3月10日、ハッカーのグループは、病院、企業、警察署、刑務所、学校内の15万台の監視カメラのリアルタイム録画を見ることができるシリコンバレー監視スタートアップVerkadaによって収集された監視カメラのデータをハッキングしたと言いました。
監視ビデオが公開された企業には、テスラ、ソフトウェアプロバイダCloudflareが含まれます。 さらに、ハッカーは女性の診療所、精神病院、Verkada自身のオフィス内のビデオを見ることができます。 テスラの上海倉庫の内部から撮影されたビデオの1つは、組立ラインの労働者を見ることができます。 ハッカーは、テスラの工場や倉庫にある222台のカメラにアクセスできる可能性がある、と語っている。
Verkada社の担当者は声明の中で、「不正なアクセスを防ぐために、すべての社内管理者アカウントを無効にしました」と述べています。
ほとんどのロイヤリティプログラムが特典航空券の無料途中降機を提供していたのは、それほど昔のことではありませんでした。アメリカンAAdvantage、ユナイテッドマイレージプラス、デルタスカイマイルでさえも、かつてはこれらのプログラムを提供していました。
残念ながら、現在では途中降機を提供するプログラムは少なくなってきています。米国の「ビッグ3」航空会社の中で、途中降機規定のようなものを設けているのはユナイテッドだけです。彼らはこれを途中降機とは呼ばず、片道無料、つまり "エクスカーション・パーク "と呼んでいます。
アラスカ・マイレージプランや多くの海外プログラムでは、特典旅行での途中降機を提供していますが、いずれも程度の差はあります。このガイドでは、各主要プログラムの途中降機規定を説明し、レベニュー航空券で提供されているいくつかの途中降機オプションについてもご紹介します。
現在のパンデミックの状況を考えると、たとえマイルの価値を最大化するための素晴らしい方法であっても、今すぐに途中降機を予約することは必ずしもお勧めできません。追加の国への入国には、追加の検査や検疫が必要になる場合があり、旅行が複雑になる可能性がありますが、現時点ではその価値はないかもしれません。
途中降機 vs 乗り継ぎ vs 乗り継ぎ:何が何だか?これらの用語はよく交換して使われていますが、特に特典旅行の場合、ルーティングルールに関しては、それぞれ全く異なる意味を持っています。
途中降機とは、通常、出発地と最終目的地の間の接続都市に24時間以上滞在することを意味します。これは、航空会社のハブ空港であったり、目的地に向かう途中の都市であったりします。
通常の旅行では考えられないような場所での途中降機やルート作りに工夫を凝らすことができます。アジアへ向かう途中のヨーロッパでの途中降機や、オーストラリアへ向かう途中のアジアでの途中降機は、最も一般的な途中降機の選択肢の一つです。
乗り継ぎとは、通常、24時間以内の都市での乗り継ぎのことを指しますが、プログラムによっては、乗り継ぎ時間の最大値が4時間と短い場合もあります。アワードプログラムでは、アワード規定やプログラムの利用規約を記載する際に、乗り継ぎを意味する「乗り継ぎ」という言葉を使用することがあります。
オープンジョーとは、ある都市に飛び込んで別の都市から出てくる場合のことです。例えば、アメリカからアジアに飛んでいて、シンガポールに飛んでバンコクから帰りたいとします。これは、以下の図のように、オープンジョーとみなされます。
アラスカ航空マイレージプランは、途中降機のポリシーに関しては、おそらく最も手厚いものでしょう。アラスカ航空では、片道航空券の場合でも、国際線の提携航空会社の特典に関連して、アラスカ航空が就航する都市、または提携航空会社のハブ空港のいずれかに途中降機することができます。往復の場合は、2回の途中降機が可能です。
アラスカ航空が考える「ハブ」とは、提携航空会社によって異なります。アラスカ航空では、アメリカン航空を利用する場合は、アメリカン航空が就航している48州南部のどの都市でも、日本航空を利用する場合は日本国内のどの都市でも途中降機することができます。
途中降機の予約は無料です。アラスカ航空のウェブサイトでマルチシティアワードの検索方法を知っておく必要があります。
アラスカ航空は 3 月末にワンワールド・アライアンスに加盟しますが、マイレージプランプログラムにはいくつかの変更があると予想されます。無料の途中降機が続くことを心から期待しています。
ANAマイレージクラブは、アメックスの乗り換えパートナーであり、非常にリーズナブルな還元率を誇る逸品なプログラムです。例えば、ヨーロッパ行きのビジネスクラスの特典を往復88,000ポイントという低価格で予約することができます。ただし、特典は往復の一部として予約しなければならないなど、いくつかのルールがありますが、途中降機は予約することができます。
ANAのウェブサイトは、Windows95を使っているような感覚で操作できますが、コツをつかむのは簡単で、ほとんどの特典はオンラインで予約することができます。ルフトハンザグループの航空会社やトルコ航空などの航空会社では、パートナーサーチャージが高額になることがあるので注意が必要です。
重要な注意点としては、日本発の旅程の場合、途中降機は認められていません。
JALマイレージバンクは、最も寛大な途中降機ポリシーを提供していますが、パートナーと一緒にご旅行される場合に限ります。この航空会社には距離に応じた特典プログラムがあり、特典の価格は旅行距離の合計に応じて決まります。気前の良い途中降機規定を設けていることは理にかなっていると言えます。
このプログラムでは、マイルの交換方法によって異なるルールがあります。基本的には、3つの異なる特典タイプを提供しています。
シングルパートナーでのご旅行の場合、1つの特典で最大3回まで途中降機が可能です。一部の例外を除き、合計6区間までご利用いただけます。ただし、特定のパートナーにはいくつかの制限があります。
大韓航空をご利用の場合、2区間までしかご利用いただけませんが、途中降機を含めることができます。
中国東方航空を旅行する場合は、合計4区間しか認められておらず、中国に立ち寄ることはできません。
ハワイアン航空、ロイヤルエアマロック、ヴィスタラ航空を利用する場合は、合計4区間しか利用できません。
ワンワールド・アワードでご旅行の場合、途中降機はなんと 7 回まで可能です。ワンワールド・アワードでは合計 8 区間しか利用できないため、途中降機の実用性が制限されます。仮に7回の途中降機を最大限に活用しようとすると、乗り継ぎのある各都市での途中降機が必要となります。
JALは信じられないほど手厚いプログラムとポリシーを持っていますが、JALマイレージバンクに移行できるポイントがマリオットポイントしかないのが難点です。
ブリティッシュ・エアウェイズとイベリア・プラスには、特典の価格がセグメントごとの距離と客室数で計算されるというユニークなプログラムがあります。1つのPNRで好きなだけセグメントを予約することができますが、それぞれのセグメントの料金を支払うことになります。料金は累積されます。
ブリティッシュ・エアウェイズやイベリア航空は特典旅行での途中降機を明示的にはしていませんが、距離とセグメントに応じた特典表があるので、同じ数のAviosであればどの都市でも途中降機することができます。税金や手数料は少し高くなるかもしれませんが、これ以上アビオスで支払うことはありません。
ブリティッシュ・エアウェイズのユニークな特典交換オプションの1つに、秘密のマルチキャリア特典チャートがあります。チャートがウェブサイトで公開されているにもかかわらず、このことを知っているBAの代理店は驚くほど少ないため、私たちはこれを「シークレット」と呼んでいます。
2社以上のワンワールド・アライアンス加盟航空会社を利用する場合(いずれかの区間がBAの場合は3社以上)、この特典チャートを利用して、各区間を個別に予約する場合よりも少ないアビオスを支払うことができます。
この方法では、最大 8 区間のフライトを予約することができ、ご希望に応じて各都市で途中降機することができます。バックトラックはできませんし、オープンジョーは1回のみ許可されています。少しの柔軟性と創造性があれば、これらのアワードはAviosを交換するための素晴らしい価値を提供することができます。
多くのエージェントはこのチャートの存在すら知らないため、マルチキャリアアワードの予約方法を知っている人を見つけるために何度か電話をするか、エージェントにマルチキャリアアワードの予約ポリシーを再確認してもらう必要があります。
脆弱性診断を内製化せよ─日々発生する新たな脅威を叩くための切り札
サイバー攻撃による被害の大きさが社会問題になっています。同時に、リモートワークの本格導入も進んでおり、これを機に自組織の情報セキュリティ対策を見直す企業が増えています。最近は特に、新たな脆弱性が日々発生しているため、より短期的なサイクルで安全性を確認する必要があります。高度化・複雑化するサイバー攻撃に備えるため、情報セキュリティ対策を実施するための体制の整備が急がれています。
ただし、情報セキュリティ対策において検討すべき事柄は多岐にわたります。とりわけ「脆弱性への対策」は、深刻な被害をもたらすようなサイバー攻撃に直接関わることが多く、非常に重要です。今回は、脆弱性にスポットを当て、いま企業が実施するべき施策を紹介します。
情報セキュリティ対策は、セキュリティの運用担当者だけでなく、経営者や外部のセキュリティベンダを交えて検討するべきものです。多くの検討項目がある中で、技術的な対策は以下の6つに分類*されます。
* IPA 独立行政法人 情報処理推進機構「中小企業の情報セキュリティ対策ガイドライン」
上記の技術的な対策は、セキュリティ機器の導入やセキュリティポリシーの策定などによって実現します。分類のうち、システムセキュリティ管理は、サイバー攻撃で利用される脆弱性を発見・管理できる施策です。適切にシステムセキュリティ管理することによって、脆弱性による脅威に備えることができます。
システムセキュリティ管理において、はじめに考慮する脆弱性とは、システムに存在する欠陥です。攻撃者は主に脆弱性を利用して、システムへの不正アクセスや改ざん、ウイルス・ランサムウェアの感染といった攻撃を仕掛けます。このように、被害の起点となり得る脆弱性への対策として、何よりも重要なのが脆弱性診断です。脆弱性を発見し、解消もしくは回避することで、被害を未然に防ぎます。
ここで、脆弱性診断について掘り下げてみましょう。脆弱性診断には大きく「委託診断」と「診断内製化」の2種類があります。
委託診断は、外部ベンダーによる脆弱性診断のことです。綿密な診断を実施できますが、調整に時間を要し、コストもかかります。そのため、自組織が持つすべてのシステムを対象に、定期的に診断するといった方法は現実的ではありません。また、新規の脆弱性は日々発見されており、より短いサイクルで脆弱性診断を実施する必要があります。外部の力を借りる委託診断は、そこに限界があります。
一方で、診断内製化は、文字通り自組織内で診断が完結するため、そうした課題を解決します。綿密な診断には不向きですが、多くのシステムを対象に短いサイクルで定期的な診断を実施できます。日々発生する新たな脆弱性にも対応できます。それが、ラックが診断の内製化を強く提案する理由です。
結論として、綿密な診断が求められる重要なシステムに対しては委託診断を選ぶ一方で、日常的な脆弱性の管理には診断内製化で対応することが大切です。
外部委託と内製との違い| 外部委託 | 内製 | |
|---|---|---|
| 品質 |
|
|
| 納期 |
|
|
| コスト |
|
|
| メリット |
|
|
| 課題 |
|
|
システムセキュリティ管理の理想は、もちろん脆弱性がゼロになることです。ただし、それは現実的ではありません。診断内製化を実施し、効果的に運用していくためには、目的を決める段階から慎重に進める必要があります。
築20年くらいまではジャックス提携業者さんに勝てないので、昭和~平成初期もしくは旧耐震1Rの買取りを強化していこうと思う今日この頃
通常200永久不滅ポイントで500JALマイルと交換できるところ、キャンペーン中は+100ボーナスマイルがプレゼントされるようになります!
| 通常時の交換レート | 200永久不滅ポイント | 500JALマイル |
|---|---|---|
| キャンペーン時の 交換レート | 200永久不滅ポイント | 600JALマイル |
2月22日午前 - 人気のオーディオチャットルームアプリ「Clubhouse」は、悪意のあるハッカーやスパイによってユーザーデータが盗まれないように対策を講じると報じられていました。 しかし今、少なくとも1人のサイバー攻撃者が、Clubhousプラットフォーム上のライブオーディオが盗まれる可能性があることを証明しました。
Clubhouseの広報担当者Reema Bahnasy氏によると、正体不明のユーザーが今週末、「複数の部屋」からクラブハウスのオーディオを独自のサードパーティのウェブサイトにストリーミングすることができたという。
Clubhouseは「永久にユーザーを追放する」としているが、このような事件が再発しないように新たな「セキュリティ対策」を講じている。 しかし、研究者の中には、Clubhouseプラットフォームはそのような約束を果たすことができないかもしれないと考えている人もいます。
スタンフォード・インターネット天文台(Stanford Internet Observatory)は2月13日、Clubhouseに関するセキュリティ上の懸念を初めて公にした。 同機関は、招待制のiOSアプリのユーザーは、すべての会話が録音されることを想定しておくべきだと日曜日遅くに述べた。
Facebookの元セキュリティ責任者で現在はSIOの責任者を務めるアレックス・ステイモス氏は、"Clubhouseでは、世界中のどこで行われている会話でもプライバシーを約束することはできない "と述べています。
また、Stamos氏と彼のチームは、Clubhouseがバックエンド業務の多くを上海に拠点を置く新興企業Agora Inc.に依存していることも確認しています。 Clubhouseは、新しい友達を追加したり、部屋を見つけたりといったユーザー体験を主に担当しているが、Stamos氏によると、プラットフォームはまだデータトラフィック処理や音声制作サービスを中国の会社に依存しているという。
Agoraは、Clubhouseのセキュリティやプライバシープロトコルについてはコメントできないとし、Clubhouseはそのうちの1つに過ぎない顧客のために「個人を特定できる情報を保存したり共有したりしない」と主張しました。 アゴラは、"可能な限りの安全性を確保することに努めています。"
週末にかけて、サイバーセキュリティの専門家は、一部のオーディオとメタデータがClubhouseのプラットフォームから別のサイトに移動されていることに気づきました。 オーストラリアのキャンベラに拠点を置く『インターネット2.0』のロバート・ポッター最高経営責任者(CEO)は、「あるユーザーが、自分のログイン情報を世界中の他のユーザーと遠隔で共有する方法を作った。 "実際の問題は、人々がこれらの会話が決してプライベートなものではないと考えていることだ"
週末のオーディオ盗難の背後にある人々は、Clubhouseのアプリケーションをコンパイルするために使用されるJavaScriptのツールキットを中心にシステムを構築しました。 スタモスは、彼らが実際にアドホックなbasis.SIOにプラットフォームを構築したと考えていますが、それはまだ攻撃者のソースや身元を決定していないことを公に宣言しています。
Clubhouseは、同様の侵害を防ぐためにどのような対策が取られたかについての説明を拒否しましたが、解決策としては、実際にチャットルームに入らずにチャットルームの音声にアクセスするためのサードパーティ製アプリの使用を防ぐことや、ユーザーが同時にアクセスできるチャットルームの数を単純に制限することなどが考えられると、SIOのリサーチャーであるジャック・ケーブル氏は述べています。
Clubhouseは最近、10億ドルの評価額で1億ドルを調達した。 1月中旬以降、アゴラの株式は150%以上急騰し、現在では100億ドル近い時価総額を誇っています。
これまでに2回転職をしているが、自分が所属した会社はすべて従業員千人以上の会社である。
何故かというと、セキュリティ専任の人材を雇うことができるのは大企業だけだからである。
中小企業にはセキュリティ専任の人材を抱える余力はないのである。
それゆえ、中小企業のセキュリティはザルとなる。
そんな課題を解消すべく、セキュリティシェアードサービスなるものを立ち上げる会社を見つけたので紹介したい。
情報セキュリティに関するお悩みやご相談に、経験豊富なシェアードセキュリティサービスが御社の視点に立ってアドバイスいたします。
最近、副業を容認する企業も増えているので、世の中のニーズとマッチすると大きく伸びるのかもしれない。
ただ、当然ながら顧客はITを知らない人たちなので、難しい用語をわかりやすく伝えるコミュニケーション能力が求められえる(=実はセキュリティ人材で不足しているスキルの一つ)
詳細はコチラ
今日明日に、緊急で現金を要する必要があるとき、金策手段として何の方法を思い浮かべるでしょう。
やはり、面倒な作業なく手っ取り早く用意ができる有名な方法なら保有している“クレジットカード”の“ショッピング枠”を現金化です。
気になるのは、その換金率ですがブランド品を購入して転売しても価格の”6割”くらいが妥当ですし高い換金率目当てに人気の商品を購入しても、フリマアプリなどで捌くにしても、手間と時間が必要。
常套手段の”Amazonギフト券”を現金化する方法も、このご時世は換金率がかなり低くなり、高くて“8割”くらいが妥当な線でしょう。
さらに法律的に問題ないとしても“クレジットカード”側の規約では勿論、違反となりますので、もし不正利用などと認められた場合はカード自体を止められる可能性も。
ならば、可能な限り高い換金率で現金化ができ、且つ安全に取引をするには一体どうすればいいのか。
それは“クレジットカード現金化”に特化した専門業者への依頼です。
長年、知識と経験を重ねるプロの業者だからこそ、安心して取引ができるスキームを兼ね備えており不正利用で止められるリスクなくさらに高い換金率で現金化が可能。
しかし、現金化業者も現在かなり乱立しているのが現状で、中には怪しい詐欺業者も存在しています。
今回は、そういった方々の不安を払拭するため、”シノギブログ”が推奨する現金化業者8選のご紹介。
最大換金率表
1万円~30万円:92%
31万円~50万円:94%
51万円~100万円:96%
101万円~:99.2%
換金率表
1万円~20万円:93%
21万円~40万円:94%
41万円~60万円:95%
61万円~80万円:96%
81万円~100万円:97.8%
101万円~:ASK
※初回契約は換金率2%アップ
換金率表
1万円~15万円:88%
15万円~30万円:90%
30万円~50万円:92%
50万円~80万円:94%
80万円~100万円:95%
101万円~:99.2%
最大換金率:99.2%
※契約後に換金率5%クーポン進呈
換金率表
1万円~15万円:88%
15万円~30万円:90%
30万円~50万円:92%
50万円~80万円:94%
80万円~100万円:95%
101万円~:99.2%
最大換金率:96%
※毎月15日は換金率3%アップ
※契約後に換金率5%クーポン進呈
最大換金率表
1万円~15万円:88%(89%)
15万円~30万円:90%(91%)
30万円~50万円:92%(93%)
50万円~80万円:94%(95%)
80万円~100万円:96%(97%)
100万円~:98.8%
※()は通常プランの場合
※初回契約は換金率5%アップ
最大換金率表(個人事業主)
1万円~50万円:92.5%
51万円~100万円:95.5%
101万円~200万円:97%
業者ごとの特徴やメリットなども様々ですので、まずは問い合わせ気になることを質問してみるのも良いですし、”少額”からの現金化を試されてもいいかも知れません。
現在、国民の半数が保有している“運転免許証”ですが、顔写真付き身分証明書の代表格でもあります。
車を一切、運転しないという方も取り敢えず持っておけばの気持ちで取得することも多いでしょう。
そんな”運転免許証”、改めて表面に記載している長い番号のことを気にされたことはあるでしょうか。
この数字は、取得した都道府県や交付年、チェックデジットなどで発行する公安委員会などが把握をしやすいようデータ化しています。
勿論、一般的生活を送るだけなら数字と関わることもありませんし気にされることなどないでしょう。
しかし、この12桁の番号の末尾。この末尾の数字だけは少なからず人生に影響があるかも知れません。
“運転免許証”の12桁目、こちら“再発行した回数”となるのですがこの数字により、知らぬところで障害となっていることがあります。
例えば、クレジットカードの発行、銀行融資、住宅ローンなどの審査。
ステータスが一定以上である方を除いて、12桁目が“3以上”の方は絶対に審査に通さないという銀行、クレジットカード会社が多いです。
勿論、それが理由で”否決”だとは教えてもらえること自体ないので数字が原因とは誰も気付きません。
さらに、職務質問マニュアルでは“運転免許証”を確認して“3以上”だった場合は、要注意人物として対応するように、との記載もあり。
この再発行の数字を変更するには当たり前ですが再発行を繰り返し数字を上げていくしかありません。
但し、再発行”0″は初回のみとなり“9”だった方が次に再発行をすると“0”ではなく“1”になる仕組みです。
それでも、表面の数字が”1″ならば誰も”10回”もの再発行をしたとは想像すらことができないでしょう。
そこでふと思った。
このタイミングで航空券を抑えたらすごーくお得じゃね?
ゴールデンウィークや夏休みはあきらめるとしても、今年の年末年始であればイけるのではないだろうか?
当然、万が一のことを考えるとLCCは論外でフルサービスキャリアで押さえておく必要がある。
有償チケットだと、安いクラスだと手数料やら、下手すると返ってこない可能性もあるので、特典航空券で押さえるのが一番無難だと思う。
年末年始だったら東南アジアだな。となるとエコノミーかプレエコかな?(ビジネスは長距離路線でその価値を発揮するのである!)
ちょっと現時点のマイル数を整理してみることにする。
・JMB口座:約148,000マイル
・ポンタ:約30,000ポイント(≒15,000マイル)
・マリオット:約50,000ポイント(≒16,000マイル)
・永久不滅ポイント:約7,000ポイント(≒17,500マイル)
・Viewポイント:約15,000ポイント(≒10,000マイル)
・プレミアム優待倶楽部:25,000ポイント(≒5,000マイル)
・モッピー:約45,000ポイント(約20,000マイル)
--------------------------------------------
計:148,000マイル(+予備83,500マイル)
(うん。とりあえず抑えるだけ抑えておこう)
日本航空(JAL)は、4月から国内線機内オーディオサービスの一部プログラムを終了し、普通席でのイヤホンの配布も取りやめる。
3月時点では、邦楽や洋楽、クラシックや子供向け楽曲、福山雅治さんが「機長」を務める「JET STREAM」など計8プログラムを提供している。このうち、演芸を扱う「JAL 名人会」はビデオプログラムで継続するが、その他のオーディオプログラムは全て終了する。ビデオプログラムで提供する邦楽のミュージックビデオを視聴できるプログラムは継続する。
現在、普通席で配布しているイヤホンは、原則として配布を終了する。個人用画面を設置しているエアバスA350-900型機、ボーイング787-8型機では、配布を継続する。その他の個人用画面のない国内線機材や、個人用画面でのコンテンツ提供を行わない国際線機材などでは、4月からイヤホンを配布しない。
おいおい、ここで鼻コロナウイルス検査は不愉快だと思っていたのに。
中国の国境は外国人に対して大きく閉鎖されており、海外から到着した者には厳しい監視検疫が課せられます。現在、検疫は最大21日までとなっているだけでなく、検疫期間中に何度かの検査が行われています。
最近になって、中国はある空港で一貫してCOVID-19の肛門検査を要求しているようで、観光客や外交官などから苦情が寄せられていると報じられている。日本政府は最近、一部の日本の訪問者がこの検査のために「大きな心理的苦痛」を経験したと述べた後、この政策について不満を表明した。
この方法では、滅菌綿棒を肛門に3~5センチ(1.2~2インチ)挿入してから回転させて除去します。代替案として、また、いくつかの政府からの反対のために、選ばれた外国人訪問者は現在、便のサンプルを提出することが許可されています。
肛門コロナウイルス検査は鼻からの検査に加えて、例えば21日間の検疫期間中は、鼻からの検査2回と肛門からの検査2回の両方を受けるのが普通です。
このような肛門検査を使用する理由は、コロナウイルスの痕跡が呼吸器よりも肛門内の方がはるかに長く検出できるからであると言われています。ウイルスは呼吸器よりも肛門内の方が長く生きているため、肛門検査では偽陰性が少ない可能性があることを意味します。
一般的には、まず呼吸器検査を行い、その後数週間で肛門検査を行うのが一般的な方法のようです。しかし、検査が陽性だからといって、必ずしも誰かがウイルスを拡散するとは限りません - 複製できない不活性な痕跡も陽性を示す可能性があると考えられています。
中国の国境はほぼ閉鎖されているが、海外から到着した者は最大21日間の検疫を受けるだけでなく、複数の肛門コロナウイルス検査を受けるように求められている。これは、綿棒を肛門から3~5センチほど挿入し、ねじって取り出します。
この検査方針がいつまで続くのか興味津々です。コロナウイルスを嗅ぐ犬が将来の検査になることを期待して、これらの肛門検査ではなく...
世界の複数の航空会社の旅客データが、世界的な情報技術企業であるSITAのサーバーがハッカーによって侵害されたことが明らかになりました。
JAL、ANAを含む十数社近くの航空会社が、航空券の予約から搭乗までのトランザクションを処理するSITAのPassenger Service System(PSS)に侵入者が侵入し、一部のデータがアクセスされたことを乗客に伝えている。
影響を受けた旅行者の総数は明らかになっていませんが、210万人以上となっており、そのほとんどがヨーロッパ最大規模のルフトハンザグループのマイレージプログラム「Miles & More」およびアワードプログラムの参加者となっています。
SITAは木曜日の短い声明でサイバー攻撃を確認し、影響を受けたPSSの顧客および関連するすべての組織に連絡したと述べました。
SITAの担当者がBleepingComputerに語ったところによると、侵入は以下の航空会社の乗客のデータに影響を与えているという。各社とも、すでに顧客に通知したり、侵入についての公開声明を発表している。
Googleとスタンフォード大学の研究者が、世界的に送信されたフィッシング/マルウェアのメールを5ヶ月間分析した詳細な調査結果を発表しました。"メールベースのフィッシングやマルウェアに狙われているのは誰か?リスクを差別化する要因を測定する」と題して、10億通以上のメールを調べた。その結果は、インターネット測定会議でのプレゼンテーションに反映された。
Gmailによって自動的にブロックされたフィッシングやマルウェアキャンペーンについて調べたところ、フィッシングの世界での現在の傾向や出来事について、かなりのことを発見したそうです。
攻撃は主に北米と欧州を中心に行われ、米国はフィッシングやマルウェアメールの受信量が最も多い。しかし、最もリスクが高い国はアフリカとヨーロッパです。調査によると、16カ国が米国よりも平均的に高いリスクを示しています。
ローカライゼーションは特に人気があるわけではなく、ほとんどの攻撃者は英語のメールテンプレートを複数の国に展開しています。フィッシングメールの83%、マルウェアメールの97%は英語で書かれている。しかし、日本国内のフィッシングメールの78%は日本語で書かれており、一部のローカライズが行われていることにも注目している。
1つのテンプレートは100~1,000人のターゲットに送信され、キャンペーンは平均して1~3日で終了します。小規模なキャンペーンでは、1週間で1億通以上のGmailユーザーを対象としたフィッシングメールやマルウェアメールが送られてきます。
ターゲットにされるリスクは、各年齢層が上に行くほど少しずつ増えていきます。もしあなたが55-64歳であれば、18-24歳や35-44歳の年齢層よりも魅力的な提案をされる可能性があります。これは、理論的には高齢者ほど詐欺に遭いやすいということなのか、それとも単にオンラインでの足跡を見つけやすいということなのか、どちらにしても決められていません。
過去のデータ侵害はリスクを高めます。データ漏洩で個人情報が公開された場合、攻撃される確率ははるかに高くなります。覆水盆に返らずですし、詐欺師が積極的にメールを列挙したり、人口統計学的情報を掘り下げたりするのは理にかなっています。
携帯電話に固執することで攻撃のリスクが最も低くなりますが、複数のデバイスを使用することで最も高いリスクが発生します。1台のパソコンを使用すると、その中間に位置することになります。
Webシェル攻撃とはどんなものか Microsoft 365 Defenderが月間14万件も検出する脅威
Microsoftは2021年2月11日(現地時間)、サイバー攻撃でWebシェルが使われるケースが増えていると公式ブログで報告した。『Microsoft 365 Defender』のデータによると、2020年8月から2021年1月末までの期間においてWebシェルが使われた脅威の件数は月平均14万件に到達しており、前年の7万7000件のほぼ2倍に達しているという。
ユーザーが何らかの方法で任意のコマンドをサーバ実行するためにWebサーバにインストールして使うソフトウェアやその仕組みを「Webシェル」と呼ぶ。
Webシェルは特定のソフトウェアを指すのではなく、PHPやASPのようなプログラミング言語の実行環境を指す。そうしたプログラミング言語にはシステムの任意のコマンドを実行するために幾つかの手段が用意されている。
攻撃者はさまざまな方法でこの機能を使い、遠隔からサーバ上で任意のコマンドを実行できるようにして攻撃する。Webシェルがサイバー攻撃に使われていることは以前からよく知られており、増加傾向が続いていることも報告されていた。今回のMicrosoftの報告はこの傾向が継続しているのみならず、これまでよりも速いペースで増加していることを示した。
Webシェルのインストールは通常、Webアプリケーションの脆弱性を利用する形で実行される。インターネットには脆弱性を修正するパッチが適用されないまま運用されているサーバが多数存在する。攻撃者はこうしたサーバをスキャンによって発見し、Webシェルのインストール先として利用する。
Webシェルは比較的簡単に設置でき、効果的に利用できることから、サイバー攻撃において利用が活発化している可能性が指摘されている。攻撃のエントリーポイントとして使用できる他、攻撃を永続化する仕組みとしても使用できる。Webシェルは構成によっては検出が難しく、実際に実行されなければ危険性を検出できないものも多い。今後もWebシェルを使用したサイバー攻撃は増加することが予測されるため注意が必要だ。
Launching an Open Source Aircraft Database for Venezuela
多くの民間航空局は、航空機の登録情報をオンラインで公開しています。米連邦航空局(FAA)のFAAレジストリ、カナダ運輸省のCanadian Civil Aircraft Register、英国のG-Infoレジストリなどがこれにあたります。航空機の登録番号を知っていれば、各国の登録ページで調べて、航空機のモデル、シリアル番号、登録者などの情報を得ることができます。
しかし、すべての民間航空局がこのように航空機の登録情報を公開しているわけではありません。ベネズエラの場合、民間航空局(Instituto Nacional de Aeronautica Civil:INAC)はこのような情報をオンラインで提供していません。そのため、ベネズエラの航空機登録情報を知りたい研究者は、他の情報源を探す必要がある。
2020年1月、ベネズエラで登録された航空機のオープンデータベースを開始しました。オープンソースのフライトトラッキングデータと、航空機追跡愛好家からの有益なアドバイスを利用して、このデータベースには約240機の航空機の詳細が含まれています。これらの航空機の大部分はベネズエラで登録されているが、中にはベネズエラと何らかの関係がある外国籍のものもある(詳細は後述)。
このデータベースは、登録番号やシリアルナンバーなどの航空機の識別情報を一元的に管理するためのものです。 このデータベースには、航空機のスポッターが撮影した写真や飛行履歴などの追加情報も含まれている。航空会社に登録されている民間航空機のように、航空機の所有権が明らかなものもありますが、他の航空機の所有者や運航者を特定することははるかに困難です。そのため、航空機がいつどこに移動したのかを知ることは、ベネズエラの富裕層や権力者の動きと関連があるかもしれないからだ。
データベースに登録されている情報の大部分は、4つのフライトトラッキングプラットフォーム(addsbexchange.com、opensky-network.org、flightradar24.com、radarbox24.com)という複数のソースから得られたものです。データのほとんどは、過去1年間にこれらのサイトをライブモニターして収集したものです。また、航空機愛好家の方々からは、航空機に関するデータを提供していただいたほか、データベースをより便利にするためのフォーマットに関するヒントもいただきました。
データベースのカラムは、4つの「識別子」カラム、1つの「注記」カラム、そして(現時点では)10の「追加情報」カラムに分類されています。
以下では、各カラムの目的を説明するガイドと、このデータベースがどのように利用されているかを示す初期の例を紹介します。
列の入力には、Google SheetsのCONCATENATE機能を使用しています。これにより、文字列の結合やURLの自動入力が可能になります。フライトトラッキングサイトでは通常、検索を行うために飛行機の登録番号か24ビットのICAOアドレスのいずれかを入力する必要がある。
しかし、各サイトが検索後にどのようにURLを入力するかを見ることで、CONCATENATE機能を使って、他の関連する飛行機登録や24ビットICAOアドレスのために必要なURL検索の全文を予測し、自動的に入力することができます。
例えば、下の画像は、opensky-network.orgに登録されているYV2966という航空機の検索結果を示しています。このURLは「0D81C9」で終わっていますが、これはこの飛行機の24ビットICAOアドレスです。
それを踏まえた上で、コラムの内容をご紹介します。
このデータベースがスペイン語で書かれているのは、ベネズエラの研究者や市民ジャーナリストが、自国の空を記録することに興味を持つことを想定しているからです。
A列からD列には、航空機の登録番号、モデル番号、製造者シリアル番号、および固有のICAO 24ビットアドレス(「ヘックスコード」とも呼ばれる)が記載されています。これらの情報により、航空機を歴史的にもリアルタイムにも追跡することができます。多くの場合、データベース内の情報は、2つまたは3つの異なるオープンソースを使用して編集されています。
これらの欄の情報は、航空機がベネズエラの空域で観測された後に、上記のフライトトラッキングウェブサイトの1つに手動で入力されています。
E欄の「メモ」には、航空機に関する興味深い情報や潜在的な関連情報が記載されています。このノートには、その航空機が過去に行った旅行や、その航空機について言及したニュース記事やプレスリリースなどが含まれます。
例えば、このデータベースに登録されている十数機の航空機が、米国財務省が公表した制裁リストに登場しています。例えば、2020年1月21日に他の14機とともに制裁を受けたボンバルディア・リアジェット45のYV2738は、国営石油会社であるペトロロス・デ・ベネズエラ(PDVSA)の所有物であることが理由である。今回の制裁は、ベネズエラのニコラス・マドゥロ大統領の政権に「圧力」をかけるためにトランプ政権が行った広範な行動の一環である。
メモ欄には、カラカス中心部にあるGeneralissimo Francisco de Miranda空軍基地(俗称:La Carlota)からの着陸または離陸も観測されています。この空軍基地は軍事施設であり、少なくとも2014年以降は民間機の飛行が公式に禁止されているため、ここに着陸する民間機は注目に値する。一般の航空会社や民間航空機は、カラカスの南と北にそれぞれあるオスカー・マチャド国際空港とシモン・ボリバル国際空港を利用するのが一般的だ。それでも、セスナS550サイテーションSIのYV3310は、11月23日の朝、シウダー・グアヤナに向かうためにラ・カルロータを離陸しました。
ベネズエラのニュース「El Diario」によると、Conviasa(国営フラッグキャリア)は、滑走路が商業用に閉鎖されているにもかかわらず、La CarlotaからLos Roques島群島へのフライトを運航し、ベネズエラの富裕層や権力者にサービスを提供しているとのことです。データベースのフライトトラッキングツールを使えば、他にどのような航空機がこの基地を利用しているかを確認することができます。
F列からO列には、各航空機の追加情報が記載されています。これらの情報は、飛行履歴、登録データ、インシデントデータ、写真、およびTwitterから取得したデータに分類されています。
各項目の説明は以下の通りです。
Flight history: F-I列には、adsbexchange.com、flightradar24.com、radarbox24.com、およびflightawareからのフライト履歴データが含まれています。フライト履歴は、サイトによっては様々な費用をかけて有料で提供されているため、各サイトによって大きく異なる場合があります。
Planespotter Pictures: L列とM列には、人気の高い航空画像サイトであるplanespotters.netとjetphotos.comでplanespottersが撮影し、共有している航空機の画像へのリンクがあります。
これらの画像は、航空機に関する視覚的なデータを提供するだけでなく、航空機の飛行履歴に関する情報が含まれていることもあり、有用です。例えば、jetphotos.comのYV2152のエントリーには、2017年11月24日にグアテマラシティのラ・アウロラ国際空港で撮影された同機の画像が含まれており、その日に同機がその場所に存在していたことを視覚的に確認することができます。
Twitter Information: N列とO列には、航空機の登録番号や24ビットのICAOアドレスに言及したツイートの検索結果が含まれています。この2つの識別子は、趣味や研究者、ジャーナリストが航空機についてツイートする際に使用される可能性が高いものです。
これらのTwitter検索の情報は、航空機の所有者や過去の履歴に関する重要な情報を、その航空機についてのツイートやスレッドの形で提供することができます。
Other Details: P列には、ホビー用フライトトラッキングサイトであるopensky-network.comのデータが含まれています。この情報には、航空機のシリアル番号、年代、ヘックスコード、登録所有者などが含まれます。
Q列とR列は、航空機を空軍、民間、航空会社、国際に分類し、Conviasaに登録されているかどうかを示しています。
ゼロトラストアーキテクチャは、スタックのどの層も、それがハードウェアであろうとソフトウェアであろうと、基礎となるコンポーネントを信頼していないという点を強化します。そのため、セキュリティプロパティは、最初の使用時と断続的な使用時に、すべての依存関係と相互依存関係に対して期待通りであることを保証するために検証されます(ゼロトラストの動的な認証と検証の考え方)。各コンポーネントは、隣接するコンポーネントや依存するコンポーネントが脆弱である可能性があるかのように構築されます。そのため、個々のコンポーネントは、それが主張された信頼レベルを保証するコンポーネントである必要があり、侵害または侵害の試みを検出できる必要があると想定しています。
これは、ゼロトラストがすべての層で分離の原則を植え付けるという点で、少し混乱を招くパラダイムである可能性があります。これは、コンポーネント間のいわゆるゼロトラストのポイントを強制しますが、セキュリティ特性とアイデンティティの検証は、期待される制御が満たされていることを保証するために継続的に実行されます。あるコンポーネントは、依存関係の期待される特性が保証されていない場合、実行しないことを選択するかもしれません。ゼロトラストアーキテクチャは、「絶対に信頼せず、常に検証する」ことを保証します。これにより、各コンポーネントの横移動や特権実行の検出と防止が可能となり、システムとソフトウェアの保証が向上します。
アイデンティティ、認証、認可、アクセス制御、暗号化は、コンポーネント間の保証を検証するために意図的かつ動的な意思決定が継続的に行われるゼロ・トラスト・アーキテクチャの中核的な考え方の一つです。ゼロ・トラストは、フォレスター社の概念として生まれた結果、ネットワーク層で議論されることが多いですが、ゼロ・トラストの定義は、過去10年間でかなり進化し、インフラストラクチャ、デバイスのファームウェア、ソフトウェア、およびデータにまたがる普及した概念となっています。
ゼロトラストは、ネットワークに関連してよく議論されますが、ネットワークセグメントごとにアプリケーションを分離し、強力な暗号化や動的認証などの制御が満たされていることを保証します。ゼロトラストはマイクロサービスレベルでも適用でき、サービス間の検証を通じて制御と測定の保証を提供します。このモデルを詳細に適用することで、攻撃者の横移動の防止と検出がさらに強化されます。
ゼロトラストは、インフラストラクチャの保証から始まります。Hardware root Of Trust (RoT)は、Trusted Platform Module(TPM)にバインドされた暗号化されたアイデンティティで不変です。このインフラストラクチャ保証の例では、ゼロトラストアーキテクチャの原則を説いています。ブート時に、システムはまず、ハードウェアコンポーネントが期待通りであることを確認します。
次に、システムブートプロセスは、システムと各依存関係を、TPM 内の暗号化 ID を使用してデジタル署名で証明された、期待される測定値を含む、いわゆる「ゴールデンポリシー」のセットに対して検証し始めます。ポリシーの比較が一致しない場合は、プロセスが再起動されたり、システムのブートプロセスが停止されたりします。ハードウェアとソフトウェアベースの RoT オプションはいくつかありますが、ブートからファームウェアと BIOS の回復力のガイドラインは、一般的にポリシーと測定値の開発に従います。
認証は、ブートプロセスの各段階で RoT によって署名され、依存するコンポーネントを識別すると同時に、信頼の保証を提供するために使用されます。依存関係は連鎖させることもできますし、個別に検証することもできます。これらのアテステーションは実行時にも提供され、動的認証とアクセス制御(この場合はインフラストラクチャコンポーネント)の信頼ゼロ要件をサポートする。アテステーションは、コンポーネントの身元を確認するための要件を支援し、コンポーネントの保証を提供するために不可欠なものです。
コンポーネントやソフトウェアに侵入した攻撃者は、脅威であり続けるため、この動的で定期的な検証と認証で生き延びる必要があります。また、攻撃者は、権限をエスカレートさせたり、互いに信頼できない分離されたコンポーネント間で横方向に移動したりする方法を見つけ出さなければなりません。
NIST の Firmware Resiliency Special Publication に基づいた Trusted Computing Group (TCG) の Reference Integrity Manifest は、ファームウェアのポリシーと測定のための信頼できるコントロールを提供します。スタックを上げていくと、ゼロトラストに必要な検証を提供するための信頼されたコントロールセットには、CIS コントロールと CIS ベンチマークが含まれています。NIST、CIS、TCG などの信頼された第三者は、コントロールとベンチマークの要件を設定するために必要な外部で確立された検証プロセスを提供する。この例としては、特定の保証レベルのCISオペレーティングシステムまたはコンテナベンチマークに準拠するために使用される証明書が挙げられる。
興味深いことに、ゼロ・トラスト・アーキテクチャが形になり始めたのとほぼ同時期に、ロッキード・マーチンはサイバーキルチェーンを開発した(2011年)。Cyber Kill Chain は、攻撃の段階を分離し、段階間での緩和と検知の防御を可能にするために最初に定義されました。MITRE ATT&CK フレームワークは、ロッキード・マーチンのモデルを基礎に、使用から学んだギャップや進化する脅威の状況を考慮して、今日では主に使用されている。本論文では、相関プロセスを単純化するためにサイバーキルチェーンを使用するが、MITRE ATT&CK フレームワークに抽象化することも可能である。
ロッキード・マーチンのキルチェーンは、サプライチェーン攻撃を含む高度な持続的脅威攻撃(APT)の巧妙化に対応するために開発されました。認証を介して(動的に)身元を証明する要件を含む、攻撃フェーズ間の防御と制御を実装することで、攻撃者の横移動や特権昇格の試みをより簡単に検知できるようになりました。キルチェーンの早い段階で検知と防御を行うことは、攻撃の成功(データの流出やネットワーク内の混乱など)を防ぐために理想的である。
検出と防御の技術をスタック内やアプリケーションや機能全体に広く適用し、認証済みコンポーネントを検証するために動的アクセス制御を使用することで、ゼロトラストのアーキテクチャのテネ ットをサポートし、キルチェーンの早期検出を可能にしています。ゼロトラストの考え方が機能している証拠は、攻撃者の滞留時間パターンによって証明されているように、キルチェーンの検出制御と併用して展開することを考慮すれば明らかです。
キルチェーンが初めて使用されて以来、攻撃者の滞留時間(攻撃者がネットワーク上で検知されずに留まる時間)は劇的に短縮されてきました。これは、地域によってサイバーキルチェーンとゼロトラストの防御策が採用されたことで、世界的な滞留時間と地域的な滞留時間の両方が変化したことで明らかになっています。FireEyeのM-Trendsの年次報告書によると、世界の滞留時間の中央値は2013年に229日、2020年の報告書では56日となっています。ゼロトラストのアーキテクチャパターンとキルチェーンとMITRE ATT&CKの防御フレームワークの採用には格差があることが知られており、地域別の数字もこのアーキテクチャアプローチの成功を裏付けています。
その両方をいち早く取り入れたのがアメリカであることが知られていました。2017年を例に挙げると、アメリカ大陸の滞留時間の中央値は75日、アジアの滞留時間の中央値は172日でした。小規模な組織や、どの地域でもリソースの少ない組織は、どの時点でも、大規模でリソースの豊富な組織とは大きく異なる滞留時間を経験する可能性があります。滞留時間の数値は、これらの管理が成功していることを具体的なデータで実証するのに役立つ。
ゼロトラストは、アプリケーションが分離されたネットワークのみの定義から、すべてのコンポーネント間の予期せぬ動作の検出をサポートするために、より詳細なレベルへと進化しました。ゼロトラストとロッキードのキルチェーンの間の論理的なつながりは、モデルの明確な価値を示しています。これはまた、ゼロ・トラストの将来を、インフラストラクチャの起動からマイクロサービスレベルに至るまで、その身元と保証レベルが検証されていることを保証する分離されたコンポーネントの基盤の上に構築され、ますますデータ中心になっていくと予測することにも役立ちます。
NIST SP 800-207では、ゼロトラストを次のように定義しています。
"ゼロ・トラスト(ZT)は、ネットワークが危殆化していると見られる状況下で、情報システムやサービスにおいて、正確で、要求ごとに最小の特権を持つアクセス決定を実施する際の不確実性を最小化するために設計された概念と考え方の集合体を提供します。ゼロ・トラスト・アーキテクチャ(ZTA)は、ゼロ・トラストの概念を利用した企業のサイバーセキュリティ計画であり、コンポーネントの関係、ワークフロー計画、アクセス・ポリシーを包括しています。したがって、ゼロ・トラスト・エンタープライズとは、ゼロ・トラスト・アーキテクチャ計画の成果物として、企業のネットワーク・インフラストラクチャ(物理的および仮想的)と運用ポリシーのことを指します。"
以下のリストは、NIST CSRC Publication SP 800-207から引用したものです。
- すべてのデータソースとコンピューティングサービスは、リソースと見なされます。
- 場所に関係なく、すべての通信が安全に行われます。
- 個々の企業リソースへのアクセスは、セッションごとに許可されています。
- リソースへのアクセスは動的なポリシーによって決定されます。
- 所有するすべてのデバイスと関連するデバイスは、可能な限り最も安全な状態になっています。
- すべてのリソースの認証と認可は動的であり、厳密に実施されます。
- ネットワークインフラの現状をできるだけ多くの情報を収集し、セキュリティ姿勢の向上を図る
ロッキードのキルチェーンの目的は、脅威を積極的に検知することである。ゼロ・トラストの原則は、キルチェーンの段階に沿った予防と検出を支援します。
データ移行で発生したみずほ銀行のシステム障害についてまとめてみた
2021年2月28日、みずほ銀行でシステム障害が発生し、全国で同行のATMが利用できなくなる、キャッシュカードが取り込まれたまま戻ってこないなどのトラブルが発生しました。ここでは関連する情報をまとめます。
障害が発生したのは2021年2月28日11時頃。障害により各地で生じた影響は以下が報じられるなどしている。なお、法人向けに提供されるサービスでは今回のシステム障害による不具合は確認されていない。
| 日時 | 出来事 |
|---|---|
| 2021年2月28日午前 | 定期預金のデータ移行作業中にシステム障害が発生。 |
| 同日 11時頃 | 全国に設置されたみずほ銀行の一部のATMが利用できなくなる障害が発生。 |
| 同日 13時頃 | みずほ銀行がWebサイト上にシステム障害の発生を掲載。 |
| 同日 午後 | みずほ銀行がWebサイト上にデータ移行が原因であり復旧対応中であることを掲載。 |
| 同日 夜 | システム障害の復旧完了。 |
| 2021年3月1日7時 | 店舗外のATMなどを中心に一部再開が出来ず。 |
| 同日 9時頃 | 全国支店に設置されたATMなどをすべて復旧。 |
| 同日 15時頃 | 稼働確認ができていなかった店舗外42台の復旧を確認。 |
| 同日 夕方 | みずほ銀行が今回のシステム障害について記者会見。頭取が謝罪。 |
| 2021年3月2日 | キャッシュカード、通帳の返却が8割完了。 |
| 2021年3月3日 | 金融庁がみずほ銀行に報告徴求命令。 |
