インターネットに晒されている機器を調べるサイト【SHODAN】

SHODANという検索エンジンがある。

一時期はIoT検索エンジンとか言われていたが、ネット上に晒されている機器を検索することができるサービスである。

https://www.shodan.io/

アクセスすると、検索ウィンドウがあると思うので、IPアドレスやポート番号等のキーワードを入れて検索する。

※注：罠の可能性もあるので、脆弱っぽい機器を見つけたとしても安易にアクセスしないでください。

【インターネット直結のプリンタでパスワード設定が無い機器を調べるときの例】
printer password is not set

【日本国内でtelnetがオープンになっているインターネット機器を調べるときの例】
country:"JP" port:23

【日本国内のAnonymous FTPを調べるときの例】
country:"JP" Anonymous FTP

【日本国内でインターネットにポート445がオープンになっているWindows PC（Windowsサーバは除外）を調べるときの例】
port:445 country:"JP" OS:"Windows" country:"JP" !OS:"Server"

【既知の脆弱性(例:CVE-2019-0708)を持つデバイスを検索するときの例】
vuln:CVE-2019-0708
　　　　　　　　　　　　※フリーアカウントでは不可。

【Onion Address（v2/v3）を検索するときの例】

"Onion-Location"

【参考】
日本国内で接続されている IoT 機器数(IPA)
https://www.ipa.go.jp/security/iot/20170417.html

増加するインターネット接続機器の不適切な情報公開とその対策(IPA)
https://www.ipa.go.jp/files/000052712.pdf

Exchange Serverの脆弱性まとめとSHODANでの観測状況(マクニカネットワークス)
https://blog.macnica.net/blog/2020/06/exchangeserver-shodan.html

OSINT 用検索エンジンあれこれ

https://ninoseki.github.io/2018/12/03/osint-search-engine.html

-2020/7/11追記-
【ダークウェブのIPアドレス調査の例】

https://www.shodan.io/search?query=%22.onion%22+AND+-%22Onion-Location%22

-2020/8/26追記-

【日本国内のPulse SecureのVPN製品調査の例】

https://www.shodan.io/search?query=product%3A%22Pulse+Secure%22+country%3A%22JP%22

【特定のドメイン(証明書のコモンネーム)を調べる場合の例】

https://www.shodan.io/search?query=ssl.cert.subject.CN%3Azensho.co.jp

-2020/9/1追記-

【IPで検索する場合の例】

net:115.165.122.0/24

https://note.com/hiro_shi_note/n/n8deabbc4ed70

-2021/3/16追記-

【検索フィルタ一覧】

filter	desc.
asn	The Autonomous System Number that identifies the network the device is on.
before	Only show results that were collected before the given date (dd/mm/yyyy.
city	Show results that are located in the given city.
country	Show results that are located within the given country.
geo	There are 2 modes to the geo filter: radius and bounding box. ex: geo:50,50,100. or geo:10,10,50,50.
hash	Hash of the "data" property
has_ipv6	If "true" only show results that were discovered on IPv6.
has_screenshot	If "true" only show results that have a screenshot available.
hostname	Search for hosts that contain the given value in their hostname.
isp	Find devices based on the upstream owner of the IP netblock.
link	Find devices depending on their connection to the Internet.
net	Search by netblock using CIDR notation; ex: net:69.84.207.0/24
org	Find devices based on the owner of the IP netblock.
os	Filter results based on the operating system of the device.
port	Find devices based on the services/ ports that are publicly exposed on the Internet.
postal	Search by postal code.
product	Filter using the name of the software/ product; ex: product:Apache
state	Search for devices based on the state/ region they are located in.
version	Filter the results to include only products of the given version; ex: product:apache version:1.3.37
bitcoin.ip	Find Bitcoin servers that had the given IP in their list of peers.
bitcoin.ip_count	Find Bitcoin servers that return the given number of IPs in the list of peers.
bitcoin.port	Find Bitcoin servers that had IPs with the given port in their list of peers.
bitcoin.version	Filter results based on the Bitcoin protocol version.
http.component	Name of web technology used on the website
http.component_category	Category of web components used on the website
http.html	Search the HTML of the website for the given value.
http.html_hash	Hash of the website HTML
http.status	Response status code
http.title	Search the title of the website
ntp.ip	Find NTP servers that had the given IP in their monlist.
ntp.ip_count	Find NTP servers that return the given number of IPs in the initial monlist response.
ntp.more	Whether or not more IPs were available for the given NTP server.
ntp.port	Find NTP servers that had IPs with the given port in their monlist.
ssl	Search all SSL data
ssl.alpn	Application layer protocols such as HTTP/2 ("h2")
ssl.chain_count	Number of certificates in the chain
ssl.version	Possible values: SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2
ssl.cert.alg	Certificate algorithm
ssl.cert.expired	Whether the SSL certificate is expired or not; True/ False
ssl.cert.extension	Names of extensions in the certificate
ssl.cert.serial	Serial number as an integer or hexadecimal string
ssl.cert.pubkey.bits	Number of bits in the public key
ssl.cert.pubkey.type	Public key type
ssl.cipher.version	SSL version of the preferred cipher
ssl.cipher.bits	Number of bits in the preferred cipher
ssl.cipher.name	Name of the preferred cipher
telnet.option	Search all the options
telnet.do	The server requests the client to support these options
telnet.dont	The server requests the client to not support these options
telnet.will	The server supports these options
telnet.wont	The server doesnt support these options

監視カメラのスタートアップ「Verkada」にハッキング、テスラなど顧客15万台以上のカメラ映像が流出（転載）

ハッカーは15万のVerkada監視カメラをハッキングしました:

3月10日、ハッカーのグループは、病院、企業、警察署、刑務所、学校内の15万台の監視カメラのリアルタイム録画を見ることができるシリコンバレー監視スタートアップVerkadaによって収集された監視カメラのデータをハッキングしたと言いました。

451ecae1734dd68

監視ビデオが公開された企業には、テスラ、ソフトウェアプロバイダCloudflareが含まれます。さらに、ハッカーは女性の診療所、精神病院、Verkada自身のオフィス内のビデオを見ることができます。テスラの上海倉庫の内部から撮影されたビデオの1つは、組立ラインの労働者を見ることができます。ハッカーは、テスラの工場や倉庫にある222台のカメラにアクセスできる可能性がある、と語っている。

5b0ffea7e5c5ead

Verkada社の担当者は声明の中で、「不正なアクセスを防ぐために、すべての社内管理者アカウントを無効にしました」と述べています。

特典航空券のストップオーバールール / Stopover Rules On Award Tickets（転載）

Stopover Rules On Award Tickets

ほとんどのロイヤリティプログラムが特典航空券の無料途中降機を提供していたのは、それほど昔のことではありませんでした。アメリカンAAdvantage、ユナイテッドマイレージプラス、デルタスカイマイルでさえも、かつてはこれらのプログラムを提供していました。

残念ながら、現在では途中降機を提供するプログラムは少なくなってきています。米国の「ビッグ3」航空会社の中で、途中降機規定のようなものを設けているのはユナイテッドだけです。彼らはこれを途中降機とは呼ばず、片道無料、つまり "エクスカーション・パーク "と呼んでいます。

アラスカ・マイレージプランや多くの海外プログラムでは、特典旅行での途中降機を提供していますが、いずれも程度の差はあります。このガイドでは、各主要プログラムの途中降機規定を説明し、レベニュー航空券で提供されているいくつかの途中降機オプションについてもご紹介します。

現在のパンデミックの状況を考えると、たとえマイルの価値を最大化するための素晴らしい方法であっても、今すぐに途中降機を予約することは必ずしもお勧めできません。追加の国への入国には、追加の検査や検疫が必要になる場合があり、旅行が複雑になる可能性がありますが、現時点ではその価値はないかもしれません。

ストップオーバー、オープンジョー、コネクション、トランスファー

途中降機 vs 乗り継ぎ vs 乗り継ぎ：何が何だか？これらの用語はよく交換して使われていますが、特に特典旅行の場合、ルーティングルールに関しては、それぞれ全く異なる意味を持っています。

ストップオーバー（途中降機）

途中降機とは、通常、出発地と最終目的地の間の接続都市に24時間以上滞在することを意味します。これは、航空会社のハブ空港であったり、目的地に向かう途中の都市であったりします。

通常の旅行では考えられないような場所での途中降機やルート作りに工夫を凝らすことができます。アジアへ向かう途中のヨーロッパでの途中降機や、オーストラリアへ向かう途中のアジアでの途中降機は、最も一般的な途中降機の選択肢の一つです。

乗り継ぎ

乗り継ぎとは、通常、24時間以内の都市での乗り継ぎのことを指しますが、プログラムによっては、乗り継ぎ時間の最大値が4時間と短い場合もあります。アワードプログラムでは、アワード規定やプログラムの利用規約を記載する際に、乗り継ぎを意味する「乗り継ぎ」という言葉を使用することがあります。

オープンジョー

オープンジョーとは、ある都市に飛び込んで別の都市から出てくる場合のことです。例えば、アメリカからアジアに飛んでいて、シンガポールに飛んでバンコクから帰りたいとします。これは、以下の図のように、オープンジョーとみなされます。

どの特典プログラムでも、途中降機に関しては非常に具体的なルールがありますが、乗り継ぎやトランジットのルールは必ずしも明確ではありません。それを念頭に置いて、航空会社ごとに分けてみましょう。

特典航空券でのストップオーバー

アラスカ航空 Mileage Plan

アラスカ航空マイレージプランは、途中降機のポリシーに関しては、おそらく最も手厚いものでしょう。アラスカ航空では、片道航空券の場合でも、国際線の提携航空会社の特典に関連して、アラスカ航空が就航する都市、または提携航空会社のハブ空港のいずれかに途中降機することができます。往復の場合は、2回の途中降機が可能です。

アラスカ航空が考える「ハブ」とは、提携航空会社によって異なります。アラスカ航空では、アメリカン航空を利用する場合は、アメリカン航空が就航している48州南部のどの都市でも、日本航空を利用する場合は日本国内のどの都市でも途中降機することができます。

途中降機の予約は無料です。アラスカ航空のウェブサイトでマルチシティアワードの検索方法を知っておく必要があります。

アラスカ航空は 3 月末にワンワールド・アライアンスに加盟しますが、マイレージプランプログラムにはいくつかの変更があると予想されます。無料の途中降機が続くことを心から期待しています。

ANAマイレージクラブ

ANAマイレージクラブは、アメックスの乗り換えパートナーであり、非常にリーズナブルな還元率を誇る逸品なプログラムです。例えば、ヨーロッパ行きのビジネスクラスの特典を往復88,000ポイントという低価格で予約することができます。ただし、特典は往復の一部として予約しなければならないなど、いくつかのルールがありますが、途中降機は予約することができます。

ANAのウェブサイトは、Windows95を使っているような感覚で操作できますが、コツをつかむのは簡単で、ほとんどの特典はオンラインで予約することができます。ルフトハンザグループの航空会社やトルコ航空などの航空会社では、パートナーサーチャージが高額になることがあるので注意が必要です。

重要な注意点としては、日本発の旅程の場合、途中降機は認められていません。

日本航空　JALマイレージバンク

JALマイレージバンクは、最も寛大な途中降機ポリシーを提供していますが、パートナーと一緒にご旅行される場合に限ります。この航空会社には距離に応じた特典プログラムがあり、特典の価格は旅行距離の合計に応じて決まります。気前の良い途中降機規定を設けていることは理にかなっていると言えます。

このプログラムでは、マイルの交換方法によって異なるルールがあります。基本的には、3つの異なる特典タイプを提供しています。

日本航空の全路線を利用する場合のJAL特典航空券
JALのパートナー航空会社1社のみ利用の特典航空券
2 社以上のワンワールド・アライアンス加盟航空会社を利用する、ワンワールド・アライアンス特典航空券

シングルパートナーでのご旅行の場合、1つの特典で最大3回まで途中降機が可能です。一部の例外を除き、合計6区間までご利用いただけます。ただし、特定のパートナーにはいくつかの制限があります。

大韓航空をご利用の場合、2区間までしかご利用いただけませんが、途中降機を含めることができます。

中国東方航空を旅行する場合は、合計4区間しか認められておらず、中国に立ち寄ることはできません。

ハワイアン航空、ロイヤルエアマロック、ヴィスタラ航空を利用する場合は、合計4区間しか利用できません。

ワンワールド・アワードでご旅行の場合、途中降機はなんと 7 回まで可能です。ワンワールド・アワードでは合計 8 区間しか利用できないため、途中降機の実用性が制限されます。仮に7回の途中降機を最大限に活用しようとすると、乗り継ぎのある各都市での途中降機が必要となります。

JALは信じられないほど手厚いプログラムとポリシーを持っていますが、JALマイレージバンクに移行できるポイントがマリオットポイントしかないのが難点です。

British Airways Executive Club

ブリティッシュ・エアウェイズとイベリア・プラスには、特典の価格がセグメントごとの距離と客室数で計算されるというユニークなプログラムがあります。1つのPNRで好きなだけセグメントを予約することができますが、それぞれのセグメントの料金を支払うことになります。料金は累積されます。

ブリティッシュ・エアウェイズやイベリア航空は特典旅行での途中降機を明示的にはしていませんが、距離とセグメントに応じた特典表があるので、同じ数のAviosであればどの都市でも途中降機することができます。税金や手数料は少し高くなるかもしれませんが、これ以上アビオスで支払うことはありません。

ブリティッシュ・エアウェイズのユニークな特典交換オプションの1つに、秘密のマルチキャリア特典チャートがあります。チャートがウェブサイトで公開されているにもかかわらず、このことを知っているBAの代理店は驚くほど少ないため、私たちはこれを「シークレット」と呼んでいます。

2社以上のワンワールド・アライアンス加盟航空会社を利用する場合（いずれかの区間がBAの場合は3社以上）、この特典チャートを利用して、各区間を個別に予約する場合よりも少ないアビオスを支払うことができます。

この方法では、最大 8 区間のフライトを予約することができ、ご希望に応じて各都市で途中降機することができます。バックトラックはできませんし、オープンジョーは1回のみ許可されています。少しの柔軟性と創造性があれば、これらのアワードはAviosを交換するための素晴らしい価値を提供することができます。

多くのエージェントはこのチャートの存在すら知らないため、マルチキャリアアワードの予約方法を知っている人を見つけるために何度か電話をするか、エージェントにマルチキャリアアワードの予約ポリシーを再確認してもらう必要があります。

OVHまじか！仏クラウドデータセンター火災、数百万サイトに影響か（転載）～データセンターの火災は珍しい！？～

OVHまじか！仏クラウドデータセンター火災、数百万サイトに影響か nikkei.com/article/DGXZQO…: OVHまじか！
仏クラウドデータセンター火災、数百万サイトに影響か
nikkei.com/article/DGXZQO…

仏OVHグループが提供する欧州大手のクラウドサービス「OVHcloud」で2021年3月10日（現地時間）、大規模なデータセンター（DC）火災が発生した。仏ストラスブールにあるDCで、ロイター通信の報道によればこの火災の影響で数百万のウェブサイトが利用不能になっているという。

火災が発生したのは現地時間の深夜（午前0時47分）。OVHcloudがストラスブールで運営するDC「SBG2」で大規模な火災が発生し、SBG2が全焼したほか、別のDCである「SBG1」も、12個あるサーバールームの内の4個が被害を受けた。

またストラスブールには「SBG3」「SBG4」と呼ぶDCもあり、これらのDCは被害を受けていないがサービスを停止しているという。けが人などは無かった。OVHcloudは世界中で複数のDCを運営しており、欧州にある他の15カ所のDCはサービスを継続している。

OVHcloudはストラスブールにDCが4カ所あると説明しているが、少なくとも全焼したSBG2と半焼したSBG1は、同じ施設の中にあるもようだ。米アマゾン・ウェブ・サービス（AWS）のような大手クラウド事業者の場合、データセンターの単位であるアベイラビリティーゾーン（AZ）は物理的に全く別の施設で運用されている。OVHcloudの構成は大手とは大きく異なったようだ。

米調査会社ガートナーのアナリストであるリディア・レオン氏はツイッターで「OVHcloudはクラウド事業者というよりはホスター（ホスティング事業者）なのだと思い出すべきだ。OVHcloudのアーキテクチャーは（AWSのような）ハイパースケーラーとは異なる」と指摘している。

脆弱性診断を内製化せよ─日々発生する新たな脅威を叩くための切り札（転載）

情報セキュリティ対策の技術的な分類図

脆弱性診断を内製化せよ─日々発生する新たな脅威を叩くための切り札

サイバー攻撃による被害の大きさが社会問題になっています。同時に、リモートワークの本格導入も進んでおり、これを機に自組織の情報セキュリティ対策を見直す企業が増えています。最近は特に、新たな脆弱性が日々発生しているため、より短期的なサイクルで安全性を確認する必要があります。高度化・複雑化するサイバー攻撃に備えるため、情報セキュリティ対策を実施するための体制の整備が急がれています。

ただし、情報セキュリティ対策において検討すべき事柄は多岐にわたります。とりわけ「脆弱性への対策」は、深刻な被害をもたらすようなサイバー攻撃に直接関わることが多く、非常に重要です。今回は、脆弱性にスポットを当て、いま企業が実施するべき施策を紹介します。

情報セキュリティで中核となる6つの技術的な分類

情報セキュリティ対策は、セキュリティの運用担当者だけでなく、経営者や外部のセキュリティベンダを交えて検討するべきものです。多くの検討項目がある中で、技術的な対策は以下の6つに分類^*されます。

* IPA 独立行政法人情報処理推進機構「中小企業の情報セキュリティ対策ガイドライン」

情報セキュリティ対策の技術的な分類

ネットワーク脅威対策
ネットワーク通信を監視し、制御することで不正な通信に対処します。
コンテンツセキュリティ対策
プログラムの実行を制限したり、メールに含まれる悪意のあるコンテンツを削除したりすることで、コンテンツの不正な実行を抑制します。
アクセス管理
多要素認証の導入、ファイルやサービスにアクセス可能な機器の制限など、適切なアクセス制限を実施します。
システムセキュリティ管理
保有するIT資産に対して、ネットワークの構成と資産の管理者を一元管理し、脆弱性診断を実施することで、資産のリスクを把握・管理します。
暗号化
データや通信を暗号化し、情報の改ざんや漏えいを防止します。
データの破棄
不要となったデータを適切に管理して破棄することにより、情報漏えいが発生してしまった際の被害を最小限に抑えます。

上記の技術的な対策は、セキュリティ機器の導入やセキュリティポリシーの策定などによって実現します。分類のうち、システムセキュリティ管理は、サイバー攻撃で利用される脆弱性を発見・管理できる施策です。適切にシステムセキュリティ管理することによって、脆弱性による脅威に備えることができます。

システムセキュリティ管理では「欠陥の発見」を

システムセキュリティ管理において、はじめに考慮する脆弱性とは、システムに存在する欠陥です。攻撃者は主に脆弱性を利用して、システムへの不正アクセスや改ざん、ウイルス・ランサムウェアの感染といった攻撃を仕掛けます。このように、被害の起点となり得る脆弱性への対策として、何よりも重要なのが脆弱性診断です。脆弱性を発見し、解消もしくは回避することで、被害を未然に防ぎます。

ここで、脆弱性診断について掘り下げてみましょう。脆弱性診断には大きく「委託診断」と「診断内製化」の2種類があります。

委託診断は、外部ベンダーによる脆弱性診断のことです。綿密な診断を実施できますが、調整に時間を要し、コストもかかります。そのため、自組織が持つすべてのシステムを対象に、定期的に診断するといった方法は現実的ではありません。また、新規の脆弱性は日々発見されており、より短いサイクルで脆弱性診断を実施する必要があります。外部の力を借りる委託診断は、そこに限界があります。

一方で、診断内製化は、文字通り自組織内で診断が完結するため、そうした課題を解決します。綿密な診断には不向きですが、多くのシステムを対象に短いサイクルで定期的な診断を実施できます。日々発生する新たな脆弱性にも対応できます。それが、ラックが診断の内製化を強く提案する理由です。

結論として、綿密な診断が求められる重要なシステムに対しては委託診断を選ぶ一方で、日常的な脆弱性の管理には診断内製化で対応することが大切です。

外部委託と内製との違い

	外部委託	内製
品質	外部評価であり安心できるツールだけではカバーできない範囲も対応しており、検出精度が高い	ツールの品質のみに頼ることになり、脆弱性の知識が必要
納期	診断ベンダーの空きスケジュールに合わせる必要あり都度契約～準備作業に時間を要する（弊社の場合、準備だけでも2週間）	自組織のリソース状況に合わせて柔軟にスケジュール調整可
コスト	診断するサイトの規模により前後するサイトの事前調査や設定が毎回はじめから実施するためその分が費用に反映される	決められた費用の範囲内で実施でき、調整しやすい同サイトの診断であれば認証の設定の手間が省ける
メリット	高い品質（脆弱性検知精度）人材が必要最小限ですむ必要な時だけ利用できる	短サイクルで広範囲かつ多数の診断が可能トータルコストを削減できる柔軟で迅速な対応ができる担当者の技術スキル向上
課題	日々発生する脆弱性に対応できない適切な能力を持った業者を選別する必要あり 1回あたりの費用が高い	専門技術を持った人材確保や育成が難しい人材を維持するコストがかかる

システムセキュリティ管理の理想は、もちろん脆弱性がゼロになることです。ただし、それは現実的ではありません。診断内製化を実施し、効果的に運用していくためには、目的を決める段階から慎重に進める必要があります。

築２０年くらいまでの中古ワンルームマンションはジャックス提携業者が強い！？（転載）

築２０年くらいまではジャックス提携業者さんに勝てないので、昭和～平成初期もしくは旧耐震１Rの買取りを強化していこうと思う今日この頃:

築２０年くらいまではジャックス提携業者さんに勝てないので、昭和～平成初期もしくは旧耐震１Rの買取りを強化していこうと思う今日この頃

PontaポイントからJALのマイル交換レート20%アップキャンペーン（2021/3/1～2021/3/31）（転載）

またも２０％増量:

特典航空券も取れない状況なのに、JALはマイル増量のオンパレード。

Pontaから交換で２０％増量なんて、ついこないだもやっていたと思いますが.....

もうPontaポイントもたいしてありません。

今月一杯です。

特にエントリーも必要ないようです

さらに、新規でPontaIDとauIDを連携して、５００Ponta以上の交換をした方に、抽選で１０００マイルが１００名に当たるのだそうです。

そういえばdポイントからJMBでも１０％ボーナスをやっています。

同じく今月一杯です。

こちらは５０００ｄポイントで２７５０ＪＡＬマイルとなります。

ところで、Ｖポイントアプリとは酷く相性が悪いと思う。

本人認証が否認されました。

やった人は判ると思うんだけど、カメラで免許証や顔の写真をカメラで色々指示されたとおりの撮るだけなんだけど.....

人相悪いとダメなのかなあ。

ちょっと落ち込みながら再度やってみました。

昔、三井住友さんとは相性が悪かった頃を思い出してしまった。

楽天カードが発行されなかったときはショックでした。

元締めが三井住友だったんだよね。

その後、元締めが変わってから作ったんだけど......

ＡＮＡ－ＳＦＣカードを申請して通ってからは良い関係が出来たと思っていたんだけど....

さて、今回はどうなりますか。

2021年3月1日～2021年3月31日まで！100マイルがもらえる交換レートアップキャンペーン（転載）

2021年3月31日まで！100マイルがもらえる交換レートアップキャンペーン実施中:

2021年3月1日より、永久不滅ポイントからJALマイルへの交換でいつもよりお得になるキャンペーンが始まりました！

通常200永久不滅ポイントで500JALマイルと交換できるところ、キャンペーン中は+100ボーナスマイルがプレゼントされるようになります！

通常時の交換レート	200永久不滅ポイント	500JALマイル
キャンペーン時の交換レート	200永久不滅ポイント	600JALマイル

Clubhouseへの不正アクセスとライブオーディオの漏洩（転載）

Clubhouse 音频数据遭泄露:

2月22日午前 - 人気のオーディオチャットルームアプリ「Clubhouse」は、悪意のあるハッカーやスパイによってユーザーデータが盗まれないように対策を講じると報じられていました。しかし今、少なくとも1人のサイバー攻撃者が、Clubhousプラットフォーム上のライブオーディオが盗まれる可能性があることを証明しました。

Clubhouseの広報担当者Reema Bahnasy氏によると、正体不明のユーザーが今週末、「複数の部屋」からクラブハウスのオーディオを独自のサードパーティのウェブサイトにストリーミングすることができたという。

Clubhouseは「永久にユーザーを追放する」としているが、このような事件が再発しないように新たな「セキュリティ対策」を講じている。しかし、研究者の中には、Clubhouseプラットフォームはそのような約束を果たすことができないかもしれないと考えている人もいます。

スタンフォード・インターネット天文台（Stanford Internet Observatory）は2月13日、Clubhouseに関するセキュリティ上の懸念を初めて公にした。同機関は、招待制のiOSアプリのユーザーは、すべての会話が録音されることを想定しておくべきだと日曜日遅くに述べた。

Facebookの元セキュリティ責任者で現在はSIOの責任者を務めるアレックス・ステイモス氏は、"Clubhouseでは、世界中のどこで行われている会話でもプライバシーを約束することはできない "と述べています。

また、Stamos氏と彼のチームは、Clubhouseがバックエンド業務の多くを上海に拠点を置く新興企業Agora Inc.に依存していることも確認しています。 Clubhouseは、新しい友達を追加したり、部屋を見つけたりといったユーザー体験を主に担当しているが、Stamos氏によると、プラットフォームはまだデータトラフィック処理や音声制作サービスを中国の会社に依存しているという。

Agoraは、Clubhouseのセキュリティやプライバシープロトコルについてはコメントできないとし、Clubhouseはそのうちの1つに過ぎない顧客のために「個人を特定できる情報を保存したり共有したりしない」と主張しました。アゴラは、"可能な限りの安全性を確保することに努めています。"

週末にかけて、サイバーセキュリティの専門家は、一部のオーディオとメタデータがClubhouseのプラットフォームから別のサイトに移動されていることに気づきました。オーストラリアのキャンベラに拠点を置く『インターネット2.0』のロバート・ポッター最高経営責任者(CEO)は、「あるユーザーが、自分のログイン情報を世界中の他のユーザーと遠隔で共有する方法を作った。 "実際の問題は、人々がこれらの会話が決してプライベートなものではないと考えていることだ"

週末のオーディオ盗難の背後にある人々は、Clubhouseのアプリケーションをコンパイルするために使用されるJavaScriptのツールキットを中心にシステムを構築しました。スタモスは、彼らが実際にアドホックなbasis.SIOにプラットフォームを構築したと考えていますが、それはまだ攻撃者のソースや身元を決定していないことを公に宣言しています。

Clubhouseは、同様の侵害を防ぐためにどのような対策が取られたかについての説明を拒否しましたが、解決策としては、実際にチャットルームに入らずにチャットルームの音声にアクセスするためのサードパーティ製アプリの使用を防ぐことや、ユーザーが同時にアクセスできるチャットルームの数を単純に制限することなどが考えられると、SIOのリサーチャーであるジャック・ケーブル氏は述べています。

Clubhouseは最近、10億ドルの評価額で1億ドルを調達した。 1月中旬以降、アゴラの株式は150％以上急騰し、現在では100億ドル近い時価総額を誇っています。

シェアードセキュリティサービスとは

自分は某事業会社でセキュリティマネジメントの仕事をしている。

これまでに2回転職をしているが、自分が所属した会社はすべて従業員千人以上の会社である。

何故かというと、セキュリティ専任の人材を雇うことができるのは大企業だけだからである。

中小企業にはセキュリティ専任の人材を抱える余力はないのである。

それゆえ、中小企業のセキュリティはザルとなる。

そんな課題を解消すべく、セキュリティシェアードサービスなるものを立ち上げる会社を見つけたので紹介したい。

シェアードセキュリティサービス

サービス概要

情報セキュリティに関するお悩みやご相談に、経験豊富なシェアードセキュリティサービスが御社の視点に立ってアドバイスいたします。

サービス内容

１）特長

最低限必要なセキュリティを専門家が肩代わり

■ 社内のメンバーが担当する必要がなく、本業にフォーカスできる

■ どんな手順で取り組むか分かっている経験者が担当するので、効果的な進め方が可能

　費用負担が少なく、スタートしやすい

■ 最小構成で２０万円/月にてセキュリティ機能強化が可能

担当がかわらない、いなくならない

■自社の担当だと人事異動や退職により施策が中断するリスクがありますが、シェアードセキュリティは専門会社なので、安定して施策を継続することが可能

貴社の業種に対応した経験者

■ECサイトや情報サイト、医療、製造などの業種ごとのビジネスの仕組をある程度理解した専門家が担当する事でキャッチアップが早い

貴社の中の人として動く

■リモートワーク社員のイメージでミッションを推進します

「貴社のお客様」を意識します

■取引先を意識して、取引強化につながる施策を優先します

２）支援方法

■ビデオ会議とメッセージング

■メール

■ 電話

■ 定例会（オフラインミーティング）

　モデルプラン：週1回ビデオ会議、メール・電話での相談対応（１５時間/月）＝ 20万/月

３）ご契約

　契約形態：コンサルティング契約、顧問契約、スポット契約ご相談承ります。

　期間：短期～長期まで可能

４）ご利用開始条件

■現在の新型コロナ禍を考慮して、会議などはビデオ会議で実施します

■十年前に作成した規程があるなど、過去のセキュリティ遺産を活用しないこと

■日本国内での活動とします

■当社ＨＰに事例の掲載・セキュリティ顧問として社名を掲載していただけること

■業務の進捗スピードは、セキュリティ専門会社にて調速させていただきます

最近、副業を容認する企業も増えているので、世の中のニーズとマッチすると大きく伸びるのかもしれない。

ただ、当然ながら顧客はITを知らない人たちなので、難しい用語をわかりやすく伝えるコミュニケーション能力が求められえる（＝実はセキュリティ人材で不足しているスキルの一つ）

詳細はコチラ

登録: 投稿 (Atom)