2021年3月18日
ipa.go.jp/security/fy202…
雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
あるリーク情報によると、5億人以上のFacebookユーザーの情報(電話番号などを含む)を事実上無料で提供しているという。このデータベースは昨年6月からオンラインで公開されている。
イスラエルのサイバー犯罪情報会社「Hudson Rock」の共同設立者であるAlon Gal氏は、このデータベースは、1月からハッカー界で出回っているFacebookに関連する電話番号のセットと同じものである可能性があると述べています(その存在は、技術系雑誌「Motherboard」が最初に報じました)。
"Facebookのアカウントを持っている人は、そのアカウントに使われている電話番号が流出している可能性が極めて高い "とGalはツイートしています。
533,000,000件のFacebookの全記録が無料でリークされています。
つまり、Facebookのアカウントを持っている人は、そのアカウントに使われている電話番号が流出している可能性が極めて高いということです。
このようなデータに対する絶対的な過失を、Facebookはまだ認めていません。 https://t.co/ysGCPZm5U3 pic.twitter.com/nM0Fu4GDY8
— Alon Gal (Under the Breach) (@UnderTheBreach) April 3, 2021
サイバーニュースの調査チームによると、このデータベースは昨年6月から同じフォーラムで販売されていました。数日前には、数ドルでデータベースを照会できるTelegramのボットが作成され、実質的に無料で利用できるようになりました。
このデータベースには106カ国のエントリーがあり、氏名、携帯電話番号、少数の電子メールアドレス、性別、職業、居住地、婚姻状況などが含まれています。
最も被害を受けた国は米国と英国で、それぞれ3,200万人と1,150万人のFacebookユーザーのデータが流出しました。
専門家の間では、今回の事件のずっと前から、このプライバシー問題は大きく報道されていないと主張し、赤旗を掲げていました。セキュリティ専門家は、流出したデータがマーケティング目的だけでなく、人になりすまして詐欺を働くことにも使われる可能性があると警告しています。
ロイターがメッセージングサービスのTelegramを使ってこのリーク者に連絡を取ろうとしましたが、すぐには成功しませんでした。また、Facebookはコメントを求めるメッセージを返信していません。
今年初めのMotherboardの記事は、流出したデータは同社が2019年8月に修正したバグの成果のようだとするFacebookのコメントを引用している。
ガルはロイターに対し、Facebookユーザーは今後数ヶ月の間に、電話番号やその他の個人情報を入手した可能性のある人物による「ソーシャルエンジニアリング攻撃」に警戒すべきだと述べました。今回のリークのニュースは、Business Insiderが最初に報じました。
フェイスブックは、ケンブリッジ・アナリティカを筆頭に、第三者によるユーザーデータのスクレイピングや収集を認めていることで、長い間批判されてきました。
ここ数週間、ATT&CKを使った脅威インテリジェンス、検知・分析、敵のエミュレーションなど、ATT&CKを使いこなすための記事を掲載してきました。ミニシリーズのパート4では,評価とエンジニアリングについて,ATT&CKを使ってどのように防御力を測定し,改善できるかをご紹介します。この記事は多くの点で過去の記事を基にしていますので、まだご覧になっていない方はぜひチェックしてみてください。
このプロセスをよりわかりやすくするために、また、他の記事と同様に、この記事を洗練度とリソースの有無に応じて3つのレベルに分けています。
評価を始めることは、最初は恐ろしく聞こえるかもしれません-誰が評価されることを喜ぶでしょうか?- しかし、ATT&CKのアセスメントは、セキュリティエンジニアやアーキテクトが脅威に基づくセキュリティの改善を正当化するための有用なデータを提供するための、より大きなプロセスの一部です。
アセスメントとエンジニアリングのレベルは累積的であり、互いに積み重ねられていきます。自分たちが高度なサイバーセキュリティチームであると考えている場合でも、レベル1から始めて、より大規模なアセスメントに移行するためのプロセスを踏むことをお勧めします。
多くのリソースを利用できない小規模なチームで作業していて、完全な評価を行おうと考えているならば、やめた方がいい。すぐにATT&CKマトリックスの色分けされたヒートマップを作成してカバレッジを可視化するというアイデアは魅力的ですが、ATT&CKを使うことに興奮するよりも、ATT&CKに燃え尽きてしまう可能性の方が高いでしょう。その代わり、小さなことから始めましょう。焦点を当てるべき1つの技術を選び、その技術に対するカバレッジを決定し、それを検出するために適切なエンジニアリングの強化を行います。このように始めることで、より大規模な評価を行う方法を練習することができます。
ヒント:どの手法から始めるべきかわからない?ケイティのブログ記事では、ATT&CKやスレットインテリジェンスをどのように使ってスタート地点を選ぶかのヒントを紹介しています。
テクニックを選んだら、そのテクニックをどのようにカバーするかを考えてみましょう。独自のルーブリックを使用しても構いませんが、まずは以下のカテゴリーでカバーすることをお勧めします。
ヒント:最初に始めるときには、スコアリングのカテゴリーをシンプルにしてください。
カバー率の測定を始めるための素晴らしい方法は、ある技術をすでにカバーしている可能性のあるアナリティクスを探すことです。SOC の多くは、本来は ATT&CK に対応するように設計されていなくても、ATT&CK に対応する可能性のあるルールやアナリティクスをすでに持っています。多くの場合、テクニックに関する他の情報が必要になりますが、それはテクニックのATT&CKページや外部ソースから得ることができます。
例として、Remote Desktop Protocol(T1076)を調べていて、以下のようなアラートがあったとします。
ATT&CKのテクニックページのRemote Desktop Protocolのページを見ると、ルール#3が "detection "ヘッダで指定されている内容と一致しており、ウェブ検索をすると、ルール#4で指定されているポート3389もこのテクニックに対応していることがわかりました。
しかし、正しいデータソースを引き込めていない場合、どうすればいいのでしょうか?ここでエンジニアリングの出番です。技術のATT&CKページに掲載されているデータソースを参考にして、それぞれのデータソースを収集することの難しさと、そのデータソースを利用することの有効性を比較してみてください。
ヒント データソースとしてよく挙げられるのが、Windowsのイベントログで、多くのATT&CKテクニックを可視化することができます。イベントログを使い始めるのに適したリソースは、Malware ArchaeologyのWindows ATT&CK Logging Cheat Sheetで、Windowsイベントとそれを使って検出できるテクニックをマッピングしています。
Level 2
このプロセスに慣れ、より多くのリソースを利用できるようになれば、ATT&CK マトリックスの適度に大きなサブセットにまで分析を拡大することが理想的です。さらに、より高度なカバレッジスキームを使用して、検出の忠実性も考慮したいと思うでしょう。ここでは、SOC内のツールや分析ツールがその技術について警告を発する信頼性が低い、ある、高いのいずれかにカバレッジを分類することをお勧めします。
ヒント カバレッジを評価する際には、ピンポイントの精度を気にする必要はありません。評価の目的は、技術を一般的に検出するためのエンジニアリング能力があるかどうかを理解することです。より正確な評価を行うためには、敵のエミュレーション演習を行うことをお勧めします。
このように範囲が広がったことで、アナリティクスの分析はやや複雑になっています。各アナリティクスは、以前のように1つのテクニックだけでなく、多くの異なるテクニックに対応する可能性があります。さらに、ある分析手法がカバーされている場合、その分析手法の忠実度も調べる必要があります。
ヒント 各アナリティクスについて、何をキーにしているかを調べ、それがATT&CKにどのように対応しているかを確認することをお勧めします。例えば、Windowsの特定のイベントに注目しているアナリティクスがあるとします。このアナリティクスのカバレッジを判断するには、Windows ATT&CK Logging Cheat SheetなどでイベントIDを調べることができます。また、ATT&CKのウェブサイトを利用して分析を行うこともできます。下図は、ポート22の検出を検索した例ですが、これは「Commonly Used Port ATT&CK technique」に表示されています。
これらの質問に答えるのは大変です。すべてのベンダーがこの種の情報を公開しているわけではありませんし、探してもマーケティング資料になってしまうことがよくあります。このような質問に答えるのは大変です。
カバレッジの最終的なヒートマップを作成するには、ツールと分析のヒートマップをすべて集約し、各手法で最も高いカバレッジを記録します。これができたら、次は改善に向けて動き出します。最初のステップとして、前述の分析開発プロセスのより高度なバージョンをお勧めします。
次のレベルへの卒業:これらの変更を実施してカバレッジを向上させたら、次のステップとして、敵対者のエミュレーション、特にアトミックテストを導入します。新しい分析手法を試作するたびに、それに対応するアトミックテストを実行して、その結果を確認します。捕まえられれば上出来です。捕まえられなかった場合は、何を見逃したのかを確認し、それに応じて分析手法を改良します。このプロセスの詳細については、当社の論文「ATT&CKベースの分析でサイバー脅威を発見する」を参照してください。
Level 3
より高度なチームの場合、評価を強化するための素晴らしい方法として、ミティゲーションを含めることができます。これにより、ツールやアナリティクスの検出内容だけを見るのではなく、SOC全体を見て評価を行うことができます。
技術をどのように緩和しているかを確認する良い方法は、SOC の各ポリシー、予防ツール、セキュリティコントロールを確認し、それらが影響を与える可能性のある ATT&CK 技術にマッピングして、それらの技術をカバー範囲のヒートマップに追加することです。最近、ミティゲーションを再構築したことにより、各ミティゲーションを見て、それがマッピングされている技術を確認することができます。ミティゲーションが適用された技術の例としては、以下のようなものがあります。
これらの質問への回答は、先に作成したヒートマップを補強するのに役立ちます。
例:以前、ATT&CK関連の機能を多く持つツールを見つけたが、人事はWindowsのレジストリを監視するためだけに使用している場合、そのツールのヒートマップを修正して、使用方法をよりよく反映させる必要があります。
同僚と話しながら、以前に作成したツールのヒートマップを見てみましょう。自分が使っているツールのカバレッジにまだ満足していないのであれば、新しいツールを評価する必要があるかもしれません。新しいツールを検討する際には、それぞれのツールのカバレッジのヒートマップを作成し、そのツールを追加することでどのようにカバレッジが向上するかを確認します。
ヒント:特にリソースに余裕がある場合は、代表的なテスト環境を立ち上げて、そのツールをライブでテストし、うまくいったところ、うまくいかなかったところ、そのツールを追加した場合に既存のカバレッジにどのような影響があるかなどを記録することができます。
最後に、より多くのミティゲーションを導入することで、ツールやアナリティクスへの依存度を下げることができるかもしれません。ATT&CKに掲載されているミティゲーションを見て、実際に導入できるかどうかを判断します。このプロセスの一環として、検出ヒートマップを参照してください。検出がうまくいっている技術を妨げる高コストの緩和策があれば、それは良いトレードオフではないかもしれません。一方で、分析結果を書くのに苦労している技術に対して、低コストの緩和策があれば、それを実施することでリソースを有効に活用できるかもしれません。
ヒント: ミティゲーションのために検出を取り除くことを検討する際には、可視性が失われる可能性を常に考慮してください。ミティゲーションやコントロールがバイパスされる可能性がある場合には、それらのイベントが見逃される可能性が低くなるように、ある程度の可視性を確保してください。検知とミティゲーションは、どちらも効果的なカバレッジのためのツールとして使用する必要があります。
クロージング: アセスメントとエンジニアリングの関係
アセスメントを行うことで、現在のカバレッジがどこにあるのかを理解し、それを脅威インテリジェンスで補強してギャップを優先し、アナリティクスを書くことで既存の防御を調整することができます。
長期的には、毎週、あるいは毎月、アセスメントを実施することは想定していません。その代わりに、前回のアセスメントの内容を記録し、新しい情報を得るたびに更新し、定期的に敵のエミュレーション演習を行って結果をスポットチェックする必要があります。時間の経過とともに、ネットワークや収集された情報に変化が生じ、以前にテストした防御の効果が低下することがあります。ATT&CK を活用して実際の脅威に対する防御力を示すことで、防御態勢の理解を深め、改善の優先順位を決めることができます。
現在使用しているのは「docomo」と落書きの入ったXPERIA X Compact(SO-02J)を使っている。
実はスマホが世の中に登場した時からずっとXPERIAを愛用している。
XPERIAは寿命が近づいてくると出てくる傾向みたいのがあって、
まずSDカードが突然認識できなくなる。
その後、しばらくするとOSの挙動がおかしくなる。
先日SDカードが突然認識できなくなり、いよいよ後継を検討しなければならなくなったというわけである。
回線はIIJ mioを使っているため、XPERIAは使いたいものの、「docomo」とか「au」とか「Softbank」とか落書きの入った機種は本当は使いたくない。
そのため、海外モデルも検討してみたのだが、海外モデルはおサイフケータイが使えない。
一時期Google Payとかで対応できるんじゃないかと思ったが、いろいろ調べるとそうではないことが分かった。
おサイフケータイの件は対応するNFCの規格と関連する。
NFCの規格にはTypeA、TypeB、TypeFの3種類ある。
一般的に搭載されているのはTypeA/Bであり、TypeFというのが所謂おサイフケータイ対応の規格となる。
そもそもTypeFのFはFelicaからきているようで、Suicaの様に通勤ラッシュでも問題なく使えるように処理が高速化された規格となっており、その分コストも高くつく結果となっている。
海外ではSuicaのような高速な処理を求められるシーンがないため、必然的にコストアップの要因になるTypeFは搭載されない。
結局ガラパゴス仕様で日本国内向けのXPERIAにしか搭載されないというわけである。
で、国内で販売されるXPERIAを検討するのだが、困ったことが起きた。
何なんだ、この縦横比が大きく崩れた無駄な縦長画面は・・・
ダサイ
ソニーは一般人が理解できない際どいエリアを攻めに行ってしまったのだろうか?
正直XPERIAに欲しい機種がなく、しばらく悩んでいたところ、なんとGoogleから希望する画面サイズ感で、しかも手ごろな値段でスマホ「Google Pixel 4a」が発売されていることが分かった。
更にしばらく悩んだ結果、Googleストアで決済する運びとなった。
XPERIA以外のスマホを使うのは何気に人生初の経験である。
とりあえず後継のスマホが決まったことに安堵するとともに、ソニーのモノ作りがおかしな方向に進んでいないか若干気になる今日この頃。
さらばXPERIA。ありがとうXPERIA。
こちらはZoomeyeでの調査。実はヘッダにこうやってバージョンが載ってきてしまうようで、この情報を分析すればターゲットを絞れる可能性があります。もっとも、脆弱性自体は1年前…orz
先日、とある判例の話を聞けたので、それを基に検証してみたい。
【インシデント概要】
・不正アクセスによる個人情報流出
-最大1万6798件の個人情報、うち7316件はクレジットカード情報
・流出した情報(赤字個所は特に損害賠償額に大きく響く項目)
-名前
-住所
-電話番後
-メールアドレス
-クレジットカード番号(番号、名義、有効期限、セキュリティコード含む)
-性別
-生年月日
-パスワード
・カード流出に関わる1件当たりの想定損害賠償額:78,000円
⇒7,316件なので、計570,648,000円(約5.7億円)
【流出企業における実際の損害額】
・SQLインジェクションを抱えたポンコツシステムの開発費:約2,100万円
・顧客への謝罪費用(クオカード):約1,900万円
・顧客からの苦情処理費用:約500万円
・調査費用(主にフォレンジック):約400万円
・営業損失:約6,000万円
・その他:約50万円
------------------------------
計約1.1億円
ん~。損害賠償額算出式の方がかなり上振れているな。。。
とはいえ、クレジットカードの有効期限とセキュリティコードまで流出しているので、この金額で済んだのは不幸中の幸いともいえるかもしれない。
裁判になるといろいろと細かいことが明らかになるので、興味深い。
シングルサインオン(SSO)とは、1組のID・パスワードによる認証を1度行うだけで、複数のWebサービス・クラウドサービス・アプリケーションにログインできるようにする仕組み。
パソコンやスマートフォン、インターネットが普及し、1人でいくつものWebサービスやクラウドサービスを利用する方が増えています。以前は、これらを利用する際、サービス・アプリケーションごとに認証を行っていました。一方、これらのサービス・アプリケーションがシングルサインオンに対応していれば、認証が1回ですむようになります。
クライアントのパソコンにインストールした専用のエージェントが、ユーザーの代理でID・パスワードを打ち込む方式です。エージェントはパソコンに常駐し、各サービス・アプリケーションのログイン画面が起動するのを検知し、自動的にID・パスワードを入力します。
リバースプロキシと呼ばれる中継サーバー上で認証を行う方式です。リバースプロキシ上で認証を追加した場合に、その後ろにあるサービスにログインができるようになります。
Webサービスの専用のエージェントモジュールを組み込んで、シングルサインオンを実現する方式です。エージェントはシングルサインオン用の外部サーバーと連携し、認証やアクセス権限のチェックを行います。
SAML(Security Assertion Markup Language)認証では、IdP(Identity Provider)とSP(Service Provider)と呼ばれる2つの構成要素で、シングルサインオンを実現する方式です。
ユーザーが対象のWebサービス(SP)へアクセスすると、SPはIdPへ認証要求(SAML)を送信します。すると、IdPがユーザーのパソコンやスマートフォンに専用のログイン画面を表示させ、認証を促します。認証が成功すれば、IdPはSPに対して認証応答(SAML)を送信し、SPがそれを受け取ると自動ログインを実行するという流れです。これによって1度認証が成功すれば、SAMLに対応する別サービスへ自動でログインできるようになります。
たくさんのWebサービス・アプリケーションを使っていると、認証の際に利用するID・パスワードの組み合わせもそれだけ増えることになり、管理に手間もかかります。また、各サービス・アプリケーションを利用する際に、いちいちログイン作業をしなくてはなりません。
一方、利用するWebサービス・アプリケーションがシングルサインオンに対応していれば、ID・パスワードの組み合わせは1つですむようになります。その上、それらWebサービス・アプリケーションの認証は1回だけ行えばよいので、より便利に利用できるようになるのです。
利用すべきID・パスワードの組み合わせが増えると、その管理がおろそかになるものです。たとえば複数のサービス・アプリケーションで同じID・パスワードを使い回したり、付箋などに書いてパソコンに貼ったりする方も多いでしょう。覚えるのが面倒になり、推測されてしまいやすい簡単なパスワードを設定している方もいます。
一方、シングルサインオンを利用すれば、管理すべきID・パスワードの組み合わせは1つだけですむので、覚えるのも簡単になり管理の手間もかからなくなるわけです。そのため付箋に書いたメモを誰でも見られるようなところに置いたりすることはなくなり、適切に管理されやすくなります。ある程度複雑なパスワードを作成したとしても、1つだけなら覚えるのは苦ではないでしょう。
これらのことから、シングルサインオンを導入することによって、パスワード漏洩のリスクが減るわけです。
シングルサインオンで利用するID・パスワードが万が一漏洩してしまうと、そのID・パスワードを利用するサービス・アプリケーションが全て不正利用されるリスクにさらされることになります。
シングルサインオンは、特定のシステムによって認証情報が管理されています。そのため仮にその管理システムがダウンした場合、シングルサインオンでログインできるように設定している全てのサービス・アプリケーションが使用できなくなる可能性があります。
がん保険は、昔は長期入院の伴う長い闘病生活のイメージだったが、今は長期入院せず、通院による治療がメインとなっていることから、入院保障だけではなく、通院保障が重要だという話を元SKE48の矢方 美紀さんが自身の闘病経験を踏まえて話してくれていたのだった。
やばい。今2021年なので、2年も放置してしまっていた。
幸いまだガンにはなっていない模様なので、とっとと入っておこう。
さっそく保険会社に電話して、契約内容見直しの依頼をかけた。
人生40年近く生きてきて、何となく保険との付き合い方が分かってきた気がする。
保険は早く入っておいたほうがいいとか、生涯で払う保険金は同じなのでいつでもいいとか、そもそも入る必要がないとか、いろいろ意見があるが、個人的な今のスタンスは下記である。
ちなみに掛け捨ての医療保険の話ね。
保険は若いうちに入ったほうが良い。高齢になってから入っても生涯で払う保険金は同じだが、若いうちに入ったほうが保険料が安く、精神的な負担額は軽く済む。
保険は入る必要がないという人がいるが、そういう意見もアリだと思う。個人的にはお守り替わりで済む程度の金額にし、万一保険料が支払われない事態になっても「しゃーない」と思える金額(=月額2000円以下)で保険に入った。
また、当然ながら保険会社の選択に際してはネットライフ生命のようなオンライン保険会社にするべきである。
テレビで有名人を起用したCMを放送しているような保険会社は厳禁である。
理由は簡単で、CM代金や有名人のギャラが保険料の跳ね返って非常に割高だからである。
かしこい人はオンラインの保険会社を選択し、情弱者はCM等で知名度の高い(割高な)保険会社を選択するのである。
医療は進歩している。
それに伴い、保険は変わる。
自分が初めて保険に入った際には無かったが、その後出てきたキーワードとして、「先進医療」とか「通院保障」がある。
これらは保険加入時には無かったため、結果として追加の保険料を払って追加する形態となる。
最初の保険加入時は1,800円/月くらいだったが、先進医療特約を付けたり、がん通院保障をつけたり、必要なオプションを追加していった結果、約15年の時を経て2,500円/月となった。
オプションで保険料が上がっていくことを考慮し、最初の保険加入時は必要最小限の保険にしておいたほうが良い。
自分は若い頃にバイクで事故った際、保険が期待した働きをしなかったことから、基本的には保険に対して懐疑的な立場である。
そのため、最初の保険に入る際、どの程度の掛け金にすべきを考えた際に、たどり着いた一つの結論が「保険料控除の枠で十分」である。
つまり、介護医療保険、生命保険、年金保険、共に、それぞれ80,000円/年で十分である。
これ以上は保険料控除の枠から外れるし、保険料を払いすぎていると考えてもよいのではと思っている。
今回の流出により、数百万人のApollo.ioユーザーとその雇用者が、フィッシングやソーシャルエンジニアリング攻撃、ブルートフォース攻撃などの危険にさらされる可能性があります。
人気のハッキング・フォーラムのユーザーが、米国のセールス・エンゲージメントおよびデジタル・マーケティング企業であるApollo社から盗まれた約1,100万件のユーザー記録を含むとされるデータベースを販売しています。
流出したアーカイブに含まれるファイルには、データが盗まれたとされるフランス在住の10,930,000人のユーザーに関する、フルネーム、電話番号、位置座標、職場情報、ソーシャルメディアのプロフィールなど、さまざまな情報が含まれています。
この投稿者は、データがどのようにしてApollo社から流出したのかについて、追加情報を提供していません。また、Apollo社の顧客データベースのうち、フランス国内の部分だけでなく、それ以外の部分も脅威となる人物が保有しているのか、あるいは、以前にApollo社が被った不正アクセスから盗まれたデータなのかは不明です。
Apollo社に、このリークが本物であることを確認できるかどうか、また、ユーザーや顧客に警告を発しているかどうかを尋ねましたが、このレポートを書いている時点では、同社からの回答は得られていません。
自分のオンラインアカウントが他のセキュリティ侵害で公開されていないかどうかを確認するには、150億件以上の侵害記録を収録した個人情報漏洩チェックツールをご利用ください。
流出したアーカイブから見たサンプルによると、Apollo社がLinkedInのプロフィールから収集した可能性のある、ユーザーの様々な主に職業上の情報が含まれているようです。
流出したデータの一例:
Apollo社は、サンフランシスコを拠点とするソフトウェア企業で、企業がマーケティング目的でコンタクトを取るべき新しい見込み客を識別、分析、発見するためのデジタルプラットフォームを開発しています。
Apollo社自身によると、同社は四半期ごとにセキュリティ監査を実施し、定期的に侵入テストを行い、侵入検知システムをオンラインで運用しているとのことです。そうは言っても、Apollo社がデータを流出させたのは今回が初めてではありません。2018年には、2億人のユーザー記録を含むデータベースが脅威主体に侵入されたことで、同社は批判にさらされました。
Apollo社のデータベースで見つかったデータは、情報が流出したユーザーや雇用者に対して様々な形で使用される可能性があります。
今回流出したアーカイブには、社会保障番号、文書スキャン、クレジットカード情報などの機密情報は含まれていないようですが、電子メールアドレスだけでも、脅威をもたらすには十分な情報となります。
特に決意の固い攻撃者は、流出した情報を他の侵害事件のデータと組み合わせて、潜在的な被害者のより詳細なプロファイルを作成し、被害者やその雇用者に対してフィッシングやソーシャルエンジニアリングの攻撃を仕掛けたり、あるいは個人情報の窃盗を行ったりすることができます。
フランスにお住まいの方で、今回の漏洩事件でご自身のデータが流出した可能性があると思われる方は、以下の点にご注意ください。
フィッシングの可能性のあるメールやテキストメッセージに注意してください。怪しいものをクリックしたり、知らない人に返信したりしないでください。
"私たちの[ビットコイン]ウォレットがクラックされてしまいました。幸いなことに、多額の資金を保管していたわけではありませんが、いずれにしても不愉快な出来事です。状況が明らかになると、管理者は、理論的には、フォーラムのすべてのアカウントが侵害された可能性があると仮定しました(確率は低いですが、それはあります)。私たちのビジネスでは、それは安全に遂行する方が良いです。だから、私たちは全員のコードをリセットすることにしました。これは大したことではありません。単純にメモして、これから使うだけです。"
"フォーラムのデータベースがハッキングされた時に 結局 除去されたというメッセージを得ています 全員のアカウントパスワードは 強制的にリセットされた あなたが知ってる人に この情報を渡して下さい フォーラムはドメインレジストラを通してハッキングされました。レジストラが最初にハッキングされた その後 ドメイン名サーバーが変更されて トラフィックを嗅ぎつけられた"
"フォーラムの管理者がこの全体のセキュリティで許容できる仕事をしなかったことは、今までに明らかであるべきである "攻撃者は説明した。"ほとんどの場合、怠惰や無能のために、彼らはすべてを放棄しました。しかし、私たちにとっての主な驚きは、クッキー、リファラー、最初の登録のIPアドレス、ログイン分析、その他すべてのユーザーデータを保存していたことです。"
当プランは、25㎡までのワンルームを対象に、表層や設備交換も含めたフルリフォームを定価制で施工するサービスです。
通常同規模の標準工事費用は250~300万円程度ですが、「ワンルームリノベ150」では定額150万円※1で追加費用も一切発生しないので、賃借人退去時に要する高額な費用負担を軽減することが出来ます。
また「ワンルームリノベ180」では、3点ユニットバスをバストイレ別の仕様にする等、間取りの変更も可能となり用途に合わせたプランを選ぶことが出来ます。
設計・工事・管理を一貫して社内で内製化することで、お客様にとって「安い・安心・丁寧」の信頼と定評を頂いております。今後も企業目標である「不動産流通業を革新する世界No.1企業」を目指し、不動産価値の向上を図るためサービスの拡充に努めて参ります。
『ワンルームリノベ150』 標準仕様
(標準仕様以外はオプションも可能)
玄関
土間: 既存シート剥がしクッションフロア貼
上り框: 塗装仕上げ or 清掃
ドア(内側): 塗装仕上げ or 清掃
玄関収納扉・内部: 塗装仕上げ or 清掃
壁・天井
塗装仕上げ or クロス貼り・デザインクロス(一部)
廻り縁
塗装仕上げ
巾木
新規ビニル巾木交換 or 塗装仕上げ
床
室内及び廊下部分: フロアタイル張り
建具
扉・枠: 塗装仕上げ 収納扉・枠: 塗装仕上げ
収納内部: 塗装仕上げ + クロス張り
キッチン
ミニキッチン新設(W=900)
UB
3点式UB(1014サイズ・浴槽・洗面台・便器・鏡)※浴室乾燥機無し
UB枠新設
電気工事
スイッチプレート、コンセントプレート交換、
既存配線切回し 火災報知器(電池式)、インターホン新設
廊下・室内:レール2本、スポット照明4台新設
設備工事
設備交換に伴う、既存給排水管切回し・給湯配管切回し
(既存配管に漏水が無いか確認し、切回し配管を行います。漏水時は別途)
その他
養生 ルームクリーニング 洗濯機パン交換
給湯器交換※給湯専用
『ワンルームリノベ180』 標準仕様
(標準仕様以外はオプションも可能)
玄関
土間: 既存シート剥がしクッションフロア貼
上り框: 塗装仕上げ or 清掃
ドア(内側): 塗装仕上げ or 清掃
玄関収納扉・内部: 塗装仕上げ or 清掃
壁・天井
塗装仕上げ or クロス貼り・デザインクロス(一部)
廻り縁
塗装仕上げ
巾木
新規ビニル巾木交換 or 塗装仕上げ
床
室内及び廊下部分: フロアタイル張り
建具
扉・枠: 塗装仕上げ 収納扉・枠: 塗装仕上げ
収納内部: 塗装仕上げ + クロス張り
キッチン
ミニキッチン新設(W=900)
UB
2点式UB(1014サイズ・浴槽・洗面台・便器・鏡)※浴室乾燥機無し
UB枠新設
電気工事
スイッチプレート、コンセントプレート交換、
既存配線切回し 火災報知器(電池式)、インターホン新設
廊下・室内:レール2本、スポット照明4台新設
設備工事
設備交換に伴う、既存給排水管切回し・給湯配管切回し
(既存配管に漏水が無いか確認し、切回し配管を行います。漏水時は別途)
その他
養生 ルームクリーニング 洗濯機パン交換
給湯器交換※給湯専用
以下180プランでの追加部分
トイレ
洗浄便座付便器、タオルリング、ペーパーホルダー、トイレ扉新設
収納
クロゼットドア、枕棚、ハンガーパイプ新設
洗濯機置場
洗濯機置場を室内に新設 洗濯機パン新設
間取り変更
ユニットバス解体とクロゼット増設に伴う間取り変更実施
※1 税別価格となっております。2021年4月1日より「総額表示義務」により、プラン名が変わる場合がございます。
会社概要
名称: 株式会社ランドネット
代表者: 代表取締役社長 榮 章博
所在地:東京都豊島区南池袋1-16-15 ダイヤゲート池袋7階
設立:1999年
資本金:1億円
事業内容:不動産投資事業/投資用中古マンションの売買/売買仲介・賃貸・賃貸仲介・賃貸管理/不動産コンサルティング/不動産投資セミナーの開催/不動産賃貸事業/リノベーション事業・リフォーム事業/不動産クラウドファンディング事業
WEBサイト:https://landnet.co.jp
リフォーム・リノベーションサイト:https://landnet.co.jp/reform
タイ国際航空は今週、債権者に事業再生計画を提出し、コスト削減策と、早期退職募集や運営コストの支払いのために金融機関から500億バーツを調達する意向を明らかにした。
タイは債権者に債務削減を提案しておらず、代わりに3年間の借金返済モラトリアムを提案しています。
今は債権者に債務減免を求める代わりに、タイ航空はさらに500億バーツ(約16.5億米ドル)もの借金を背負い、3年後には奇跡的に返済して黄金時代を迎えようと計画しています。
今週のバンコクポスト紙がこれらの計画について報じたとき、それはほとんどパロディのように聞こえました。
タイ航空インターナショナル(THAI)は、財政的に苦戦しているフラッグキャリアが火曜日に事業再生計画を提出したことから、今後2年間で約500億バーツの資金調達を計画しているという。
タイ航空の財務経理部のチャイ・エームシリ副社長代行は、運営費や退職した従業員への補償のために、今年6月までに300億バーツの初期資金を調達しなければならないと述べた。
この資金は、金融機関からの借入、投資先を探す、あるいは負債から株式への転換によって調達することができる、と同氏は述べています。
再生計画をめぐる債権者との交渉では、債権者が再生計画を承認しないことを恐れて、同社は債務削減を求めていない。その代わりに、タイ航空は3年間の債務のモラトリアムを求めており、その後は債務を返済していくとチャイ氏は述べた。
タイ航空のチャンシン・トレヌチャグロン社長代行は、同社の再生計画を法務執行部に提出したところ、負債額は約4100億バーツ、債権者は合計1万3000人に上ったという。
タイ航空の債権者は5月12日に再生計画の採決を行い、過半数の債権者が賛成すれば、中央破産裁判所に提出され、検討されるとチャンシン氏は述べている。
裁判所は6月から7月の間に承認するかどうかを決定する見込みであると、彼は計画が承認された場合、同社は計画に沿って事業を行うと付け加える前に言った。
同氏によると、タイ航空の会社自体もダウンサイジングを行っており、2019年には約29,000人の従業員が現在21,000人にまで減少しているという。
また、今年は6,000人から7,000人の従業員が相互分離計画に参加する予定で、これにより、同社の今後の事業計画に適した年内に約14,000人から15,000人の従業員を削減することになるとシャンサン氏は述べている。
これを踏まえ、再生プランナーは航空機リース会社である債権者とリアルタイムの利用状況に応じて柔軟にリース料を交渉してきた。これにより、タイ航空は効率的なコスト削減が可能になるとチャンシン氏は述べた。
従業員の数を50%削減することは、彼らのスタッフの数がいかに長年にわたって膨れ上がっていたかを示しています。これは主に地上スタッフに関係していますが、年配の客室乗務員や、勤務時間が大幅に短縮されたパイロットも含まれています。要するに、タイ航空は、特定のコネを持つ多くの人々の駐車場としてしばしば利用されてきた会社であり、雇用状況に関して言えば、まだ切り詰めるべき脂肪がたくさんあります。楽な仕事が必要ですか?タイ航空に影響力のある人を知っていればラッキーです。
管財手続き中のタイ航空が今の状況(4,100億バーツの借金)で、債権者に債務削減を求めないというのは、絶対にクレイジーなことです。それはむしろ、タイの特定の影響力のあるビジネスパーソンや機関が、タイ航空との債務を帳消しにすることを余儀なくされた場合、自分たちの帳簿上で大きな損失を被らないように保護するための意図のように聞こえる。
もし債権者が本当にカットを受けたくないのであれば、もう一度リストラをしてさらに借金を背負うのではなく、破産裁判所でチャンスを掴んで、会社全体を再スタートさせた方がいいと思います。
金融機関は、政府が保証しない限り、タイ航空にこれ以上お金を貸すことはないだろう。タイ航空は、一部の株式の所有権を移転した後、もはや国営企業ではありません。
まだ15,000人以上の従業員が、航空会社に依存していることを忘れないようにしましょう。
結論
タイ航空とその財政難の話は終わりのない武勇伝になりつつあり、航空会社の倒産やリストラには通常時間がかかりますが、昨年の春以来、ほとんど達成されていません。この「再生計画」は、名前の約束とは全く違います。タイ航空が今抱えている最も根本的な問題である負債を減らすことはできません。
世界中のあらゆるリストラを行っても、同社は蓄積された借金の山を返済することができないだろう。どちらにしてもビジネスにならない今のうちにこのことを認識し、債務を大幅にカットするか、会社を清算することで航空会社の財務をリセットすることが正しいことだろう。私は破産裁判所がこの計画を実行不可能なものとして却下することを期待している。
REvilと呼ばれるランサムウェア・ギャングは、コンピュータ大手のAcerから機密ファイルを盗み出し、5,000万米ドルという前代未聞の身代金を要求しました。このグループは、台湾企業のネットワークに侵入したことを証明するために、盗んだとされる表計算ソフト、銀行残高、銀行のメールなどの画像をネット上に掲載しました。
マレーシア航空のマイレージプログラム「エンリッチ」の会員が、2010年3月から2019年6月の間のどこかで個人情報が流出した可能性があると警告されている。同航空会社は、未知数のフライヤーの名前や生年月日、連絡先などが流出した可能性があると発表した。
2010年3月から2019年6月までの間のどこかでマレーシア航空のエンリッチプログラムの会員だった場合、個人を特定できる情報が漏洩した可能性があると航空会社は述べています。Channel Asiaによると、航空会社は現在、最大9年間続いた可能性のあるデータ侵害を公開しているという。
報告書によると、フライヤーの身元の重要な詳細が期間中にハッカーに暴露された可能性があるという。そのデータには、以下のようなものが含まれています。
しかし、航空会社によると、ハッカーに旅程情報が流出したことはなかったという。また、予約、発券情報、身分証明書、クレジットカード情報はすべて安全に保たれていた。
航空会社は、今回のデータ流出によって影響を受けた可能性のあるフライヤーの数については明言していない。メディアの声明では、航空会社は、盗まれたデータがフライヤーに悪用されたとは考えていないとしています。エンリッチの会員には、2021年3月1日(月)に送信された電子メールで初めて侵害の事実が知らされました。
"マレーシア航空は、個人情報が悪用されたという証拠はなく、今回の事件ではアカウントのパスワードも開示されていません。"と、航空会社の声明文は、チャンネル・アジアによると読み上げられています。"それにもかかわらず、エンリッチ会員には、予防措置としてアカウントパスワードの変更を奨励しています。今回の事件は、マレーシア航空自身のITインフラやシステムに影響を与えるものではなかった"
ロイヤリティプログラムは、個人情報を盗むために使用できる多くのデータポイントが含まれているため、ハッカーの主要な標的となり続けています。とはいえ、データ侵害の犠牲者は航空会社だけではありません。2020年3月、マリオット リワードはデジタル攻撃を受け、500万人以上のフライヤーの情報が流出したと発表しました。