化粧品通販サイトに不正アクセス(転載)~想定損害賠償額は4800万円程度か~


化粧品通販サイトに不正アクセス - クレカ情報流出の可能性

「ブルークレールWebサイト」もEC-CUBE

化粧品を扱うオンライン通販サイト「ブルークレールWebサイト」が不正アクセスを受け、利用者のクレジットカード情報が外部に流出し、不正に利用された可能性があることがわかった。

ブルークレールによれば、脆弱性を突かれて決済アプリケーションが改ざんされ、クレジットカード情報が外部に流出し、不正に利用された可能性があることが判明したもの。

対象となるのは、2020年3月30日から2021年1月29日にかけて同サイトでクレジットカード決済を利用した1863人。クレジットカードの名義、番号、有効期限、セキュリティコードが流出した可能性がある。

1月29日にクレジットカード会社より漏洩の可能性について指摘があり、調査を実施。3月30日に外部事業者より調査報告を受けていた。

同社は、4月19日に警察へ被害を申告し、個人情報保護委員会には4月22日に報告した。対象となる顧客に対しては、5月24日よりメールで通知し、謝罪している。

東京23区からの転出者はどこに行ったのか?


 武漢ウイルスの蔓延でリモートワークが常態化し、その結果東京23区の人口が減っているらしい。

では、東京23区を去った人はどこに行っているのだろうか。

以前「熱海に引っ越しました」みたいなニュースを見たことがあるが、ウラケン先生がトップ30をまとめてくれていた。

ポイントは都内へのアクセス(電車でも新幹線でも)が1時間というのがポイントになっている模様。

武漢ウイルスが落ち着いた後、働き方がどうなるか見えない部分もあるが、毎日電車痛勤するようなケースはなくなっていくと思われる。(個人的には全体の半分を上限にテレワークが容認されるような気が何となくしている)

そう考えると、都内まで1時間でアクセスできる今回のリストはいろいろ参考になる点があると思う。

個人的には川崎に興味があり、今回リストに上がった川崎エリアは是非今後の投資戦略に活用していきたい。

■ホット!?な川崎エリア
・宮前区
・高津区
・多摩区
・麻生区




米国の重要インフラ領域における内部脅威の軽減: インテリジェンスの観点からのガイドライン / Insider Threat Mitigation for U.S. Critical Infrastructure Entities(転載)



米国の重要インフラ領域における内部脅威の軽減: インテリジェンスの観点からのガイドライン [PDF] dni.gov/files/NCSC/doc…: 米国の重要インフラ領域における内部脅威の軽減: インテリジェンスの観点からのガイドライン
[PDF] dni.gov/files/NCSC/doc…

Overview

米国の国家防諜戦略、2020-2022」は、米国の重要インフラ組織に対する外国の国家および非国家主体からの脅威が拡大し、進化していることを強調しています。
外国の敵対者は、冷戦時代によく見られたように、もはや単に米国政府を標的としているのではなく、今日では、米国の重要インフラやその他の民間企業、学術団体を含む、より広範な標的に対して高度なインテリジェンス能力を使用しています。
これらの米国の産業界や学術機関は、今や地政学的な戦場の真っ只中にあります。

外国の脅威となる企業は、これらの組織とその従業員に関する大量の公開・非公開データを、かつてないレベルで収集しています。
これらの情報を高度なデータ分析能力やその他のツールと組み合わせることで、外国の敵対者は、米国の地政学的利益を促進するために、米国の労働力の中から脆弱な人々を特定し、標的とし、利用する膨大な機会を得ています。
彼らの強みは、私たちの弱点を見極めることであり、私たちの脅威は彼らのチャンスなのです。

このような脅威の状況を考えると、重要インフラ企業は、インサイダーの脅威を事前に防ぎ、軽減するためのリソースを優先的に投入することが不可欠です。
インサイダー脅威とは、組織内で信頼されている人物で、意図的か否かにかかわらず、施設、人員、情報への許可されたアクセスを利用して、組織に損害を与える可能性があるものです。

National Insider Threat Task Force(NITTF)は、組織が効果的なインサイダー脅威プログラムを構築するための基準、勧告、ガイド、公報を豊富に作成しています。
NITTFは、機密情報の漏洩に対応するために設立されましたが、NITTFは、従業員のプライバシーと市民的自由を保護しつつ、あらゆるインサイダー脅威に積極的に対応する組織運営を推進しています。
NITTFのモデルは、人間の行動に焦点を当てており、異常な行動を特定し、従業員、組織、ミッションに重大なダメージが及ぶ前に対処することを目指している。
NITTFのモデルは、すべての組織資源を保護するためのベストプラクティスとして、政府や産業界で広く認識されています。

国家防諜・セキュリティセンター(NCSC)は、脅威に対する認識を高め、外国の諜報活動の脅威から国を守るために設計された実務を推進しています。
正式な防諜プログラムではありませんが、インサイダー脅威に対抗するために設計されたプログラムと実務は、国の全体的な防諜態勢の強化に役立ちます。

本報告書の目的は、重要インフラに対する人間の脅威に対する認識を高め、この脅威のベクトルを組織のリスク管理に組み込む方法についての情報を提供し、インサイダーの脅威を軽減する方法についてのベストプラクティスを提供することである。
本報告書は、重要インフラ事業体が人間の行動に焦点を当てた内部脅威プログラムを利用することで、重要な脆弱性に対処し、敵に悪用されるのを防ぐ方法について幅広く考察し、既存のNITTFガイダンスを補完するものである。

Insider Threat(内部脅威)


「インサイダーの脅威」は、文明の起源から人類の歴史の一部となっています。
ほとんどの文化圏では、インサイダーの脅威に関する歴史的な物語があります。
米国の歴史には、信頼できる仲間が寝返ったときに直面する脅威を浮き彫りにする逸話がたくさんあります。
ベネディクト・アーノルドから最近の大惨事となった機密情報の不正開示に至るまで、共通の物語があります。
信頼された有能な人間が、人生の課題に直面して進路を変更し、最終的に危害を加えるというものです。

外国の敵対者が、侵入しようとする組織内のインサイダーを悪用したり、利用したりするために費やしているリソースを考えると、インサイダーの脅威は、今後数年間にわたり、ほとんどの重要インフラ事業体の脅威とリスクの状況の中で永続的な部分となるでしょう。

解決策は?インサイダー脅威は人間の問題であるため、人間による解決策が必要です。
テクノロジーを利用すれば、特にバーチャルな領域での従業員の行動を把握することができますが、インサイダー脅威に対抗するために組織が持つ最も重要なリソースは、従業員自身です。
このような脅威を軽減するために、組織は最低限、次の2つのことを実現しなければなりません。

  1. 個人の異常な行動を特定するプログラムと、それに対応するためのリソースを用意する。

  2. 信頼を醸成し、パートナーとしての従業員を活用する方法で、異常な行動に対応する。
重要インフラ事業体とは、大統領政策指令21(Critical Infrastructure Security and Resilience)で定義された、米国の電力網、通信ネットワーク、金融機関、製造施設、輸送施設、病院などの16セクターを指します。
これらのセクターには、道路や繊維などの物理的な資産だけでなく、それらを支える知的資本、すなわち医療、エネルギー研究、食糧生産、グリーンテクノロジーなどに携わる人々が含まれています。
これらの人々は、悪意のある目的のために重要な資源へのアクセスを求める外国の敵対者の主要なターゲットの一つです。

米国の重要インフラ事業体におけるインサイダーの脅威は、故意であるか否かにかかわらず、国家安全保障や公共の安全、さらには個々の企業や州・地方自治体に重大な損害を与える可能性があります。
このような脅威を軽減する方法を改善することは、国益と個々の組織の利益につながります。

NCSCとNITTFは、国土安全保障省、財務省、エネルギー省、国防省などと協力して、米国の民間企業、州・市・地方自治体、学界などの重要インフラ事業体をよりよく支援するために活動しています。
重要インフラ事業体には、従来のセキュリティ対策を強化・補完し、それぞれの環境や固有の脅威・リスクに合わせた、人間の行動に焦点を当てたインサイダー脅威対策プログラムに投資することをお勧めします。

How the Risk and Threat Environment is Changing(リスクと脅威の環境はどのように変化するか)


米国の脅威環境は、新たな種類とレベルの注意を必要とする形で変化しています。米国の重要なインフラは、地政学的な戦いの場であると同時に、大規模な犯罪活動の標的でもあります。


米国に対する外国のインテリジェンスの脅威は、今日ほど複雑でダイナミックなものはありません。
外国の脅威主体は、ますます洗練されたインテリジェンス能力を持ち、それらを新たな方法で米国を標的にしています。
さらに、これらの脅威主体は、自らの利益を追求するために利用すべきターゲットと脆弱性を拡大しています。敵対者は日常的に学習し、米国のセキュリティ対策に適応しています。

米国の重要インフラを破壊することは、外国の敵対者にとって、米国の国家安全保障、経済安全保障、国民の健康と安全に深刻な損害を与える手段の一つです。米国の国家防諜戦略、2020-2022年によると、

外国の諜報機関は、世界中の重要インフラを悪用し、破壊し、劣化させる能力を開発しています。外国の情報機関は、重要インフラを危険にさらすことで、危機的状況にある米国の意思決定者に影響を与えたり、強要したりすることを目的としている可能性が高い。世界各地の重要インフラは分散化され、デジタル化されているため、外国の情報機関が利用できる脆弱性があり、世界のエネルギー、金融市場、通信サービス、政府機能、防衛能力を支える施設やネットワークも標的となっています。

このように進化する脅威の状況と、米国の重要インフラの多くが民間企業に所有されているという事実を考慮すると、重要インフラの安全確保は、米国の情報コミュニティや連邦政府だけの機能ではありません。
解決策には、民間企業やその他のステークホルダーが関与する必要があります。米国の重要インフラを守るためには、官民一体となって「ゲームを盛り上げる」ことがこれまでになく求められています。

Insider Threats Pose New Kinds of Challenges(インサイダーの脅威がもたらす新たな課題)


重要インフラ企業に対するインサイダーの脅威は増大しています。これらの脅威は、リモートアクセスによるサイバー脅威に比べて評価が低く、緩和が困難な場合があります。


インサイダーの脅威は、サイバーセキュリティやサプライチェーンのリスクの観点からも、また、セキュリティに対する広範なリスクの観点からも、重要インフラに対する脅威のベクトルとしてますます重要になっています。

インサイダーの脅威は、経済スパイ、サボタージュ、職場での暴力、詐欺、その他の企業資源の悪用などによって被害をもたらす可能性があります。
インサイダー脅威活動には、外国の情報機関と連携したインサイダーによる意図的な行動や、悪意や犯罪の動機を持ったインサイダーによるその他の行動が含まれることがあります。
最後に、インサイダーは単純な過失や不注意によっても被害を引き起こす可能性があります。
現在の米国における緊迫した思想・イデオロギーの状況は、これらのリスクを悪化させ、一部の人々にはより多くの動機を与え、他の人々には高レベルのストレスに対してより脆弱にさせています。

米国の重要インフラ事業体に対するインサイダーの脅威は、一般的に目立ちがちなリモートアクセス型のサイバー脅威(フィッシング・キャンペーンなど)との関連で考えることが重要です。
重要インフラ保護の議論は、しばしばサイバーセキュリティの議論と同義となり、脅威の主体(人間)ではなく、主に戦場(サイバー)に焦点が当てられています。
しかし、多くの場合、アクセス権を持つ人間が我々のリソースの完全性を危うくしています。

重要なインフラは、今後も情報通信技術(ICT)への依存度を高めていくでしょう。
また、ICT要素間の相互依存性が高まり、その結果、脆弱性が増加する可能性があります。
遠隔地からのサイバー脅威は、重要インフラ事業体にとって継続的かつ深刻な脅威となります。
しかし、内部の人間は、インターネットを介して遠隔地からアクセスしなくても、ICTの脆弱性を悪用することができます。
リモートアクセスによるサイバープロテクションが非常に効果的であっても、敵対者は、組織に侵入するための最も実行可能な手段がインサイダーであると考えるかもしれません。

How the Covid-19 Crisis Affects the Threat/Risk Landscape(武漢ウイルスが脅威/リスクの状況に与える影響)


武漢ウイルスのパンデミックは、公衆の健康、安全、経済的不安を伴い、インサイダー脅威を含む脅威環境を悪化させる可能性があります。


武漢ウイルスのパンデミックは、米国および世界各国の公衆衛生、公衆安全、経済安全保障にかつてない危機をもたらしています。
米国の多くの州や地方の団体、企業、そしてそれらに勤める個人にとって、パンデミックは信じられないほどの新しいストレスをもたらしました。
このようなストレスを、外国の情報機関はチャンスと捉えています。

遠隔地や自宅で仕事をする人が増え、パンデミックの影響で、敵に悪用される可能性のある安全性の低い情報通信技術への依存度が高まり、これらの技術の要素間の相互依存性も高まっています。
同時に、雇用の確保や健康などに関する個人や家族の不安も増大する可能性があります。
緊迫した国家の経済、社会、政治情勢は、これらの緊張をさらに悪化させるかもしれない。
要するに、社会人の多くは、家庭でかつてないストレスに直面し、組織から孤立し、仕事をする上で安全性の低い情報技術への依存度を高めているのである。

このような環境では、強固で適応性のある内部脅威プログラムがより必要とされ、より困難になります。
インサイダー脅威プログラムは、インサイダー脅威の動機、行動、ストレスがより顕著になっているため、必要性が増しています。
このような環境下では、危機がセキュリティプログラムを含む企業や政府のリソースにストレスを与えるため、インサイダー脅威プログラムはますます困難になります。

Security as an Evolving Cycle(進化するセキュリティサイクル)


現在の環境では、企業は、進化する脅威やリスクの状況に合わせて、自社のセキュリティ態勢を見直すことが新たな課題となっています。


インサイダーの脅威に対抗するには、情報に精通し、意識が高く、献身的な従業員を基盤とした、組織全体の取り組みが必要です。
インサイダーの脅威に対処するためには、組織の市民意識を育み、セキュリティ文化を促進することが重要です。
真の組織的セキュリティは、国家安全保障とビジネスの両方の意味で、組織内の全員が責任を負うべきものです。

効果的な内部脅威プログラムは、単なる「セキュリティプログラム」ではなく、組織と従業員の保護に対する責任の共有を促進するための、従業員への継続的な働きかけと意識向上の取り組みです。

米国政府は半世紀以上にわたり、「オペレーション・セキュリティ」(OPSEC)という概念を推進してきました。
OPSECの核となるのは、敵対的な脅威(意図と能力)を考慮して組織の脆弱性を評価し、適切な緩和策を実施するというリスク管理サイクルです。

外国の国家および非国家の脅威主体が米国の産業や重要なインフラをますます標的としている中、産業界は外国の敵対的な脅威をリスクマネジメントやビジネスプラクティスに取り入れ、自社の従業員が問題ではなく解決策の一部であることを確認することが不可欠です。

進化する脅威環境の中で、企業は、今日の脅威に対して自社のセキュリティ態勢がどの程度適合しているかについて疑問を持つべきである。
外部からの物理的なアクセスや遠隔地からのサイバー脅威に対する対策は、インサイダーの脅威に対する対策よりも進んでいることが多い。
自社のセキュリティ態勢を把握することは、新たな脅威に対処するための第一歩です。

  • 多くの企業にとって、潜在的な脅威やリスクの数や範囲が非常に多いため、どれを優先すべきかが不明確になっています。多くの場合、物理的なアクセスや遠隔地からのサイバー攻撃など、一見すると最も重要なリスクに固執することになります。
  • ほとんどの組織は、リスクや脅威に対して何らかの形でセキュリティを構築していますが、これらのセキュリティ対策は、最新の脅威の状況にマッチしていない可能性があります。脅威やリスクへの対策は、専門的な「縦割り」で行われる傾向があり、企業としての見解を持つことは困難です。
  • 組織によっては、「チェック・ザ・ボックス症候群」に陥ることがあります。名ばかりのセキュリティプログラムは、何もしないよりはましだと考えてしまうのです。このようなリスクフレーミングは、深刻なセキュリティの欠陥を引き起こす可能性があります。
  • 既存のセキュリティ体制を強化したり、新しいセキュリティプログラムを作成したりすることは、リソース的に難しい場合が多い。従来のセキュリティ体制を維持する場合でも、その体制を見直し、評価して、現在の脅威や新たな脅威に対応しているかどうかを確認することが重要です。
進化する脅威環境の中で、企業や政府のリーダーは、次のような質問に答えられる必要があります。
組織の全体的なセキュリティ対策はどうなっているのか?
企業全体のセキュリティ体制はどうなっているのか?
セキュリティに対する最近の投資や組織変更はどうなっているのか?
現在および新たに出現する脅威環境との不一致はどのようなものか?
そのようなミスマッチがあるかどうかを知る立場にあるのは経営陣の誰か?
インサイダー脅威のインシデント、対応、あるいはより大きなセキュリティ態勢のミスマッチについて責任を負うのは誰か?
このような質問に、既存のポリシーとプラクティスに基づいて答えられない場合、セキュリティ態勢の見直しと評価の必要性がさらに高まる可能性があります。

セキュリティ態勢の評価は、組織が「インテリジェンスに似た」機能(組織のセキュリティに関連する情報を収集し、処理する能力)を果たしているかどうかを判断するのに役立ちます。深刻なセキュリティイベントは、組織のインテリジェンスが機能していないことが原因となる場合があります。


脅威に効果的に対応するためには、多くの重要インフラ企業がセキュリティの「インテリジェンス」機能を構築するか、既存の機能を強化する必要があります。
米国の情報コミュニティにおけるインテリジェンスとは、米国の政策決定に関連する質問、洞察、仮説、データ、証拠などの情報を指します。
重要インフラ組織におけるインテリジェンスとは、組織の目標を成功裏に達成し、脅威やリスクから身を守るために必要な情報のことである。
重要インフラのセキュリティを強化するためのインテリジェンス機能の主な要素は以下の通りです。

  • 人的、物理的、情報的な分野における脅威と脆弱性を分析するセキュリティ・インテリジェンス・プログラムの構築

  • 頻発するセキュリティ違反や「危機一髪」事件のパターンの傾向分析の実施

  • セキュリティに関する懸念事項を従業員に伝えるためのコミュニケーションプランの策定

  • 複数の組織的専門分野(人事、福利厚生、情報技術など)をセキュリティの計画と運用に統合すること

  • 内部および外部の脅威について常に最新の情報を得る(また、将来を見据える)

  • 組織横断的な学習のためのリソースを確保すること

  • 市民の自由とプライバシーの保護を、セキュリティおよびインテリジェンスに類似したプログラムに完全に組み込むこと
米国政府のインサイダー脅威プログラムでは、「防諜」情報へのアクセスが一つの最低基準となっています。
正式な防諜プログラムは、企業の多くにとって実現可能ではないと思われますが、意図や能力を含む外国の敵対的脅威に関する情報を組織のリスク管理に組み込んで、決意の固い、組織化された、資金力のある敵対者から保護することは必須です。
このようなプログラムは、組織とその従業員を守り、重要なインフラが危険にさらされている場合には、米国の国家安全保障と公共の安全を守ることにつながります。
インサイダー脅威プログラムは防諜プログラムではありませんが、敵対的な脅威を理解し、それをリスク管理の取り組みに組み込むことで、インサイダー脅威プログラムがその取り組みに集中し、脅威に対抗するために従業員をよりよく準備するのに役立ちます。

Torは10月にv2オニオンサービスのサポートを終了します。 / Tor is Killing off Support for v2 Onion Services in October(転載)


Tor is Killing off Support for v2 Onion Services in October 

2020年7月、Tor Projectは、バージョン2のオニオンサービス(v2)を終了し、より安全性の高いバージョン3のオニオンサービス(v3)に移行するスケジュールを発表しました。2021年10月16日までに、短いオニオンサービスは機能的に存在しなくなる。

David Goulet氏からのtor talkメッセージによると、Tor Projectは安全性を唯一の目的として、v2オニオンサービスからオニオンサービスへの移行を強行しているという。

Onion service v2は、RSA1024と80ビットSHA1(切り捨て)のアドレスを使用しています。また、TAPハンドシェイクを使用していますが、これはv2のサービスを除き、何年も前からTorから完全に削除されています。その単純なディレクトリシステムは、様々な列挙攻撃や位置予測攻撃を引き起こし、HSDirリレーにv2サービスを列挙したりブロックしたりするための大きな力を与えています。最後に、v2サービスはもう開発もメンテナンスもされていません。最も深刻なセキュリティ問題にのみ対処しています。

Tor Projectのブログ記事にあるように、オニオンサービスの運営者は、ユーザーやインフラをv3のオニオンサービスに移行するのに何年もかかっています。しかし、Tor Projectは困難を予想しています。

今回のv3sへの移行は、Tor Projectが提唱するセキュリティの観点からも理にかなっていると言えます。しかし,多くのユーザーはこれに反対し,発表のコメント欄でこの変更の是非について議論しました。あるユーザーは、Tor Projectが、Torユーザーが古くて安全でないソフトウェアを使うのを防ぐことで、オープンソースソフトウェアの性質を「誤解」していると書きました。別のユーザーは、上述のコメント欄に反応して、そのようなとんでもない考え方を持つユーザーが技術的にはまだv2を使用できることを説明しました。

Torのソースコードをダウンロードして、v2の機能を再び追加することは歓迎されています。誰もあなたを止めることはできません。もしあなたのお気に入りのサイトがv2(パッチを当てたTor)をホストしていないなら、そうするように彼らを説得しなければなりません。もし彼らを説得できないのであれば、まあ、結局のところv2はそれほど重要ではないのかもしれません。

また、客観的に見ても、V2オニオンの方が美しいというのが一般的です。V3は見た目が汚いから抵抗があるのかもしれません。

とはいえ、10月のキルデートまであと数ヶ月。



脆弱性診断士とは


経済産業省が出しているサイバーセキュリティ経営ガイドラインにも記載があることから、脆弱性診断というのは個人的には一般化してきているものと考えている。

一方で、脆弱性診断を取り扱う会社も多く、せっかく社内で脆弱性診断のルールの統一を図ったのに「他社が安いので他社でもよいか」みたいな話が出てきて閉口することがよくある。

それでも最近は同じく経産省が情報セキュリティサービス基準なるものを用意してくれ、IPAが一定の基準を満たした事業者を公開してくれているので、結構助かっている。

ところで、外部に脆弱性診断を依頼すると金額が高額であったり、リソース調整に難儀して診断着手までに時間がかかるようなことはないだろうか?

診断業務の一般化が進む一方、診断業務に必要な人材は不足していると想定され、この辺のスキルを身に着けると、自身の市場価値が上がるのではなかろうか?

そんなわけで、脆弱性診断を生業とする「脆弱性診断士」について調べてみた。

実は「脆弱性診断士」という資格自体は2020年に初めてベンダー資格として登場したもので意外にも新しい資格である。

一方で、このベンダー資格として誕生させるまでの様々な成果物はオープンソースで公開されているため、これらの情報を参考に必要な技術を習得できると、「脆弱性診断士」と同格になると考えることもできる。

 昨今診断ツールが充実しているので良いのではとの考え方もあるが、やはりツールだけでは簡易的な検査となってしまい、機密情報を扱う外部公開システムに対しては十分とは言い切れない。

そこでツールだけでは補いきれない部分をカバーするのが「脆弱性診断士」ということになる。

ちなみに個人的にはツール診断を使いこなすレベルの人材でも結構需要があると考えている。

最近、この辺は医者の種類のような感じなのではないかと思っている。

1.ツール診断のみでの簡易診断:所謂町医者や診療所。安価で多くの人が受診可

2.ツール診断+マニュアル診断:総合病院。それなりの設備と専門の勤務医がおり、金額もそれなりにかかる。

3.フルマニュアル診断:専門病院。業界的にも名の通ったスペシャリストが直々に診察するが、超高額。

セキュリティベンダー等で今後診断をメインで実施していくような方は、是非上記の3.を目指してほしいが、個人的には1.の町医者レベルをまずは目指したいと考えている。

自身はセキュリティエンジニアではなく、セキュリティマネージャーなので、特定の狭い領域を深掘るのではなく、幅広い領域を均等に抑えておく必要があると考えている。

いろいろ資料を探していたら、参考資料がたくさん見つかったので、残しておきます。

脆弱性診断士スキルマッププロジェクト
 -脆弱性診断士(Webアプリケーション)スキルマップ&シラバス(バックアップ)
 -脆弱性診断士(Webアプリケーション)スキルマップ&シラバスについて(バックアップ)
 -脆弱性診断士(プラットフォーム)スキルマップ&シラバス(バックアップ)
 -脆弱性診断士(プラットフォーム)スキルマップ&シラバスについて(バックアップ)

安全なウェブサイトの作り方

Webサイト開発者や運営者が適切なセキュリティを考慮したWebサイトを作成できることを目的としてIPAより公開されている資料。メジャーなWebアプリケーションの脆弱性に関する脆弱性の概要、発生しうる脅威、一般的な対策方法などが記載されています。また、ウェブサイト全体の安全性を向上させるための方策や具体的な実装例などを伴ったウェブアプリケーションに脆弱性を作りこんでしまった「失敗例」についても解説されています。

なぜ自社で脆弱性診断を行うべきなのかバックアップ

Webアプリケーションの脆弱性診断における自動診断と手動診断のそれぞれの特徴や、診断業務のやり方について記載されています。また、脆弱性診断を自社で行うことによるメリットについて、コストや品質の面から解説がされています。

星野君のWebアプリほのぼの改造計画 

会社の「Web担当」に配属された星野君が、Webアプリケーション開発業務の中で様々なセキュリティの問題に直面し、解決をしていく日常が対話形式で描かれています。Webアプリケーションの開発において、作りこまれやすい問題の原因や対策について学ぶことができます。

・Burp Suite関連
 -Burp Suite ハンズオントレーニング資料:1.HTTP基礎入門バックアップ) 
 -Burp Suite ハンズオントレーニング資料_2.Burp Suite導入・操作バックアップ
 -Burp Suite ハンズオントレーニング資料_3.Burp Suite実践編バックアップ
 -Burp Suite ハンズオントレーニング資料_4.Burp Suite回答編バックアップ

Burp Suite Japan User Groupより公開されているBurp Suiteを用いて脆弱性診断を学ぶことを目的として開催されたハンズオントレーニングの資料です。 HTTPに関する基礎知識やBurp Suiteの基本的な操作方法についても解説されており、Burp Suiteを用いてXSSやSQLインジェクションの脆弱性を検出する方法を学ぶことができるでしょう。

 -Burp Suite Startup マニュアルバックアップ

Burp Suite Japan User Groupにより公開されている資料です。Webアプリケーションのセキュリティ診断で活用されるプロキシツール「Burp Suite」における、インストール方法から診断をする上で必要な設定や各種機能の利用方法について、図や実際の画面キャプチャを用いて説明されています。初めて「Burp Suite」を使用される方におすすめの資料です。

・OWASP ZAP
 -OWASP ZAP マニュアル Ver.2.1.0版バックアップ
 -OWASP ZAP マニュアル Ver.2.10.0版
 -ZAP Handbook in Japanese

ZAP Evangelistとして活動されているYuhoKamedaさんが、OWASP ZAP関連の日本語資料について解説しているサイトです。ZAPを使って診断を行うための解説や、OWASP Top10の脆弱性をZAPを使って見つける診断方法を日本語で公開しています。

 -OWASP Testing Guideバックアップ

OWASPが提供するセキュリティテストに関するガイドラインです。セキュリティテストが備えるべき診断項目や手順などが紹介されています。

HTML5を利用したWebアプリケーションのセキュリティ問題に関する調査報告書バックアップ

JPCERT/CC発行のHTML5セキュリティに関する調査報告書です。HTML5特有のテスト観点の整理や、開発時に気をつけるべき事項が紹介されています。(一部古くなっている記述もあります。)

液体窒素ダイエット(クライオセラピー / cryotherapy)とは


 液体窒素ダイエットってご存じだろうか?

以前見聞きして気になっていたのだが、記憶から消え去る前にこちらに残しておきたい。

液体窒素って冷たいイメージしかないが、その液体窒素を使って全身を冷却することで血管を収縮し、その後、血管が元に戻ろうと膨張することで、血流を促進、カラダの中の老廃物や疲労物質を流す、というもの。

液体窒素を利用して、-120℃~-196℃程度の超低温状態になったキャビン内に入って身体全体を急速に冷すのが概要で、1回につき、2~3分間程度入る。

これが、アンチエイジングや疲労回復、ダイエットの観点から注目されているらしい。

ダイエットの観点でいうとポイントは2つあるようで、

  1. アポトーシスによる脂肪細胞消滅
    全身ケアがわずか2分から3分で効率的にできるクライオセラピーでは、冷やされた脂肪細胞が、自ら消滅するというアポトーシスという状態に陥らせることができます。 アポトーシスは体が自らの体のために細胞を消滅させるという働きです。 これにより、脂肪細胞が体外へ排出されるため、脂肪細胞が元に戻らずリバウンドのリスクも減少できます。

  2. 脂肪細胞の燃焼
    自然環境では到底考えられない-196℃までの超低温環境に一気に引き込むことで、体は驚いて体の機能を保つために体温を保たせようとします。 そのために熱を一気に高め、エネルギーの量産を図ります。 この際、蓄積された脂肪細胞が熱エネルギーの量産のために使われ、わずか短時間のクライオセラピーで効果的に痩せることができる。

んー。ポジティブにとらえると、使わない脂肪細胞は死滅して減るし、生き残った細胞は燃焼して激やせって感じがするが、

一方で、脂肪細胞は「死ぬ」のか「燃やされる」のか、どっちやねんって感じ。

1回の施術が2~3分で完了するというのはあ非常に魅力的だが、このダイエット方法、分野的に日本より何歩も先行くアメリカでも認証や規制等はまだされていないようで、何をどう誤ったのか、キャビンで凍死した事件も起きている模様。

日本でも液体窒素ダイエットを提供している事業者はいるようだが、まぁ自己責任ということで。

【参考】
日本クライオ療法推進協会

香水通販サイトに不正アクセス(転載)~想定損害賠償額は1.1億円程度か~

香水通販サイトに不正アクセス - クレカ情報が流出

香水学園もEC-CUBE

香水を扱う通信販売サイト「香水学園」を運営するプラネットは、同サイトが不正アクセスを受け、顧客のクレジットカード情報が流出し、不正に利用された可能性があることを明らかにした。

同社によれば、システムの脆弱性を突く不正アクセスを受け、2020年2月24日から2021年1月8日にかけて、同サイトで新規に登録したり、変更した上で決済に利用された顧客2821人分のクレジットカード情報が外部に流出し、不正に利用された可能性があることが判明したもの。

同サイトの決済アプリケーションが改ざんされ、クレジットカードの名義や番号、有効期限、セキュリティコードなど、顧客のクレジットカード情報が窃取された。またクレジットカード以外の個人情報を格納するサーバについても、ログファイルなどの調査から不正アクセスを受けたことがわかっているという。

1月8日にクレジットカード会社から情報流出の可能性について連絡を受け、問題が判明。外部事業者による調査は2月28日に完了した。4月28日に個人情報保護委員会へ報告、警察に被害を申告した。

また対象となる顧客に対しては5月19日より順次メールや書面を通じて個別に連絡を取り、身に覚えのない請求などが行われていないか確認するよう注意喚起を行っている。

SmilesでANAの特典航空券が!


 Smilesというブラジルのロイヤリティプログラムがある。

ここで獲得できるマイルは事実上GOL航空のマイルとなる。

どこのアライアンスにも加盟していないブラジルの航空会社のマイルをためてどうするんじゃいという突っ込みがあるが、このGOL航空、提携会社が非常に多い。

マイルをため始めた当初は、アジア圏の提携航空会社は大韓航空しかなかったが、韓国経由で世界に旅立てるので、それなりに使い道があるだろうと思って貯めていた。


先日、武漢ウイルスの蔓延が長期化しそうなので、マイルの定期購入を停止しようとサイトを見ていたら、提携航空会社にANAが追加されているのを確認した。

試しにHND-ITM間検索したら、ちゃんと出てきた。

が、異様に高い。

約40,000マイルだが、この分をマイルを購入すると2,800BRL≒60,000円となる。

仮にマイルをすでに持っていて、マイル+キャッシュで進めようとしても700BRL≒15,000円となり、まったくメリットがない。

しかし、Smilesの提携航空会社にはANAの表記があるものの、ANAのサイトにはGOL航空やsmilesの情報がないのは何故だろう?

ちなみにsmilesはいろいろクセが強く、個人的にはリスクテイクができるマイラー最上級者向けだと思う。