は通用しない。セキュリティ診断を内製化することで、セキュリティのレベルを落とすことなく、高速なリリースサイクルに対応するDevSecOpsを実現していくことは有力な解決策のひとつである。
こうした現在の慢性的診断逼迫の事態に、何年も前から備えをなしてきた男たちがいる。一人目は株式会社ユービーセキュア 代表取締役社長の観堂 剛太郎だ。同社は、シェアNo.1の国産脆弱性診断ツール「Vex」とその認定資格「Vex Certification」を提供し、企業の脆弱性診断の支援を積極的に行っている。
そしてもう一人がセキュリティ技術者の資格「セキュリスト(SecuriST)」を2020年秋に発表し、トレーニングも開講したグローバルセキュリティエキスパート(GSX)を率いる同社代表取締役社長 青柳 史郎だ。
これまで脆弱性診断サービスの付加価値と問われれば、診断に従事する技術者が未発見の脆弱性を発見してJVNに報告したり、国内外のCTF(Capture The Flag)で優秀な成績を収めたりすることでエンジニアにホワイトハッカーとしての付加価値をつけ、ブランドを上げ、サービスの単価を上げ、人気企業となることと同義のようにすら見えていた。
しかし、観堂と青柳のアプローチはこれとは全く異なる。戦い方や流儀の違いはあれ、診断に関わる「資格」を市場に提案するという点で共通点のあるこの二人に話を聞いた。
●「セキュリティ自給率」を高めたい、観堂の思い
観堂が代表を務めるユービーセキュアは2007年に設立されたセキュリティ診断サービスの会社で、約10人の脆弱性診断のエキスパートによって立ち上げられた。
診断サービスを提供する企業の多くは、診断の効率化を目的にツールを内部で開発して利用している。ユービーセキュアのユニークな点は、この診断ツールを外部向けに商品化しようと考えたことだ。そのツールの名はVex(Vulnerability Explorer)だ。脆弱性診断のためのプロツールで、定期的な自社サイトの検査、開発工程でのテストなど様々なシーンで、「いつでも」「何度でも」セキュリティ診断を行うことを可能にする。
診断サービスを提供するセキュリティベンダー向けの「オーディターライセンス」はもちろん、開発者自身が診断を行うための「デベロッパーライセンス」を提供している。
Vexは、ユービーセキュアにとって、職人の手に馴染んだオリジナルツールでもあり、診断士が戦うための武器のようなものだ。これを外販するということは、ライバルに塩を送る行為ではないかとの意見も社内に存在した。上杉謙信も、武田信玄に塩は送っても武器を送ってはいないはず。
その際にVexを外部に提供するという事業を支えたのは「海外のセキュリティ企業から搾取される状況を変えたい」という観堂の強い思いだった。
「セキュリティ自給率」という耳慣れない言葉を観堂は口にする。国立研究開発法人情報通信研究機構の井上大介氏が提唱するのを目にし、共感した考え方だという。日本のセキュリティの空洞化に警鐘を発する言葉だ。
たとえば、GAFAは巨大プラットフォームを通じ、膨大なユーザーの情報を収集、分析して、適切な広告を配信し商品を買わせたり、新たな付加価値のサービスを提供して次のビジネスにつなげる。しかし、そのビジネスモデルの源泉となる「データ」は、元々はユーザー企業自身のモノだったはずだ。
同じことが海外資本ばかりが市場を席巻するセキュリティサービスでも当てはまると観堂は述べる。しかし観堂はそれを変えることができると信じる。
観堂によれば、国内企業が国産ツールであるVexを使って新しい脅威を検知すれば、それがフィードバックされ新しい検知ルールがVexに追加される。それによってVexはさらに洗練され日本企業のサービスの安全性が向上していく。一歩一歩だが搾取サイクルから脱却することができるという。
「歯車を逆回転させたい(観堂)」
ユーザー企業の情報を海外のベンダーから取り戻し、国内企業をよりセキュアにしていくことが、観堂のいう「自給率が向上」した状態だ。
観堂の考えるVexを軸にしたエコシステムは、シリコンバレーもニューヨークもボストンもイスラエルも経由することなく日本市場内で完結する。Vexを軸にした脅威とその検知のエコシステムを構築することで日本のセキュリティをリブートし、自分たちの手に取り戻していく。
●診断ツールVexの認定資格、本当の狙い
このビジョンをさらに一歩進めたのが認定資格「Vex Certification」だ。これは、サイバーセキュリティの実践的なスキル認定制度「UBsecure Certification」の一体系で、脆弱性診断に必要とされるスキルを分野・レベル別に証明するものだ。
観堂によれば、脆弱性診断を行うエンジニアからは「Vexを使ったことがあり、異動や転職後の環境でもまた使いたい」との声がよく寄せられているという。Vex Certificationでは、Vexを使った脆弱性診断のスキルを3段階のレベルで証明する。
1つめは「エントリー」で、Vexの機能と基本動作に関する知識を有していることを証明するもの。2つめは「アソシエイト」で、Vexの機能を活用した脆弱性スキャンおよび結果判別を行う能力を有していることを証明するものだ。これは、ハンズオンベースの実技試験をベースとし、Vexを用いた脆弱性診断業務に従事している人や、ツールオペレーターからペンテスターへのステップアップを目指す人を対象としている。
そして、3つめが2021年に開始予定の「プロフェッショナル」だ。診断要件に合わせてVexをチューニングし、診断実施による業務影響を最小限に留めるためのノウハウを有していることを証明するものだ。
資格者を増やし囲い込みとロックインをするのが通常のベンダー資格の目的だが、それと「Vex Certification」が本質的に異なるのは、将来的には脆弱性診断のニーズを持つユーザー企業と、有資格者の脆弱性診断士をマッチングするためのプラットフォームとして、「Vexを使えるエンジニアと脆弱性診断を受けられない会社をつなげる」ことを観堂が最終的な目的として見据えている点だ。日本企業と日本市場のセキュリティを向上させ市場全体に貢献していくという観堂の考えはここにも一貫している。
●セキュリティの自衛力を高めたい、青柳の思い
そんな観堂にとって、どうしても足りない一つのピースがあった。それをもたらしたのが青柳率いるGSXが2020年に立ち上げた、セキュリスト(SecuriST)の「認定脆弱性診断士」資格だった。
ユービーセキュアとGSXの縁は、GSXが脆弱性診断サービスを提供するために必要不可欠なツールと認め、約10年前からVexを利用してきたことに遡る。
高度な脆弱性診断を行うためには、最新のサイバー脅威に精通し、エンジニア自身が判断したり手動でリクエストを送るなどのプロセスが不可欠だが、そうしたスキルを有する人材やベンダーは限られ、多くのユーザー企業は、長い待ち行列に加わらざるをえない現状があった。「セキュリスト(SecuriST)は、Vexだけでは足りないピースを埋めるものだ」と観堂は考えた。
セキュリスト(SecuriST)を開始した青柳史郎は2018年に代表取締役に就任すると、GSXを「セキュリティ教育カンパニー」と再定義した。
CEH(Certified Ethical Hacker:認定ホワイトハッカー)やvCISO(virtual CISO:バーチャル シーアイエスオー)などのサービスを展開した青柳の視線の先にあったのは、大手セキュリティベンダーに「相手にもされない」地方企業や中小企業だった。
青柳が考えたのは、米FBIやNSA職員の必須資格であるCEH取得などで、地方や中小企業自身の自衛力を高め、自分たちを顧みないセキュリティベンダーの手を借りずとも自社を守る力を育てること。いわば中小企業のセキュリティ独立宣言を支援することだった。
しかしCEHのサービス開始当初、受講者は中小企業などまばらで、SIerやセキュリティ製品の商社ばかり。「競合や同業他社にノウハウを提供することと同じだ」との声が社内にあった。敵に塩を送る行為と言われた点は観堂と全く同じだ。しかし、2019年には、ユーザー企業の受講者数が半数を超えた。観堂の言葉を借りるなら「歯車が逆回転」しはじめた。
セキュリスト(SecuriST)認定資格制度は、セキュリティに携わる人材に向け、トレーニングと認定試験で構成される。セキュリストの第一弾となる「認定脆弱性診断士」は、Webアプリケーション診断を行う「認定Webアプリケーション脆弱性診断士」と、プラットフォーム診断を行う「認定ネットワーク脆弱性診断士」の2つの資格、および公式トレーニングコースで構成されている。
2020年12月18日、第一回目となる「認定Webアプリケーション脆弱性診断士公式トレーニング」と「認定ネットワーク脆弱性診断士公式トレーニング」が行われ、初回から約60名が受講する盛況となった。来春には第一号となる資格合格者が多数生まれることになる。
「初速はCEHのときの倍以上の手応え(青柳)」
GSXによれば、受講企業には東芝デジタルソリューションズ株式会社、パナソニック株式会社、株式会社日立ソリューションズ・クリエイト、リコーITソリューションズ株式会社、TIS株式会社(50音・アルファベット順)が並ぶ。DX推進や、独学で培ったが改めて学びたいなど、その目的は企業や人によってさまざまだ。
●DX推進に欠かせないDevSecOps実現のために
近年、中小企業にとってこそDXは切実な問題となっている。デジタル技術で付加価値を生み出すにあたっては、技術の安全な活用が不可欠だ。企業が脆弱性診断を適切に行っていくための現実解の一つが、観堂が提案するVexとVex Certificationであり、そして青柳が提案するセキュリスト(SecuriST)認定脆弱性診断士である。
立ち位置は少し違うが兄弟のように似た志を持つ観堂と青柳。取材時に感じたのは、少々芝居がかった表現かもしれないが「生まれた日は違えども死ぬ日は同じ」と互いに考えている節すらあることだ。
実際に株式会社ユービーセキュアとグローバルセキュリティエキスパート株式会社は、兄弟ではないものの、2020年秋に正式に「従兄弟」同士になった。ユービーセキュアはNRIセキュアテクノロジーズ株式会社の資本参加を受けていたが、2020年末、GSXに株式会社野村総合研究所(NRI)の第三者割当による資本提携が行われたからだ。
日本を代表するITコンサルテーション企業と、日本を代表するITセキュリティ企業の2社の力強い支援のもと、観堂率いるユービーセキュアと青柳率いるGSXは、ともに日本のセキュリティを変えるという志を実現する。
PCのセキュリティとプライバシーを高めるWindows 10の機能 / Windows 10 features that boost your PC's security and privacy(転載)
知っておきたいセキュリティ機能
Potentially Unwanted App (PUA)
- 設定を開きます。
- アップデートとセキュリティ」>「Windowsセキュリティ」>「アプリとブラウザの制御」に移動します。
- 評判ベースの保護」というタイトルの新しいセクションを探します。
- アプリとファイルを確認します。
- Microsoft Edgeのスマートスクリーン。
- Microsoft Store アプリのスマートスクリーン。
Memory Integrity
- 設定を開きます。
- アップデートとセキュリティ] > [Windows セキュリティ]に移動します。
- デバイスのセキュリティをクリックします。
- コア分離」と「メモリの完全性」で、メモリの完全性のトグルスイッチをオンにします。
- 変更を適用するには、Windowsを再起動します。
Controlled Folder Access
Network scanning
- Set-MpPreference -DisableScanningNetworkFiles 1
Windows 10 settings to increase your privacy
Turn off ads and tracking
- 設定を起動します。
- プライバシー] > [一般]に移動します。
- プライバシーオプションの変更」セクションで、以下のオプションをオフに切り替えます。
1."広告をより面白くするためにアプリに広告IDを使用させる ...."
2."スタートと検索結果を改善するためにアプリの起動をWindowsに追跡させる"
3."設定アプリで提案されたコンテンツを表示する"
スタートメニューの提案とプロモーションを無効にする
米国 海軍は7兆円超のリソース管理を行う最大の基幹システム(ERP)をAWSに移行(転載)~国防クラスのクラウド移行事例。5年間問題なく運用出来たら間違いなくクラウド移行は加速する~
米国 海軍は7兆円超のリソース管理を行う最大の基幹システム(ERP)をAWSに移行完了
アメリカ海軍(U.S. Navy)が、”最大”の基幹システム(“U.S. Navy’s largest SAP EAP system”)をAWSへ移行した事例が公開されました。今回のブログでは、AWSジャパン・パブリックセクターより、この事例から読み取られるべきインパクトについて、ご紹介します。
7兆円超の巨大な資源管理をするERPシステムをAWSへ移行
戦闘準備の整った海軍を維持・訓練・装備を充実させることを使命とする米海軍(U.S. Navy)は、軍のメンバーが十分な情報に基づいた意思決定を行い、目前のタスクに集中できるようにするため、テクノロジーやサービス、人事に関連する多くのバックオフィス機能を自動化しています。ただし、これまで整備されてきたオンプレミス・システムのままでは、長らくお互いが切り離されて分散して整備されてきたため、ミッション・クリティカルな情報を迅速に収集・処理・分析することは、困難とされてきました。
巨大ERPのクラウド移行
この「断絶(disconnect)」を解消するために、米国海軍および SAP National Security Services (SAP NS2) は、最大の SAP エンタープライズ・リソース・プランニング (ERP) システム (米国海軍の 6つの司令部を横断し 72,000 人のユーザーを抱えている) をAWSクラウドに移行しました。予定より 10 か月も早くこのマイルストーンは達成され、約 700 億 米ドル(=約7兆3,300億円) 相当の部品・物品等の各種リソースの移動とその記録文書が、単一のアクセス可能なスペースにまとめられるため、クラウド上で全体的な情報をより均一に共有・分析・保護することができるようになりました。米国海軍は、 SAP NS2 Secure HANA Cloud (SHC) を調達しました。 これは、アプリケーションと基盤(インフラストラクチャ)のワークロードを、クラウドに安全に移行できるようにするサービスです。AWS GovCloud (米国) は、 SHC のサービスを通じても使用することができます。 米国海軍最大の SAP ERP システム(“U.S. Navy’s largest SAP EAP system”) をクラウドに移行することで、データの可視性(visibility)と可用性が向上するため、財務報告や予算、保守および修理のログ、高度な分析を十分な量・質の情報に基づいてタイムリーに決定することが可能となります。例えば、大規模なロジスティクス内で部品の不足等が発生したり、あるいは部品が誤配されて一カ所にスタックしてしまうと、艦船が港に係留を強いられる期間(訳注:pier-side, 本来の業務に出航できない期間)が計画よりも数か月長くなってしまうため、メンテナンスと修理のログを迅速に集約することは海軍省にとって非常にクリティカルです。
国防総省全体での”知見”の共有
このような IT 基盤の近代化の取り組みは、米海軍に大きなメリットをもたらします。拡張性と弾力性のあるプラットフォームは、監査への準備が容易になるだけでなく、情報に基づいてロジスティクスや保守・修繕の意思決定を行うのに役立つのです。これほど大規模かつクリティカルなワークロード(訳注:米国海軍最大の SAP ERP システム)をクラウドに移行することが出来たという事実は、米国海軍や 米国国防総省 (DoD) のすべての関連機関が、迅速にIT基盤をモダナイズし、かつ、クラウドに移行することができる──ということを教えてくれます。米国海軍は、この経験について学ぶことを望む他の国防総省関連機関向けに、得られた”教訓”についての 2 日間のワークショップを主催しました。こうした学びは国防総省全体に拡がっていきます。海軍の ERP データは、両方の AWS GovCloud (米国) リージョンでホストされます(訳注:US-East and US-Westの2つのRegionがAWS GovCloud Regionとして利用可能です)。 データ移行およびエッジコンピューティングのためのデバイスである AWS Snowball Edgeを使用して、海軍は ERP のデータを AWS GovCloud (US) に移行しました。 AWS GovCloud (US) は、米国政府機関、教育機関、その他のお客様やパートナーの特定の規制要件(specific regulatory requirements)に対応できるように設計されています。AWS GovCloud (US) は、AWS GovCloud (US) へのアクセス要件を満たす米国政府機関、政府との契約事業者、民間企業および公的な営利団体、教育機関、非営利団体、および研究機関の皆さまよりご利用いただくことが可能です。クラウド・コンピューティングを導入することは、基地・駐屯地においても、あるいは戦術が展開される局面においても、軍の技術的優位性を維持するために重要です。AWS のセキュリティ、伸縮性、高度なサービスを利用することで、国防総省はミッション・クリティカルな洞察を引き出し、大幅なコスト削減と俊敏性の改善に加えて、司令と統率、そして戦闘準備の改善や致死率の低下を実現しています。AWS クラウドは、Public、For Official Use Only (FOUO)、Sensitive、Secret、Top Secretの全てのワークロードを処理するための共通のインフラストラクチャとサービスを政府機関に提供できる、唯一の商用クラウドサービスプロバイダーです。SAP National Security Services Inc. は、包括的なエンタープライズ規模のクラウドサービス、ソフトウェアサポート、およびサービスを提供する SAP America, Inc. の完全所有子会社です。提供されるクラウド製品には、ソフトウェア、サービス、インフラストラクチャの独自の組み合わせが含まれており、重要なアプリケーションに最適なパフォーマンスと俊敏性を提供します。 防衛分野向けのクラウドコンピューティング、 AWS GovCloud (US)、 SAP NS2 の詳細についても、ぜひご覧ください。
Github上に公開されている機密情報を調査することができるツール(転載)~Github Dorks~
github.com/techgaun/githu…
Github Dorks
GitHub Dork Search Tool
ドークス一覧
ジャスティン・サッコ事件とは~世界最大のtwitter炎上者(バカッターの極み!?)~
ごく普通の無名の人が、ツイッター上で100人そこそこのフォロワーに向かい、少々品の悪い、無神経な冗談を言う。その後、大勢から寄ってたかって強く非難され、排除されてしまう。そんなことが数ヶ月の間に何度も繰り返された。幼い子供を抱え、ただ毎日真面目に働いているような善良な市民が、突然、大勢から袋叩きに遭ったのだ。
私はそんな体験をした人たち一人ひとりに会って話を聞いた。
3週間前、ジャスティン・サッコはヒースロー空港を経由する空の旅の最中に問題のツイートをした。それが、後に大変な事態を招くことになる。2013年12月20日のことだ。
彼女はヒースロー空港で乗継ぎする直前、170人ほどのフォロワーに向け、こんなツイートをした。
「アフリカに向かう。エイズにならないことを願う。冗談です。言ってみただけ。なるわけない。私、白人だから!」
彼女はそのまま飛行機に乗り込んだ。11時間のフライトだ。その間はほとんど眠っていた。着陸後、携帯の電源を入れるとすぐ、高校卒業以来話したことのなかった知人からのメッセージが目に飛び込んできた。
「こんなことになるなんて、とても悲しいよ」
画面をよく見た彼女は驚いた。
「私の携帯の画面は恐ろしいことになっていました」彼女は言う。
まだ飛行機がケープタウン国際空港の滑走路にいる間に、携帯の画面にはもう一つテキストメッセージが表示された。
「今すぐ電話して」それは親友のハンナからだった。「今、あなたはツイッターで全世界のトレンド第1位になっているのよ」
「ジャスティン・サッコのツイート、人種差別があまりにひどすぎて、恐ろしい。言葉も出ない。恐怖以上の何かを感じる」
「@JustineSacco というこのとんでもない女のことを皆に知らせるべきだ」……
彼女の雇用主からは「あまりに非常識で、言語道断なコメントという他ありません。弊社の社員ですが、現在、国際線の飛行機に乗っており、連絡がつきません」というツイートがあった。それに対しても即座に反応があった。
続いて、"#hasjustinelandedyet(ジャスティンはもう着陸したか)"というハッシュタグが全世界でトレンド入りした。
わざわざ手間をかけて調べ、彼女がどの飛行機に乗っているかを突き止める者まで現れた。フライトトラッカーのサイト(飛行中の航空機をリアルタイムで追跡できるサイト)へのリンクが貼られたため、彼女の乗っている飛行機が今、どこにいるかを皆がリアルタイムで確認できるようになった。
「@JustineSacco の乗った飛行機があと9分ほどで着陸するみたいですよ。見物ですね」
「もうすぐ、あのバカ女 @JustineSacco がクビになるところが見られますよ。リアルタイムで。本人が知る前にクビになるかも」
飛行機が着陸し、事態を知ったサッコは慌ててツイートを削除したが、その後には削除に関するコメントも見られた。
「ごめんね、@JustineSacco ツイートは一度書いたら、永久に残るんだよ」
グーグルには、「グーグル・アドワーズ」というサービスがある。これを利用すれば、特定のキーワード、たとえば自分の名前が1ヶ月間にグーグルで何回検索されたかを調べることもできる。
2013年10月、ジャスティン・サッコの名前がグーグルで検索されたのは30回だった。翌11月も1ヶ月に30回検索されていた。ところが、次の12月は、事件の起きた20日から月末までの間に、なんと122万回も検索されている。
ケープタウン国際空港では、一人の男性が彼女の到着を待ち構えていた。彼は空港に現れたサッコの写真を撮り、ツイッターに投稿した。
「おお、 @JustineSacco がついにケープタウン国際空港に到着。変装のつもりかサングラスをかけている」
サッコのツイートが盛んにリツイートされ始めたのは、彼女の飛行機が離陸してから3時間ほど経った頃だった。おそらくスペインか、アルジェリアの上空で眠っていた時だ。
サッコのツイートは、そう出来の良いジョークではないし、褒められたものではないが、人種差別的なものでないことは明らかだ。有色人種を貶める意図はない。自分でも気づかないうちに特権意識を持ちがちな白人を笑う自嘲的なコメントだろう。
サッコは謝罪声明を出した。身の危険を感じた彼女は、南アフリカへの家族旅行を予定より早く切り上げて帰ってきた。
「宿泊するホテルで姿を見たら襲撃するという脅しもありました。私の安全は誰も保証できないと忠告されたんです」
インターネット上には、彼女は南アフリカの鉱山王、デスモンド・サッコの娘で、いずれ48億ドルもの財産を相続するのだという噂が駆け巡った。私もその噂は本当だと信じていた。だが、実際に顔を合わせたとき、彼女はこう言った。
「母は、私が物心ついた頃からずっとシングルマザーだったんですよ。母は客室乗務員をしていました。父はカーペットの販売をしていたそうです」
サッコは続けた。
「本当に苦しいです。私は自分の仕事が好きでした。それを奪われたんですよ。問題が起きて最初の24時間は、あまりの辛さに大声で叫んでいました。心に負った傷はとても深いものです。夜もなかなか眠れません。夜中に目を覚ますことも度々で、そんな時は自分が誰だかわからなくなったりもするんです。突然、何もすることがなくなったんですから。私のスケジュールはまったくの白紙で何の用事もありません。何も……」
彼女はここで言い淀んだ。
「……生きている意味というのがないんです。私は30歳です。良い仕事に恵まれていました。でも、今、予定は何もない。いずれ、完全に自分を見失います。私は独身ですが、この先、誰かとつき合うのも難しいでしょう。いくら隠しても、今はグーグルで検索すれば私がどういう人間なのかすぐにわかってしまう。事件のことを知れば相手は離れていくでしょう。もう私には新しい出会いなど期待できないんです。良く思われるわけはないのですから」
出典:1つのツイートで世界一の有名人になった女性「悔恨の日々」
アラスカ航空がワンワールド加盟予定(2021年3月31日)
アラスカ航空がワンワールド加盟予定(2021年3月31日)
JAL公式サイトに、アラスカ航空のワンワールド加盟のお知らせがでた。
以前から予定されていたことではあるが、ワンワールド加盟の3月31日向けて、粛々と準備が進んでいるようで。
アラスカ航空のワンワールド アライアンス加盟に伴うJMB取り扱いについて
JALとアラスカ航空に関しては現行も個別マイル提携をしているが、3月31日以降はワンワールドとしての提携となる。
ただし、アラスカ航空のマイルでJALなどワンワールド特典航空券を予約できるのは、2021年夏からになる予定。
oneworld Alliance membership and partnership with American Airlines
なお、アラスカ航空のマイルで他社の特典航空券を予約する場合は、必要マイル数が他社より少なく済むケースもあるが、今回のワンワールド加盟でもアワード・チャートはいじらない予定とのこと。
JAL特典航空券ファーストクラスの行方
アラスカ航空は、「公式サイトでマイル購入可能&増量セール多発」だったり、「独自の提携航空会社が多い=マイルの使い道が多い」ということで、マイルを集めている人も多い。主に海外で。
そんなアラスカ航空マイルの用途として有名なのが、JAL特典航空券、特にファーストクラス。
海外の航空系ブロガーでも、JALのファーストクラスを好んで使っている人を、ちらほら見かけますね。
ただ2020年の4月頃、アラスカ航空のマイルでJALファーストクラスを予約できなくなった!!ということで、多くの航空系ブロガーが困惑の記事をアップ。
他社マイルから自社ファーストクラス特典航空券をブロックするのは、「ありえる」話。
そのため多くの外国人が
「遂にJALたんも改悪、ツルたん。
・・・JALだけに、ツルたん!!」
と嘆いていた。
それで今回のJAL-アラスカ航空の話で、そういや、あの話はどうなったのかな・・・と思いきや。
TPGでまとまった解説が、夏頃に出ていたようです。
Why most JAL first class seats are not bookable with partner miles
なるほど、JALがファーストクラス特典航空券の予約クラスをZからAにしたことで、他社システムから予約できなくなった、というオチだったようです。
しかも、どちらかというと「JAL側のシステムの問題」という形だったようですね。
システムを改修することで、思わぬ問題がでたりすることはあるかと思いますが、まぁ、そういうことだったんでしょうかね。
アッチを叩けば、コッチが出る、的な?
JALのお知らせを見る限り、2/25以降も断続的にシステムを改修していくようで。
こりゃシステム改修する開発会社も大変だな、と。。。