欺術～気になるワード集～

2003年に初版発行の本だが、書かれている内容は2021年でも通用するものも多く、テクノロジーが進化しても「人」の部分はあまり変わらないのだなと気付かされる。

移行、読んでいて気になった部分を記載してみる。

第1部　騙しの楽屋裏

第1章　セキュリティのウィーケストリンク

• アルバート・アインシュタインはこう言った「無限なものは二つしかない。それは宇宙と人間の愚かさだ。ただし、宇宙はもしかして有限かもしれないが。」 

• セキュリティは製品ではない。それはプロセスである 

•  セキュリティは技術の問題ではない。それは、人間とマネージメントの問題である。

第2部　犯行の手口

第2章　無価値な情報の価値

• 社員番号のような、簡単に外部に知られてしまう情報を、認証のための情報として使ってはならない。社員は情報を請求するとき、本人性を証明するだけでなく、情報を必要とする正当な理由を報告しなければならない。  

•  外部者から質問を受けたり、情報を求められたときには、とりあえず丁寧に断ること。そして、要求の正当性と合法性が確認できたときに、あらためて、情報を提供するようにすること。 

 第3章　直接攻撃：ただ「それをくれ」と言うだけ

• セキュリティ教育訓練には、次の点を盛り込まなければならない。電話をしてきた人間や訪ねてきた人間が、会社の人間の名前や、会社内の専門用語や、業務の手順などを知っていたからといって、その人間が自称する本物の当人であるとは限らない。 

• セキュリティ教育の極意は、疑え！そして、一に確認、二に確認、三に確認、四にも五にも確認だ！ 

第6章　「助けてください。」

• キャンディ・セキュリティ(Candy Security)：外側はファイアウォールなどで堅固に守っているが、その内部のシステム基盤が脆弱なネットワークのこと。このキャンディは、M&Mのチョコレートキャンディを指し、そのこころは、「外側が硬くて中が柔らかい」 

•  スピークイージー・セキュリティ(Speakeasy Security)：情報がどこにあるかという知識は一応秘密にされているが、その知識が分かればだれにでもアクセスできてしまうセキュリティ。コンピューターシステム上のある情報に、簡単な言葉や名前を使ってアクセスできる状態。 

• 何かを求めてきた人物の本人性を確認するための、一つの良い方法は、その人物の電話番号に電話をしてみることだ。電話の主が犯人なら、この確認電話には本物の本人が出るだろう。

•  会社の業務手順や専門用語を知っていることは、本物の社員であることの証拠にはならない。どんなに本物らしく聞こえても、必ず正式な確認検査が必要である。

第3部　侵入者への警戒

第10章　建物への侵入

• ごみに対して意識的になる

機密情報を機密性の程度に基づいて分類する

機密情報を捨てる場合の捨て方を全社的に規則化する 

 機密情報はすべて、シュレッダーにかけてから捨てることを義務化する。

シュレッダーに掛からないような小さな用紙の使用は禁止する。

外部記憶媒体（光学メディア、テープ、HDD）を捨てる際は、データを完全に消すか、使用不可能な状態にしてから捨てるべき

コンピュータ上でファイルを”削除”しても、データは消えないことに注意する。 

 会社の清掃をする人々に対しては、身元調査をすべきである。 

•  辞める社員への対策

機密情報へのアクセス権を持っている社員が辞めるときに、情報部門～セキュリティ部門がとるべき手順手続きを、細かく具体的に定めておくこと。

退社した人物が物理的に会社の建物を去る前に、その人物のコンピュータへのアクセス権を停止すること（悪用の防止） 

辞めた社員と同じワークグループに所属する社員は全員、パスワードを変えるべきである（とくにその人物がクビになった場合）

第4部　守りを固める

第15章　セキュリティの自覚と教育訓練

ソーシャルエンジニアたちが利用する”人間性の六つの弱さ”

• 権威に弱い 

人間には地位や権力などの権威を持っているものからの要求に従う傾向がある。ソーシャルエンジニアは、会社のIT部門の者、重役、あるいは重役の下で仕事をしている者である、などと名乗って、社員をだまそうとする 

•  好き嫌いに弱い

 人間は、感じの良い人物からの要求や、関心や信念や態度などが自分と同じ人物からの要求に従う傾向がある。ソーシャルエンジニアは、会話を通じて、被害者の趣味や関心対象を聞き出し、自分もそれと同じ趣味や対象に熱中している、とホラを吹く。

•  お礼に弱い 

 人間は”お礼に何々するから/あげるから”というタイプの要求に、自動的に従う傾向がある。社員はIT部門の者だと名乗ろソーシャルエンジニアからの電話をもらう。ソーシャルエンジニアは、会社のコンピューターの一部がウイルス対策ソフトで認識できない新しいウイルスに感染した、と告げ、その対策を社員に親切に教えた。それに続いてソーシャルエンジニアは、ユーザーがパスワードを変更するためのプログラムを最近アップグレードしたので、ちょっと試してみてほしいと社員に頼む。その社員は、ウイルス対策を今教えてもらったばかりの人物からの頼みをなかなか断れない。社員は、ソーシャルエンジニアの頼みを聞き入れることによって、お礼をした。

•  約束に弱い

人間は、ひとつのものごとに自分が積極的にかかわったり、肯定的な意思表示をした場合に、そのものごとに関連するその後の要求をなかなか断れない傾向がある。 

• 横並び社会に弱い

人間は、その要求を聞き入れたら自分もほかの人たちと同じになる、横並びになる、と感じた要求には従う傾向がある

• 希少性に弱い 

 人間は、供給量が少ないものを入手したいがために競争する。また、賞品が、一定の短期間しか入手できないものだと、検証に熱心に応募しがちだ。

BAやIBでAviosを購入するには、最低1Avios保有していることが必須（転載）

 【注意】BAやイベリア航空でAviosを購入するには、最低1Avios保有していることが必須

ブリティッシュエアウェイズ（BA）やイベリア航空（IB）のAviosはJAL特典航空券にお得に交換することができます。

しかし、購入するためには、購入したい方の航空会社で1以上のAviosポイントを事前に有していないといけません！！

BAのAvios購入に関するterms&conditions

Aviosの購入

1. 購入者は、1暦年につき最大200,000 Aviosポイントを購入することができます。
2. Aviosポイントは最少購入を1,000Aviosとして、特定のポイント数でのみご購入いただけます。
3. Avios購入は実施されるキャンペーン活動にて時折修正されることがあります。詳細はBa.comをご覧ください。
4. 購入者は、Executive Clubのアカウントに反映され次第、購入したAviosポイントを使用することができます。 Aviosポイントがアカウントに加算されるまで若干時間がかかる場合があります。 詳細については、最寄りのサービスセンターまでお問い合わせください。
5. Aviosポイントは、Ba.com上でAviosポイント購入申し込みフォームを使用する方法、または、ブリティッシュ エアウェイズのExecutive Clubコンタクトセンターでのみご購入いただけます。
6. 購入者は、18歳以上のブリティッシュ・エアウェイズのExecutive Clubメンバーでなければなりません。
7. 購入者は、ブリティッシュ・エアウェイズのExecutive Clubアカウントに最低1 Aviosポイントが必要です。
8. ご利用条件で定められている通り、Aviosポイントをご購入になると、Aviosの36ヵ月の失効ルールがリセットされます。
9. お客様は、ご購入のAviosポイントが未使用の場合に限り、ご購入から14日以内であればAviosポイントのご購入をキャンセルいただける権利を有しています。Aviosポイント購入をキャンセルする権利を行使するには、オンライン・クエリ・フォームで、書面にてその旨の要請を行っていただくか、ご購入いただいた国のExecutive Club事務局までお電話いただく必要があります（お問い合わせ先の詳細はba.comでご確認ください）。以下のキャンセル用テンプレートをご利用いただくことができます。キャンセルをされる場合、弊社がお客様からキャンセルの通知を受けてから14日以内に、お支払いの全額を不当な遅延なく払い戻しいたします。

（ブリティッシュエアウェイズHPから抜粋）

 

イベリア航空のAvios購入に関するterms&conditions

9. The Buyer must also have been a holder of the Iberia Plus card for at least 3 months or have a balance of more than 0 Avios.

（イベリア航空HPから抜粋）

両航空会社ともに規約に明記されています。。。。

購入前にあらかじめAviosを入手するには、クレジットカードのポイント、又は、ホテルのポイントから移行しましょう。

Aviosに交換できるクレジットカードとして代表的なカードは以下になります。

①VISAカード（ANAカード等含む）：

200円決済でVポイント1Pが貯まり、500Pで250Aviosと交換可能です（BAのみ）

②SPGアメックスカード：

100円決済でマリオットポイント3Pが貯まり、3,000Pで1,000Aviosと交換可能です（BA、イベリア航空ともに可）

ホテルポイントからのAvios移行（BAのみ）

・マリオット：9,000Marriott Bonvoyポイントを3,000Aviosに交換

・ヒルトン：10,000 オナーズポイントを1,000 Aviosに交換

・IHG：10,000 IHG®リワーズクラブポイントを2,000 Aviosに交換

・ハイアット：5,000ワールド オブ ハイアット ポイントを2,000 Aviosに交換

旅行好きの方であれば、上記のクレジットカードまたはホテルポイントを持っている方は多いと思われます。

また、BAとイベリア航空間のAviosの移行は手数料等なしに即日で可能です。

なので、クレジットカードやホテルポイントはBAとイベリア航空のどちらに移行しても良いと思います。

ただし、アカウント作成から3か月が必要であることと、アカウントの完全一致が必要となる点に注意です。

イベリア航空でAviosがゼロの場合は、購入ページに移動してもAviosを購入することはできません。

“Sorry, you currently don’t meet the terms and conditions to buy Avios”と表示されてしまいます。

ということで、初めてBAまたはイベリア航空でAviosを購入される際には、事前に何らかの方法（BAまたはイベリア航空のフライトを利用、クレジットカードまたはホテルのポイントを移行）でアカウントに1以上のAviosを保有しておきましょう。

また、イベリア航空の全AviosをBAに移行しないようにしておきましょう。イベリア航空サイトからAviosを購入したときに備えておきましょう。

ATT&CKへのマッピングの自動化：脅威レポート ATT&CK マッパー（TRAM）ツール / Automating Mapping to ATT&CK: The Threat Report ATT&CK Mapper (TRAM) Tool（転載）

Automating Mapping to ATT&CK: The Threat Report ATT&CK Mapper (TRAM) Tool

ATT&CK マッピングを含むサイバー・スレット・インテリジェンス・レポートの発行数が増加していることは喜ばしいことであり、分析者がこれらのマッピングを簡単かつ迅速に作成できるようにしたいと考えています。ATT&CK のグループページやソフトウェアページに新しいレポートを追加するたびに、同様のプロセスを経ているので、ATT&CK マッピングの作成プロセスが難しいことは承知しています。アナリストが全266種類の技術に精通し、情報がどのようにマッピングされているかの機微を理解するには時間がかかります。我々自身のマッピングでは、毎日のように新しいレポートが発表されるため、追加したいレポートのバックログが尽きることがありません。私たちのチームの将来のアナリストの負担を軽減し、他のコミュニティを支援するために、私たちはこのプロセスを自動化する方法の開発に着手することにしました。

当社が開発したツール、Threat Report ATT&CK Mapper (TRAM)は、レポートを分析し、ATT&CK テクニックを抽出するための合理的なアプローチを提供することを目的としています。ATT&CKへのマッピングを自動化することで、分析者の疲労を軽減し、ATT&CKのカバー率を高め、脅威情報のマッピングの一貫性と精度を向上させることができると期待しています。TRAMのパブリックベータ版をATT&CKコミュニティに提供できることを嬉しく思います。

どうやってここまでたどり着いたのか？

レポーティングのテクニックを見つける方法を考え始めたとき、私たちは最も簡単そうな方法から始めました。曖昧な文字列検索です。私たちは、名前からテクニックを探すコマンドラインツールを作りました。すぐにわかったのは、この方法はうまくいく場合とまったくうまくいかない場合があるということでした。例えば、「Mshta」は非常に高い再現性を持っていましたが、「DLL Search Order Hijacking」は非常に低い再現性しかありませんでした。そこで私たちは、より高度な自然言語処理（NLP）プロセスをこの問題に適用することにしました。

以下は、私たちのNLPプロセスです。

1. まず、トレーニング用のデータが必要です。基本的には、モデルにしたい各項目の正解を集めたアンサーキーが必要です。ここでは、テクニックごとにモデルを作りたいので、ATT&CKのサイトにある「Procedure Examples」をテクニックごとに使用しています。
   
   
2. 次に、データを処理しやすい状態にする必要があります。これは、コンピュータが理解しやすいように、テキストをできるだけシンプルなバージョンにすることです。例えば、「masquerade」「masquerading」「masqueraded」はすべて同じ意味ですから、単語の時制ではなく、その意味に基づいてモデルを構築します。同様に、テキストをトークン化する必要があります。これは、テキストをトークンと呼ばれる小さな単位（多くは単語）に分割することです。このトークンによって、コンピュータはデータのパターンを理解することができます。例えば、文中の単語数を数えたり、2つの単語が隣り合って現れる頻度を数えたりすることができます。
   
   
3. これで、それぞれの技術に応じたモデル（パターン）を構築することができるようになりました。現在はPythonのSci-kitライブラリを使用しています。ロジスティック回帰と呼ばれる手法を使用していますが、これは予測を行うのに適しており、ある文章にどのようなテクニックがあるかを予測します。また、この手法は、出力すべきもの（つまり、特定の技術）がわかっているので、教師付き学習と考えられます。
   
   
4. 新しいデータでモデルを使用する前に、正しい答えがわかっているデータでモデルをテストする必要があります。そのために、ATT&CKにマッピングされているレポートを使って、モデルが十分な性能を発揮するかどうかを確認しました。
   
   
5. モデルが期待通りのデータを見つけられることが確認できたら、今度はコンピュータが見たことのないデータ（例えば、ウェブサイトから出荷されたばかりのレポート）に対してモデルを使用することができます。

幸いなことに、Pythonのpickleファイルを使って、これらのモデルを「キャッシュ」形式で保存しています。つまり、このツールを使うたびにこのプロセスを繰り返す必要はないのです。私たちのNLPプロセスについてもっと知りたい方は、10月に行われたTRAMに関するBSides DCのプレゼンテーションをご覧ください。

TRAMはどのように使うのですか？

TRAMはローカルで動作するWebツールで、ユーザーはWebページのURLを送信することができます（PDFはまだありません）。TRAMがページを取得して解析することができれば、レポートの分析には1分近くかかることがありますが、これはフードの下で多くのことが行われているからです。

注：すぐに「レビューが必要」というカードが表示される場合は、一般的にWebサイトがスクレイピングの試みを好まなかったか、サイトの何かが解析できなかったことを意味します。この問題については現在調査中で、近日中に修正できると思います。

ニーズレビューの欄にカードが表示されたら、いよいよ分析を開始しましょう

TRAMのロジスティック回帰モデルは、テクニックを発見したと予測すると、関連するテキストをハイライトし、予測されたテクニックを右側のボックスに表示します。現在のデータセットは非常に限られているため、モデルの精度は100%ではありません。そのため、このツールではアナリストがテクニックの予測を確認し、「Accept」または「Reject」を行う必要があります。裏では、「Accept」ボタンがクリックされると、その文章と技術はデータベースの「True Positives」テーブルに入り、「Reject」がクリックされると、その文章は「False Positives」テーブルに入ります。これらのテーブルを使って、モデルを再構築することができます。より多くのデータがツールに入力され、アナリストがレビューし、モデルが再構築されることで、これらの予測はより正確になることが期待されます。

文章がハイライトされていてもいなくても、手動でテクニックを追加する必要がある場合は、その文章をクリックし、表示されるボックスで灰色の「Add Missing Technique」ボタンをクリックすることで、追加することができます。追加したいATT&CKのテクニックを入力し、表示されたらクリックします。文章がハイライトされていない場合は、ハイライトが表示されます。さらに、受け入れられた技術と拒否された技術のように、不足している技術が追加された場合は、「True Negatives」テーブルに入れられ、モデルを再構築する際に同様に考慮されます。

分析者がレポート全体を確認した後、ページの上部中央にある「Export PDF」ボタンをクリックすると、TRAMSの結果をPDFとしてエクスポートできるようになりました。エクスポートすると、レポートの生のテキスト版と、ATT&CKの手法とそれに対応する文章を表にしたものがPDFとして作成されます。一部の表の例を以下に示します。

TRAMの次のステップは何ですか？

現在のツールを共有し、ATT&CKへのマッピングを支援できることを嬉しく思っています。しかし、まだまだできることはたくさんあると思っています。TRAMは現在、機能的なプロトタイプであり、継続的に改良・開発されています。今後数ヶ月の間に、いくつかの機能を実装したいと考えています。これらの機能が追加されるたびに、新しい変更点を発表し、公開リポジトリを最新の状態に保つようにします。

次のステップとしては、以下のようなものがあります。

• 追加のファイルタイプ（例：.doc、.pdf、.txt）を取り込む機能。
• 出力形式の追加（例：CSV、JSON、STIX
• 複数のユーザーを同時にサポートする機能
• ダッシュボードと分析（例：レポートから見えるテクニックのトップ10、時系列でのテクニックの頻度、など

TRAMはどうやって入手できますか？

TRAMの完全なソースコードは、https://github.com/mitre-attack/tram にあります。READMEには、ツールを実行するための手順が記載されています。

ご自由にダウンロードしてお試しください。これはベータ版なので、バグや問題があることは承知しています。GitHub issue trackerを使って、これらの問題の追跡にご協力ください。

エア・インディアは、450万人の顧客に影響を及ぼすデータ障害を公表。 / Air India disclosed a #databreach affecting 4.5 million of its customers.（転載）

Air India disclosed a #databreach affecting 4.5 million of its customers. https://www.bleepingcomputer.com/news/security/air-india-data-breach-impacts-45-million-customers/#.YKj_zFrqz-Q.twitter:

Air India disclosed a #databreach affecting 4.5 million of its customers. bleepingcomputer.com/news/se…

エア・インディアは、2021年2月に旅客サービスシステムを提供するSITAがハッキングされてから2ヶ月後に、約450万人の顧客に属する個人情報が流出したことを明らかにした。

エア・インディアは3月19日、SITAがサイバー攻撃の被害に遭ったことを乗客に初めて伝えました。

"エア・インディアは、週末に送信した情報漏洩の通知の中で、「旅客サービスシステムのデータ処理会社であるSITA PSS（旅客の個人情報の保存と処理を担当）が最近、サイバーセキュリティ攻撃を受け、特定の旅客の個人情報が漏洩したことをお知らせします」と述べました。

"この事件は、世界中の約450万人のデータ対象者に影響を与えました」と述べています。

エアインディアは、2011年8月から2021年2月までに登録された乗客のデータに影響があったと付け加えました。

しかし、このセキュリティインシデントを調査した結果、クレジットカード情報やパスワードデータへのアクセスはなかったことが判明しています。

しかしながら、エア・インディアは、お客様に認証情報を変更していただくようお願いいたします。

"エア・インディアは、2011年8月26日から2021年2月3日の間に登録された個人情報には、氏名、生年月日、連絡先、パスポート情報、航空券情報、スターアライアンス、エア・インディアのフリークエント・フライヤー・データ（ただし、パスワード・データは影響を受けていません）、およびクレジットカード・データが含まれていました（参照）。

"ただし、この最後のデータに関しては、CVV/CVC番号は当社のデータ処理会社では保有していません」と述べています。

お客様の個人情報の保護は当社にとって最重要事項であり、ご迷惑をおかけしたことを深くお詫びするとともに、お客様の変わらぬご支援とご信頼に感謝いたします。- エア・インディア

エア・インディア以外の航空会社が、航空券の予約から搭乗までの手続きを行うSITAの旅客サービスシステム（PSS）への侵入により、一部のデータがアクセスされたことを乗客に報告しました。

また、SITAは、3月初旬に、影響を受けたPSSの顧客とすべての関連組織に連絡を取ったと、この事件を確認しました。

今回の侵入は、以下のような複数の航空会社の乗客のデータに影響を与えるとのことです。

• ルフトハンザ - 子会社と合わせてヨーロッパで第2位の旅客数を誇る航空会社で、スターアライアンス加盟航空会社、Miles & Moreパートナー。
• ニュージーランド航空 - ニュージーランドのフラッグキャリア航空会社
• シンガポール航空 - シンガポールのフラッグ・キャリア航空会社
• SAS - スカンジナビア航空（情報開示はこちら）。
• キャセイパシフィック航空 - 香港のフラッグキャリア航空会社
• 済州航空 - 韓国の最初で最大のローコスト航空会社
• マレーシア航空 - マレーシアのフラッグ・キャリア航空会社
• フィンエアー - フィンランドのフラッグ・キャリアであり、最大の航空会社
• 日本航空 - 日本で最も長い国内線と国際線の歴史を持つ航空会社。
• 全日本空輸 - 売上高ベースで日本最大規模の航空会社。

セキュリティ知識分野（SecBoK）人材スキルマップ2021年版

日本ネットワークセキュリティ協会からセキュリティ知識分野（SecBoK）人材スキルマップ2021年版なるものがリリースされた。

セキュリティ知識分野（SecBoK）人材スキルマップ2021年版
 

資格もそうだが、こういった細分化や可視化/定化は海外が非常に進んでいて、人材スキルマップもグローバルスタンダードでNIST SP800-181rev.1(NICE Framework)が既に存在している。

海外はジョブ型雇用が一般化しているため、細分化されたうえで、各分野のプロフェッショナルが存在するが、日本の場合リレーションシップ型雇用が一般的のため、NICE Frameworkでは細分化されすぎてマッチしないのであろう。

そこで、日本の環境になじむように整理しなおされたのが人材スキルマップなのである（と勝手に思っている）

NICE Frameworkのロール数がざっと50を超えるのに対し、人材スキルマップのロール数が16となっているのは、日本企業がいかにジョブディスクリプションの定義がヘタクソかを物語っている気がする。

ちなみに、その16のロールを改めて書き出してみる。

1. CISO（最高情報セキュリティ責任者）
2. POC（Point of Contact）
3. ノーティフィケーション
4. コマンダー
5. トリアージ
6. インシデントマネージャー
7. インシデントハンドラー
8. キュレーター
9. リサーチャー
10. セルフアセスメント
11. ソリューションアナリスト
12. 脆弱性診断士
13. 教育・啓発
14. フォレンジックエンジニア
15. インベスティゲーター
16. リーガルアドバイザー
17. ＩＴ企画部門
18. ITシステム部門
19. 情報セキュリティ監査人

こういったロールを意識して日々の業務に取り組むと、自身のキャリアパスやキャリアプランの方向性を立てやすくなるかもしれない。

fastlyのCDNで障害発生 / Fastly: global internet outage caused by a software bug（転載）～クラウドサービスのリスク事例～

Fastly: global internet outage caused by a software bug:

fastlyのCDNで発生したシステム障害についてまとめてみた
 

世界各地で発生した大規模なインターネット障害の原因となったFastly Inc.は2日、この事件は同社の顧客が設定を変更した際に発生したソフトウェアのバグが原因であると発表した。

2021年6月8日に発生した障害は、インターネットが少数のインフラ企業に依存していることに疑問を投げかけるものでした。Fastly社の問題により、「The Guardian」や「New York Times」などのニュースプロバイダーをはじめ、英国政府のサイト、「Reddit」、「Amazon.com」など、トラフィックの多いサイトが停止しました。

日本のサイトでも、メルカリ、楽天市場、読売新聞、日本経済新聞、ABEMA、環境省、金融庁、国土交通省関係サイト、厚生労働省関係サイト、広島大学、Yahoo! JAPAN、note、Paravi、TVerなどが影響を受けています。

"Fastly社は、同社のエンジニアリングおよびインフラストラクチャー担当上級役員であるニック・ロックウェル氏のブログで、「今回の障害は広範囲かつ深刻なものであり、お客様およびお客様に依存しているすべての方々に影響を与えたことを心よりお詫び申し上げます」と述べています。

ロックウェル氏は、この問題は予想されていたはずだと述べています。Fastly社は、世界中に戦略的に配置されたサーバー群を運営しており、顧客がエンドユーザーの近くにコンテンツを迅速かつ安全に移動・保管できるよう支援しています。

同社の投稿には、出来事の時系列が記載されており、Fastly社が自社のテストプロセスでソフトウェアのバグを検出できなかった理由を調査し、説明することを約束している。

Fastly社によると、このバグは2021年5月12日に顧客に出荷されたソフトウェア・アップデートに含まれていましたが、正体不明の顧客が設定変更を行って問題が発生するまでは、「当社のネットワークの85％がエラーを返す原因となった」と述べています。

Fastlyは、09:47 GMTに発生した障害に1分以内に気づき、10:27 GMTにエンジニアが原因を突き止めました。問題の原因となった設定を無効にしたところ、同社のネットワークのほとんどがすぐに回復しました。

"49分以内にネットワークの95％が正常に動作するようになりました」と同社は述べています。

同社のネットワークは12:35GMTに完全に復旧し、17:25GMTには恒久的なソフトウェア修正プログラムの配布を開始したとFastly社は述べています。

2021年版、灯台下暗しの実例～逃亡したヘビを17日間延べ200人以上動員して捜索するも、飼い主の屋根裏で発見されるというオチ～

 

【新大学生向け】まず最初に買うべきものブランド3選（転載）

(タイトル不明):

ユーザーに不利益な選択をさせるデザイン「ダークパターン」を通報できるウェブサイトが登場（転載）

 

ユーザーに不利益な選択をさせるデザイン「ダークパターン」を通報できるウェブサイトが登場

　製品購入やサービス解約などの手続きにおいて、ユーザーに不利益な選択をさせることを目的としたデザイン、いわゆる「ダークパターン」を通報できるサイトが米国で登場した。

　「Dark Pattern Tipline」と名付けられた同サイトは、ユーザーの誤クリックを誘発するために「Yes」「No」の色や配置を前のページと入れ替えるなど、悪意のあるデザインを用いているウェブサイトの通報を受け付けることを目的としている。こうした悪意を持ったデザインは「ダークパターン」と呼ばれ、近年その呼称が急速に広まりつつあるが、今回のウェブサイトはそれらを周知するとともに、運営者に改善を促すことを目的としており、スクリーンショットに企業名やURL、具体的な被害などを添えて投稿する仕組み。米国ではこうしたダークパターンを禁止する法律の制定が進みつつあり、電子フロンティア財団らが中心になって設立された同サイトは、そうした取り組みの一環とみられる。今後の活動に要注目だ。

• Dark Pattern Tipline
  https://darkpatternstipline.org/
• 
  
• Dark Patterns Tip Line: Tell Us Your Experiences with Manipulative Design Practices（Digital Lab at Consumer Reports）
  https://digital-lab.consumerreports.org/2021/05/19/dark-patterns-tip-line-tell-us-your-experiences-with-manipulative-design-practices/
• 
  
• 告知ツイート（Twitter）
  https://twitter.com/CRAdvocacy/status/1395031496671567875

Avaddonランサムウェアギャングは「フランスのAXAグループの3TBのデータを盗んだ」と主張。/ Avaddon ransomware gang: ‘We stole 3TB of French AXA Group data’（転載）

Avaddon ransomware gang: ‘We stole 3TB of French AXA Group data’:

ランサムウェア「Avaddon」は、AXAが攻撃者に協力しなかった場合、DDoS攻撃やデータ漏洩を行うと脅迫しています。

フランスの保険大手アクサグループは、日曜日、同社がランサムウェア攻撃の被害に遭ったことを発表しました。この事件は、タイ、フィリピン、マレーシア、香港のアジア・アシスタンスのITオペレーションに影響を与えました。

同社は声明の中で、"タイのインター・パートナーズ・アジアが運営する特定のデータがサイバー犯罪者によってアクセスされており、どのようなデータが盗まれたかについては今のところ証拠がない "と述べています。

アクサ・パートナーズは、グループの国際的なアシスタンス・パートナーシップの発展を目的とした組織です。規制当局および同社のビジネスパートナーには、この件について周知徹底している。

外部専門家の協力を得て、調査を進めています。

"調査の結果、誰かの機密データが影響を受けたことが確認された場合、すべての企業のお客様および影響を受けた個人を防止し、サポートするために必要な措置が取られます」と付け加えています。

ランサムウェア "Avaddon "の犯行声明

Hackread.comは、悪名高いランサムウェア・ギャング「Avaddon」が、AXA Groupへのランサムウェア攻撃の責任を主張していることを確認しました。

ランサムウェア「Avaddon」の公式サイトのスクリーンショット(Image credit: Hackread.com)

このランサムウェアは、Torブラウザでアクセスできるダークウェブ上の公式サイトで、3テラバイトのAXAグループのデータを盗むことができたと主張しています。

• IDカード
• パスポートコピー
• お客様のクレーム
• 予約契約
• 拒否された弁済金
• お客様へのお支払い
• 契約書および報告書
• 全顧客のIDと全顧客の銀行口座のスキャン書類
• 病院や医師の予約資料（不正のための私立探偵の調査
• 顧客の医療報告書（HIV、肝炎、STD、その他の病気の報告書を含む）。

ハッカーから流出したサンプルデータ

また、ハッカーたちは、自分たちの要求に応じない場合、データの漏洩やDDoS攻撃を行うとAXAグループに警告しています。

AXAグループ、会社は我々に協力する気がないので、240時間を与えてコミュニケーションと協力を求めます。もし時間切れにならなければ、会社の貴重な文書を流出させる」とハッカーたちは声明を出しています（Hackread.comによる）。

Avaddonランサムウェア・ギャングの攻撃構造は、標的のセキュリティを侵害してデータを盗み、被害者のシステム上のファイルをロックし、復号化キー/ツールに対する身代金の支払いを要求するなど、他のランサムウェア・グループと同様の手口を踏襲しています。

しかし、身代金が支払われない場合、Avaddonは被害者のウェブサイトにDDoS攻撃を行い、身代金の支払いを迫ります。

一方、米国最大の燃料パイプラインへのランサムウェア攻撃の背後にいたDarkSideグループは、攻撃後の熱に耐えられず、結局活動を辞めてしまいました。しかし、ランサムウェア「Avaddon」は新たな標的を探しており、その被害者のリストは日を追うごとに増えています。

先日、通信大手テルストラのプラチナ・パートナーであるメルボルンのサービス・プロバイダー「Communication」が、一連のサイバー攻撃とデータ流出の被害に遭いました。この攻撃は、ランサムウェア「Avaddon」の一味によるものとも言われています。

化学品販売大手のBrenntag、DarkSideのハッカーに440万ドルの身代金を支払う / 化学品分销巨头 Brenntag 向 DarkSide 黑客支付了 440 万美元赎金（転載）

化学品分销巨头 Brenntag 向 DarkSide 黑客支付了 440 万美元赎金
 

フランスに本社を置き、世界670拠点で17,000人以上の従業員を擁する世界有数の化学品流通企業であるBrenntag社が、サイバー攻撃を受けたことを確認しました。 ICS Chemical Top 100 Distributorsレポートによると、北米市場の売上高は2番目に大きい。 しかし、Brenntag社は、サイバー攻撃者によって暗号化されたデータを解放し、盗まれたデータの公開を防ぐために、ランサムウェアグループ「DarkSide」に440万ドルの身代金をビットコインで支払うことを余儀なくされました。

2021年5月初め、Brenntag社の北米部門がランサムウェアの攻撃を受けました。 サイバー犯罪者は、会社のネットワーク上のデバイスからデータを暗号化しただけでなく、暗号化されていない大量のファイルを盗み出しました。

Bleeping Computer社が匿名の情報源を引用して伝えたところによると、ランサムウェアグループ「DarkSide」は、この攻撃で150GBのデータを盗んだと主張しています。

また、被害者を納得させるために、同グループは非公開のデータ流出ページを作成し、盗まれたデータの説明や特定のファイルのスクリーンショットなどを掲載しています。

DarkSide社は当初、Brenntag社に133.65ビットコインの身代金を要求しましたが、これは当時、約750万ドルの価値がありました。 しかし、交渉の結果、最終的に両者は440万ドルまで価格を下げ、2日前に取引が完了しました。

露出したビットコインウォレットのアドレスからもわかるように、Brenntagは5月11日に身代金を攻撃者に送金しています。 本日、同社はBleeping Computer社にこのことを確認しましたが、ランサムウェア攻撃に関連しているとは正確に述べませんでした。

Brenntagは、「北米部門では、影響が限定的であった情報セキュリティインシデントの解決に取り組んでおり、さらに事態を収束させるために、影響を受けたシステムを早急にネットワークから切り離しました。

また、同社は法執行機関にこの事件を報告し、調査を支援するために第三者のサイバーセキュリティおよびフォレンジックの専門家を招きました。

今すぐチェックすべきダークウェブ検索エンジン10選 / 10 Best Dark Web Search Engines You Need To Checkout Now（転載）

10 Best Dark Web Search Engines You Need To Checkout Now

ディープウェブは、まさにその言葉通りの意味を提供してくれます。アンダーグラウンド・インターネットとは、ワールド・ワイド・ウェブの中で、従来の検索エンジンではインデックスされない部分のことです。従来の検索エンジンとは、私たちが日常的に使用しているGoogleやBing、関連サイトなどのことです。地下のインターネットは想像以上に大きく、ダークウェブ検索エンジンが必要です。ウィキペディアやフェイスブックなどのソーシャルメディアを含め、皆さんが日常的に閲覧しているウェブサイトは、インターネット全体の1％にも満たないという事実があります。

How It All Started?

2002 年に Tor ブラウザが導入される前の Tor ネットワークの初期段階では、ディープ・ウェブやダーク・ウェブのユーザは、これらの隠された Web サイトにアクセスするためのさまざまなソリューションを探していました。ダーク・ウェブ・マーケットへのリンクは、ディレクトリ・サイトや、.onion Webサイトのいくつかのバンドルを掲載した隠れたWikiサイトを通じて、すぐに出現しました。これらには、マーケットプレイス、ベンダーショップ、フォーラムなどが含まれます。これらのリストは常に更新されているわけではなく、リンクが切れているものも多く見受けられました。しかし、それはまだ始まったばかりの段階でした。

その後、ダークネット検索エンジンが導入されたことで、人々は様々なマーケットプレイスやフォーラムから検索エンジンの最新の結果を収集できるようになりました。とはいえ、ダークネット用検索エンジンのユーザーが経験するであろう2つの顕著な課題はまだ存在しています。1つ目は、ダークウェブ用の検索エンジンのほとんどが、Torネットワークの検索にしか対応していないことです。I2PやZeronetなど、他の類似したネットワークはカバーしていません。2つ目は、ほんの一握りのダークウェブ検索エンジンが継続的に最新のソースを発見していることです。 

ダークネットワークのサイトやチャンネルは、最大限の匿名性を提供することを目的としているため、意図的に相互に接続されていません。そのため、新たなチャンネルを発見することは困難です。検索エンジンにこの2つの機能がなければ、十分に強固なカバレッジを提供することができず、正確なデータや包括的な検索結果を継続的に提供する能力が低下してしまいます。

The Accurate Picture of The Internet

初心者がTorブラウザでダークウェブのウェブサイトを検索するのは文字通り不可能です。彼らは通常、これらの検索エンジンの機能や、これらの隠れた検索エンジンがどのように役立つのかを知りません。

素人には、インターネットは1種類しか存在しません。私たちが日常的にアクセスしているものです。しかし、インターネットには大きく分けて3つの部分があります。インターネットの仕組みを正確に理解するためには、すべてのパーツを知る必要があります。

• The Surface Web: サーフェスウェブとは、インターネットの中で隠されることなく、人々が日常的に利用している部分を指します。BingやGoogleのような通常の検索エンジンがインデックスできるすべてのウェブページで構成されています。ウェブページは隠されることなくインデックスされているので、人々がそれを見ることが可能になります。
  
  
• The Deep Web: ディープウェブとは、隠されたネットワークの一部であり、そこにあるすべてのページは保護されているため、検索エンジンにインデックスされません。このような保護により、パスワードなどのさまざまな形式が登場しています。例えば、Instagramのプライベートなプロフィールは、Googleの検索結果やBingの検索結果のような通常の検索結果には表示されませんが、このような保護の例があります。
   
• The Dark Web: ダークウェブは、隠れたインターネットの一部でもあります。ダークウェブには、通常のブラウザではアクセスできないWebサイトが集まっています。これらのWebサイトに接続するには、異なるタイプのネットワークが必要です。この特殊なネットワークは、「The Onion Router」または一般的に「TOR」と呼ばれています。すべてのダークウェブ・ウェブサイトは、.comや.orgといった最も使用されているトップレベル・ドメインの代わりに、.onionという拡張子を最後に付けています。

最初の2つは通常のもので、2つ目は隠されたままです。しかし、実際の謎は3番目のタイプのインターネットにあります。ダークウェブは、インターネットのごく一部を占めており、65000以上のURLが含まれています。そのうち、機能している、あるいは活動しているのは8000個だけで、他はさまざまな問題で機能していません。

Top 10 Dark Web Search Engines You Might Not Know

タマネギのウェブサイトを検索する方法を学ぼうとしていますか？ここには、あなたが望むものすべてがあります。インターネットの隠れた部分であるダークウェブには、ある課題があります。それは、その中でホストされているWebサイトを見つけることです。これらのウェブサイトは、前述のようにインデックスされていないため、通常の検索エンジンによる検索では見つけることができません。これとは別に、隠されたWebサイトの特徴がもうひとつあります。WebサイトのURLをよく見てみると、そのWebサイトには特定の名前がないことがわかると思います。文字や数字が無造作に配置されているだけで、何の意味もありません。

最近出てきたダークネットの検索エンジンはたくさんあります。ここでは、Torブラウザを利用している場合に役立つ、最高のディープウェブ検索エンジンについて説明します。

DuckDuckGo (3g2upl4pq6kufc4m.onion)

DuckDuckGoは、ユーザーを決して追跡しないというユニークなセールスポイントで作られていました。長い間、この検索エンジンは、何よりもプライバシーを重視する人々の間で、Googleの代わりとして使われてきました。匿名性を提供することで、隠れたウィキにも登場しました。また、この検索エンジンがTor Browserのデフォルトの検索エンジンであることも考慮する価値があります。これは、ダークウェブに最適な検索エンジンであることを物語っています。

Torch (cnkj6nippubgycuj.onion)

TorchはTorSearchとしても知られています。検索エンジンが発見されたときから存在する、ダークウェブ用の最も古い、あるいは最も原始的な検索エンジンであると主張しています。10億ページ以上のインデックスを作成しており、かなりのポイントを提供しています。検閲も追跡もありません。これにより、ダーク・ウェブに埋もれている情報を完全に利用することができる。

Recon (reconponydonugup.onion)

これは、HugBunterが導入した最新のダークネット検索エンジンの一つです。HugBunterは、ダークウェブフォーラムDreadのオーナーです。このダークウェブ検索エンジンは、ユーザーがさまざまなダークウェブ・マーケットプレイスでさまざまなベンダーが出品している製品を探すことができるデータベースとしての役割に重点を置いています。また、このプラットフォームでは、ベンダーやダークネット市場の個々のプロフィールを閲覧することができます。これには、評価、掲載数、稼働率、ミラーリンクなどの具体的な情報が含まれています。このオニオンウェブサイトの検索エンジンは、最高のものの一つです。

Ahmia.fi/Ahmia (msydqstlz2kzerdg.onion)

Ahmiaは面白いものを持っています。ユーザーは、Google Chromeなどの通常のブラウザを使って、ダークウェブのウェブサイトやダークウェブのリンクを閲覧することができます。ただし、すべての.onionサイトにアクセスするには、Torブラウザが必要です。Ahmiaには、.onionの拡張機能を備えたバージョンもあります。このサイトでは、ユニークな検索クエリとシンプルな検索クエリに分類された利用統計も提供しています。シンプルでユニークな検索結果は、TorとI2P（Invisible Internet Project）の両方のネットワークでも利用できます。このディープウェブ検索エンジンの最大の特徴は、非常にシンプルなようでいて、同時に非常に機能的であることです。また、ワンクリックで自分のダークウェブ隠しサービスをデータベースに追加することもできます。

notEvil (hss3uro2hsxfogfq.onion)

notEvilはシンプルさの最たる例です。これは、Googleをモデルにしていると言われています。また、Googleのモットーである「Don't Be Evil」から名前を取ったとも言われています。このプラットフォームは、ユーザーに複数のオプションを提供し、そこから結果を選択することができます。そのパラメータは URL、タイトル、またはその両方を組み合わせることができます。

Candle (gjobqjj7wyczbqie.onion)

Candleは、3年前に開発されたディープウェブ検索エンジンです。最も人気のあるクリアネット検索エンジンの1つであるGoogleにインスパイアされています。このダークウェブ検索エンジンは、Googleのルック＆フィールを真似しようとしています。これにより、多くのトラフィックが得られ、ウェブサイトの数は日々増え続けています。ダークウェブには様々なメールプロバイダーが存在します。Candleは、ディープウェブのメール検索を行うのに役立ちます。

Haystak (haystakvxad7wbk5.onion)

Haystakは、15億以上のウェブページのインデックスを作成したと宣伝しているので、このダークネット検索エンジンのリストの中で言及するに値する。しかし、ダークネットサイトの多くはオフラインのままであったり、常に消去されていたりするため、動作しない可能性があることに留意する必要があります。さらに、お問い合わせフォームから注文できるプレミアムバージョンも提供しています。

Kilos (dnmugu4755642434.onion)

Kilosは、2019年11月に遡って開始されたディープウェブ上のそのような検索エンジンの1つです。サイバー犯罪者たちに、彼らがしばしば答えを知りたがっていた質問の答えを見つけるための素晴らしいプラットフォームを提供しています。このプラットフォームはまた、ダークウェブ上のサービスを見つけたり、犯罪の動機に適した人物をTorネットワーク上で扱ったりするのにも役立っている。

もし誰かがビットコイン（BTC）を密かに扱いたいと思っているなら、適切な結果を得るために関連するキーワードを入力するだけでいいのです。しかし、これには難点がある。調査中の研究者たちは、Kilos検索エンジンは、学ぼうとする人よりもサイバー犯罪者を助けることがほとんどだと結論づけている。

Tor66

これは、すべての.onionサイトに対して高品質な検索結果を提供することを目的としたダークネット検索エンジンです。この検索エンジンでのオニオンサイトの投稿は、一般に公開されています。Tor66検索エンジンは、様々な有料検索広告や広告を通じて収益を上げています。この検索エンジンには、マーケットプレイスからのコンテンツも含まれています。

Grams

Gramsは、すべてのドラッグハントに情報を提供するダークウェブ検索エンジンの一つです。この検索エンジンの深さを利用して、ユーザーは大多数のウェブページで販売が開始されているダークネットのドラッグを効果的に検索することができます。また、ディープウェブのビデオ検索エンジンとしても機能します。

インターネットで最高のダークウェブ検索エンジンについて検索すると、さらにいくつかの検索エンジンを見つけることができます。その一つが、ディープウェブのpipl検索です。これも最近人気が出てきました。しかし、すべてがここで紹介したもののように機能するわけではないのが事実です。この記事を読めば、オニオン検索エンジンの使い方については確実にわかるでしょう。ですから、これらの検索エンジンを他の何よりも試してみる必要があります。

セゾンカードの海外旅行保険が利用付帯に改悪！（転載）

セゾンカードの海外旅行保険が利用付帯に改悪！代わりを解説！セゾンアメックス会員は注意 

2021年6月30日出発分まで、セゾンカードの海外旅行傷害保険は自動付帯でした。

しかし、2021年7月1日出発分より、セゾンアメックス、マイレージプラスセゾン ゴールドカード、マイレージプラスセゾン プラチナカード等の「海外旅行傷害保険」は、利用付帯のみとなります。

特に人気が高いセゾンプラチナ・ビジネス・アメックス会員は注意が必要です。

2021年7月1日(木)以降は、対象料金をセゾンカードまたはUCカードで支払っている場合のみ対象となります（利用付帯）。

【対象料金】

• 日本出国前に海外旅行を目的として利用した公共交通乗用具 or パッケージツアー料金
• 日本出国後に、海外旅行を目的として利用した公共交通乗用具の利用料金：支払った時から適用（支払い前は対象外）

つまり、今後セゾンカードの海外旅行保険の補償は、旅行代金をカード決済することが条件となります。

出国前にパッケージツアーやリムジンバス、電車、飛行機の代金を対象カードで支払った場合でも海外旅行傷害保険の対象となります。

レンタカー、タクシー、ホテル宿泊代は対象外となる点に注意が必要です。

日本でのOSINT — 電話番号編 / OSINT in Japan — Phone numbers（転載）

OSINT in Japan — Phone numbers

 私がジオロケーションでよく遭遇したのは、広告板と企業の電話番号を追跡することでした。日本でジオロケーションを行う際によく見かけるのが広告板で、その数は非常に多いです。道端にある広告板でも、お店の看板に書かれた電話番号でも、ほぼ確実に住所がわかります。

広告ボードに最初のヒントがある

特に注意すべき手がかりは、人や物の写真、英単語、ローマ字、ウェブサイト、見分けのつく看板、電話番号です。人の写真は逆引き検索で名前がわかる可能性があり、英単語は場所やビジネスの手がかりになり、ローマ字は日本語のローマ字表記なので翻訳サービスに簡単に入力できます。ウェブサイトは広告されているビジネスに直接アクセスでき、看板はその周辺に何があるかを示し、電話番号はビジネスにたどり着くことができ、正確な住所を知ることができます。

どの言語でもそうですが、翻訳は必ずしも直訳ではありません。特に日本語は高度な文字を含んでいます。特に日本語は高度な文字を含んでいるため、翻訳をそのまま鵜呑みにすることはできません。そこで、可能な限り母国語でGoogleマップを操作することをお勧めします。その方がより正確な結果が得られます。

Yandexの画像逆引き検索の「画像内のテキスト」機能は、スクリーンショットが認識できるほど鮮明であれば、母国語を表示することができます。このYandexの機能の使い方については、Ben氏による素晴らしいガイドがこちらにリンクされています。

固定電話番号のエリアコード

日本の電話の市外局番の素晴らしい地図は以下の通りです。この地図の左上の部分は北海道で、実際には日本の北に位置しています。

仮に番号が（0475-22-XXXX）であれば、千葉にあることがわかります。この場合、市外局番を見るだけで、04(7)となります。これが千葉だとわかるのは、地図上で手動で検索して、千葉と書いてあるのがわかるからです。

固定電話の市外局番は01から09まであり、01は日本の北に位置する北海道から始まり、南に位置する沖縄の09まであるので、市外局番の地図を見る前に、技術的には固定電話の番号の地理的な位置を大まかに把握することができます。

市外局番を持っていて、逆に市外局番を調べたい場合は、次のようにしてください。

denwam.com CTRL+Fで必要なエリアを検索すると、エリアコードが表示されるはずです。

電話番号を分解してみましょう。

0475-22-XXXXは固定電話の番号で、日本の固定電話の番号は10桁で構成されており、国際形式では11桁です（+8147522XXXX）。

• 81 = 日本の国番号
• 04＝千葉県
• 75(2) = 千葉県茂原市
• XXXX = 残りの番号

日本の国番号は+81で、市外局番は必ず0で始まり、その後にもう一桁の数字が続く。茂原市には複数の市外局番があるため、2を括弧に入れています。

Areaphones.com/Japanでは、電話番号を逆引きすることができるので、このようなことを覚えておく必要はありません。誰の番号かはわかりませんが（このサイトではわかりませんが）、どこの国の固定電話かはわかります。ただ、番号を国際的なフォーマットで書くことを忘れないでください。もしこれが携帯電話の番号であれば、携帯電話の番号であることだけがわかり、それ以外のことはわかりません。

また、電話番号の内訳としては、searchpeopledirectory.comがあります。これは瞬時にエリアを見つけることができます。

携帯電話・フリーダイヤル

携帯電話の番号は、最初の3桁が070、080、090のいずれかで、11桁の長さになります。denwa-bangou.comでは、携帯電話のキャリア名を確認するだけで、その番号が地理的にどこから来たものかを簡単に知ることができます。

フリーダイヤルの場合は、見つけた番号が有効かどうかをすぐに確認します。numverify.comでは、0120-041-XXX（House Do advertisements）がフリーダイヤルで、日本で有効な番号であることがわかります。日本のフリーダイヤルは、0120（または0800）で始まり、10桁の長さです。これは企業が使用するもので、顧客は電話をかける際にお金を払う必要がありません。

完全番号と部分番号

固定電話の番号は、ほとんどの広告板に掲載されているもので、住所を知ることができるものです。

完全番号（オプション1）

フルナンバーは、Telnaviやjpnumberがビジネスの正確な位置を示すのに優れているので、最も簡単に検索できます。

Telnaviは日本の素晴らしいリソースで、固定電話、携帯電話、IP、フリーダイヤルなど、あらゆる種類の番号を検索できます。私が主に使っているのは固定電話で、その際には最も正確な検索ができます。

Telnaviでは、このお店の正確な住所、最寄りの駅、日本語の店名、そして正確な位置を示すGoogleマップを知ることができます。グーグルマップに翻訳を貼り付けても、母国語の場合ほど正確ではないので、このグーグルマップのリンクが下にあるのは非常に助かります。

完全番号（オプション2）

ここでは、「/」の後に10桁の電話番号を入力してください。24u.jp/0123456789 . このサイトは、日本国内の企業を探すのに最適なサイトです。特に、企業の法人番号や、その企業を管理している人の名前を教えてくれる場合もあります。同様に、企業番号をお持ちの方は、「/」の後に番号を入力するだけで、このサイトから企業名を見つけることができます。

部分番号（オプション1）

下のスクリーンショットを（Yandexのtext in image機能で）逆画像検索すると、下のようなお店の名前が日本語で出てきました。日本語にTelnaviまたはjpnumberの部分電話番号を貼り付けます。例：ビ ジ ネ ス ス カ イ シ ー ホ テ ル 2 3 - 2 4 0 0 と す る と 、シ ス テ ム 上 に あ る 一 部 の 番 号 と 、既 に 得 ら れ て い る 地 名 の 番 号 が 照 合 さ れ ま す 。これで正確な住所がわかりました。

部分番号（オプション2）

上記のホテルの日本名をitp.ne.jpに貼り付けると、検索してくれます。大抵は住所、地図、電話番号が表示されます。

itp.ne.jpは、企業名を入力するだけで、その企業の正確な所在地と電話番号を検索することができるビジネス検索サイトです。これは、電話番号のない企業や部分的な電話番号を見つけるのに便利です。

特にYandexから日本語訳をコピー＆ペーストする際には、文字間のスペースを取り除いてください。Yandexはスペースを自動的に追加し、itp.ne.jpはスペースがあるとテキストを認識しません。

世界で使われているリソースが日本でも使える

numlookup.comでは、通信事業者名と都道府県名を知ることができます。キャリア名からは、その番号が日本のどの地域に拠点を置いているかを知ることができます（例：NTT - West/East Japan）。

Searchyellowdirectory.comは、その番号の市外局番を教えてくれます。

sync.meでは、地域と県を指定することができます。

emobiletracker.comでは、地域やキャリア名などのデータを提供しています。

スキンケア用ソルトのオンラインショップに不正アクセス（転載）～想定損害賠償額は約5200万円か～

 「Rモール」もEC-CUBE

スキンケア用ソルトのオンラインショップに不正アクセス

スキンケア用ソルトなどを扱うオンラインショップ「Rモール」が不正アクセスを受け、利用者のクレジットカード情報が外部に流出し、不正に利用された可能性があることが判明した。

同サイトを運営する黎明によれば、外部より脆弱性を突く不正アクセスを受けたもので、2019年11月5日から2020年10月20日にかけて、購入時に利用されたクレジットカード情報が外部に流出し、一部が不正利用された可能性があるという。

対象となる顧客は2032人で、クレジットカードの名義、番号、有効期限、セキュリティコードなどを窃取された可能性がある。2020年10月20日にクレジットカード会社からクレジットカード情報が流出している可能性があるとの指摘があり、問題が判明した。

2021年1月27日に外部事業者による調査が完了。個人情報保護委員会に2月5日に報告し、同日警察へ被害を届けた。対象となる顧客に対しては、5月27日より書面で経緯の報告と謝罪を行っている。

米連邦通信委員会が国家安全保障の脅威となる通信機器及びサービスのリストを公表（転載）

SttyK (してぃーきっず) retweeted: 「経済安全保障関連動向」ページ(2021年3月)を更新しました ●米商務省が新たに14企業等をEntityListに追加 ●米連邦通信委員会が国家安全保障の脅威となる通信機器及びサービスのリストを公表 続きはこちらからご覧ください→moj.go.jp/psia/keizaianp… #公安調査庁 #経済安全保障 #経済安保 #技術流出:

SttyK (してぃーきっず) retweeted:

「経済安全保障関連動向」ページ(2021年3月)を更新しました
●米商務省が新たに14企業等をEntityListに追加
●米連邦通信委員会が国家安全保障の脅威となる通信機器及びサービスのリストを公表
続きはこちらからご覧ください→moj.go.jp/psia/keizaianp…
#公安調査庁 #経済安全保障 #経済安保 #技術流出

• 2021年3月5日から3月11日まで開催された中国の全国人民代表大会において「第14次5カ年計画」が審議され，同月12日に公表された。同計画では，先端分野における科学技術力の向上などが示されている。
  
  
• 米連邦通信委員会（FCC）は，国家安全保障上の脅威となる通信機器及びサービスのリストを公表した。リストにはファーウェイ(Huawei / 華為)，ZTE(中興通訊)，ハイテラ(Hytera / 海能達通信)，ハイクビジョン(Hikvision / 杭州海康威视数字技术)，ダーファ(Dahua / 大華技術)が記載されている。
  
  
• 米商務省産業安全保障局は，ミャンマーに対する輸出管理を強化するとともに，ミャンマー国防省などをEntity Listに追加したことを発表した。
  
  
• 米サイバーセキュリティ・インフラセキュリティ庁は，Microsoft製品のゼロデイ脆弱性が利用されたサイバー攻撃について緊急指令を発出し，米連邦政府機関に対して，同製品の使用について早急に対策を講じるよう求めた。
  
  
• ホワイトハウスは，国際社会との関わり方に関するバイデン米大統領のビジョンを示すとともに，政権が公式な安全保障戦略を策定するまでの政府機関の指針として，暫定版国家安全保障戦略を発表した。
  
  
• 米商務省産業安全保障局は，ロシアの大量破壊兵器開発プログラム及び化学兵器に関連する活動を支援していたとして14の企業等をEntity Listに追加することを発表した。
  
  
• 米人工知能国家安全保障委員会は，2025年までに米国が人工知能（AI）に対応するための戦略を示した最終報告書を米国議会及び大統領に提出した。

セキュリティ関連資格チャート表（vol2）

 以前、コチラでセキュリティ関連資格のチャート表を紹介したが、別のセキュリティ関連資格のチャート表を発見したので紹介したい。

pauljerimy.com

日本でセキュリティ関連資格というと、情報処理安全確保支援士がもっとも有名で、マネジメント系でISACAやISC2の資格を見聞きする。エンジニア系だとCISCOやSANSの資格といったところだろうか。

ところが、世界には370を超えるセキュリティ関連資格が存在する。

この中には情報処理安全確保支援士等は無いだろうから、こういったローカル資格を加えると400は超えるだろう。

この表、恐らく縦軸は成熟度を表していて、上に行くほどレベルが上がるということを指していると思う。

横軸は資格のカテゴリを分類していて、左から下記のようになっている

・Communication and Network Security

・IAM

・Security Archtecture and Engineering

　-Cloud/SysOps

　-*nix

　-ICS/IoT

・Asset Security

・Security and Risk Management

　-GRC

・Security Assesment and Testing

・Software Security

・Security Operations

　-Forensics

　-Incident Handling

　-Penetration Testing

　-Exploitation

さすがに海外はこういった整理や分担の考え方が進んでいる。

ちなみに、先日とあるセミナーにて、事業会社におけるセキュリティ人材育成の話を聞いてきた。

セキュリティ関連の資格は、それを持っているだけで、セキュリティベンダーやコンサルでは活躍できるが、事業会社では不足になる。

事業会社でセキュリティ担当としていくには大きく下記3ステップが必要になる。

Step1：基礎知識(業務知識/事業会社のお作法)の習得

-中途で来るベンダー上がりやコンサル上りは特に不足。ここをすっ飛ばして前職での専門知識や経験を発揮しようとして浮いてしまうケースも。

-自社育成の場合、該当する資格としては、IPAの情報セキュリティマネジメント試験辺りが該当する 

Step2：専門スキルの習得

-リスク分析、情報セキュリティ理論、ネットワークや暗号技術等の専門知識等、ベンダー上がりやコンサル上りが特に強い領域。Step1をクリアしたベンダー/コンサル出身者はここから本領発揮。 

-自社育成の場合、該当する資格としては、IPAの情報処理安全確保支援士辺りが該当する 

Step3：応用スキルの習得

-組織のセキュリティプログラム策定と管理、個別事象への対応。Step1、Step2での経験に加えて、実業務を通じての経験値アップ。

-該当する資格としては、ISACAのCISAやCISM、ISC2のCISSP辺りが該当か

「事故物件買取センター」とは？（転載）

 全国から問い合わせ殺到 事故物件買取センターの勢い止まらず。関西から東京に出店

事故物件と聞くと関わりたくないと思う人が大半だろう。だが、そんな物件ばかりを買い取り、残置物を処理、改装して市場に出している会社がある。株式会社あきんどが手掛ける事故物件買取センターである。

5年前にスタート、ここ1年で急成長

同社は大阪府守口市に本社を置く不動産買取再販を行う株式会社なにわ工務店の関係会社で、事故物件を専門に扱う別会社を始めたのは約5年前のこと。

「なにわ工務店経営者の家族への、知人からの相談がきっかけでした。親が自宅で亡くなり、その家を処分したいと考えているが引き受けてくれる不動産会社がなくて困っているとのこと。

それまでの買取物件の中にもそうした物件はあったのでしょうが、相談を受けて改めてそうした問題で困っている人がいること、さらにこれからも増えるだろうことに気づいたのです。

それで株式会社あきんどを立ち上げ、事故物件を専門に扱うことになりました。2021年7月で立ち上げからちょうど5年になります」。

最初は地元である京阪エリアを中心にチラシを撒く程度で、問い合わせも周辺からだけ。月に数件くらいだったというが、1年ほど前にホームページをリニューアルしたことで徐々に問い合わせが増加。エリアを全国に広げたことで月に100件を超える個人や業者からの問い合わせが届くようになったという。

そのうちから買い取れるものがあれば月に15～20軒は買い取っているという。

この間で少しずつ競合と思われる会社も出てくるようにもなったが、全国に無料で査定に行って積み上げてきた実績は強く、今現在では日本で一番事故物件を扱っているのではないかと思われる。

生死に関わることから建物、地域に瑕疵のある物件も

事故の内容としては孤独死、自殺、殺人や心中などのように人の生き死にに関わるもののほか、火事にあった、傾きがある、再建築不可、シロアリ問題がある、長屋・連棟、狭小地、借地などといった建物、土地に瑕疵や売りにくい条件がある、近隣とトラブル、もめごとがある、クレーマーがいる、ごみ屋敷になっているなど人の問題まで幅広い。

多くの人は最初、地元の不動産会社に相談するものの、そこで敬遠されてこの会社に、ということも少なくない。

事故物件という言葉だけで特殊なイメージを持ち、扱いたくない、扱いづらいと思ったり、残置物や清掃などの手間をかけたくない、そうしたノウハウがないなどが敬遠される理由だろう。地元だけに風評被害を懸念するということもあろう。

だが、同社の場合には残置物の処理から始まる改装、地元の不動産会社に依頼しての売却活動に至る一連の作業は事故物件以外でも同じ。つまり、ノウハウがあるのである。

査定に独自のノウハウ、売れなくても仕方ないという覚悟

さらに近畿圏から始まり、東海、九州などへ広がって全国で査定経験を積み重ねてきたこともノウハウとしては大きい。

「事故の影響性は物件、地域、居住者などによって違います。駅前の利便性優先のマンションならそれほどの瑕疵と思われないものが、新築の住宅での事故だと大きなダメージになりますし、高齢のご夫婦が住んでいたなら気にならないところが、若い夫婦で事故があったとなると売りにくい。

またその街の人口構成、購買層がいるかどうか、過去の成約事例に加えて人の流れや地域柄などを考えます。もちろん、必ず現地は見ます。従来の査定よりも検討することが多いです」

相場はあってないようなもの。一般的な相場に比べれば安いのは確かだが、場所により、需要と供給によって異なるという。それは同社の急いで売ろうとしていないという同社の姿勢とも重なる。

「不動産には賞味期限がなく、適切に手を入れておけば腐りません。私たちの改装では床から壁、ユニットバスその他の水回りまで徹底的にリフォームするので事柄は残るとしても面影はなくなります。

そして、安ければ問い合わせはきます。とはいえ、反響が多くすぐに決まる物件もあれば、1年以上動かない物件も。必ず、すぐ売れるというわけではありません」。

物件としては父が亡くなるなどして相続した物件の売却依頼が多く、全体の半分くらいを占める。

その家で生まれ育った人もいるにはいるが、自分が使う家ではないという意識があるようで、感傷的になるよりは早く処分したいという気持ちが強い場合が多いそうだ。ちなみに人が亡くなった家のうちの7～8割は相続で取得したものだという。

プライバシーには細心の注意

事故物件の場合、特に注意すべきはプライバシーの問題。

「買取依頼を寄せてくる方々はネガティブな事情に直面された方が多いので、誰にも知られることなく、売却を済ませたいという要望をお持ちです。

今の時代、プライバシー保護は当たり前に言われていますが、事故物件を扱う場合にはそれ以上に最大級の配慮が必要だと感じています」。

その点から考えると事故物件で地元に事情を知られたくないと考えた場合、実は地元の不動産会社以外に依頼するほうが情報の流出を抑えられるという考え方もあり得るのではなかろうか。

ごみ屋敷居住者は複数のトラブルを抱えている

数は多くはないが、事故、事件があった物件の相談もある。本人以外にも士業を経由しての相談もある。近隣トラブル、近所のクレーマー、ごみ屋敷が理由の物件もあり、実に幅広い相談が持ちかけられる。

「ごみ屋敷の所有者の多くは債務を抱えています。問題をひとつ抱えているひとは、聞いてみると他の問題も抱えているものです。

そこで今のままで買い取りではなく、経済状況によっては自己破産を勧めることなどもあり、最良の解決が提案できるようにいつもなにかしらの勉強をしている感じです」。

こうした相談に応じ、全国に無料で査定に行き、すぐ売れるわけでもない、融資のつかない物件を現金で買い取れるのはなにわ工務店本体の資力があるから。あらかじめ、買い先を見つけてから購入という会社はあるが、出口を考えずに買えるのはそのためだ。

それでも買わない物件の条件とは？

他社が買わない物件を積極的に買っているとはいえ、買わない物件もある。それが過去に地域での売買履歴がなく、賃貸ニーズもなく、修復が困難なほど老朽化した物件で、仮に解体しても利益が全く見込めないものだ。

「流通性がなくても家がしっかりしていれば賃貸用に買う人がいるでしょうし、買取金額が安ければ残置物があって、建物が多少傷んでいても賃貸ニーズがあれば買うこともあり得ます。どれかひとつの条件をクリアしていれば考えますが、3つの条件が重なっている物件はダメ。買いません」。

この3条件が重なる物件は投資すべき物件ではなく、再度流通させるのは難しいというわけだ。

現状では同社物件を知る手立てはないが……

さて、様々な地域でワケありとはいえ、相場より安い物件が供給されているのであれば買いたいと考える人も多いはず。だが、現状では同社が手がけた物件を探すのは難しい。

「買うまでは他社には見せず、購入後もしばらくはどうリフォームするかを考えて寝かせていたりします。その後、リフォームしたら販売は地元の不動産会社に任せており、自社でレインズに載せることはあるにしても売るところにはあまり関与しません。

弊社が事故物件を扱っていることを知ったいろいろな地域の方から買いたい、賃貸に使えるような物件はないかなどお問い合わせは受けますが、将来的にホームページに載せることはあるかもしれませんが、現状では地元の会社さんにお任せしています」。

物件はきれいに改装され、地元の不動産会社が販売を担当。もちろん、過去の事情はきちんと説明した上で売られているが、そこでは同社の存在は見えなくなっているのである。

東京に支店、その次は九州、愛知にも

ただ、今後の展開次第ではもしかしたらという期待もある。なにしろ、同社の事業は現在急成長を見せている。手始めに首都圏に拠点を持つそうで、すでに御徒町にオフィスを手配済み。知事免許を大臣免許に書き換え、7月下旬からは本格的に業務を開始。同時に首都圏で流すTVCMも作成中。

さらに今年、来年くらいには福岡、愛知への出店を考えているとも。5年前にこれからニーズがあると読んだ通りの展開になっているのだ。

ちなみに関西から始めたビジネスながら現在の取り扱いでは東京23区を除く首都圏の千葉県、埼玉県、神奈川県を含めた関東エリアが多く、ついで福岡をトップに熊本、佐賀など九州エリアなどとなっているとか。

「これまで本当に大阪から無料で査定に来てくれるんですか？あとで多額を請求されたりしませんか？と不安がられていましたが、今後はそれが無くなります(笑)」。事故物件がきちんと流通するようになる日も近い。

被害者急増中～Amazonギフト券の買取詐欺にあった体験談（転載）

被害者急増中～Amazonギフト券の買取詐欺にあった体験談:

先日、何かのタイミングで知人に“Amazonギフト券”を貰いました。

特に欲しい商品や使う予定などもありませんでしたので、どこかに買取してもらおうと思い、ネットで検索した業者に依頼することに。

しかし、その買取依頼した業者がとんでもない詐欺業者だったため今回、他に被害が起きないように私の体験談をご紹介いたします。

依頼した業者は“買取〇〇〇95”。 

ホー厶ページの申込フォームから“Amazonギフト券コード番号”を入力して送信をクリックしました。

しかし、待てど暮らせど入金なし。

いつまで経っても入金がないので仕方なく“お問い合わせフォー厶”から連絡しましたが、返答はなし。 

ホー厶ページには“60分”で入金と記載されていましたが、申込からすでに“1週間”音沙汰ありません。

改めて業者名で調べてみたところ“口コミ投稿”が悪評だらけでした。

やたらと“買取率”を高く記載する業者は“詐欺”の可能性があるため買取を依頼する際には要注意です。

上記以外の業者であったとしても“Amazonギフト券”の買取詐欺はかなり多く、被害者が急増中です。 

事前に買取業者の”口コミ投稿”をチェックするなどして、下調べを怠らないよう気を付けてください。

YouTubeの再生回数を意図的に購入できるサービス（転載）～個人的には実現のための仕組みが気になる～

YouTubeの再生回数を意図的に購入できるサービス:

今では”将来のなりたい職業”にも殿堂入りする勢いの“YouTuber”。

バラつきはありますが、再生回数“10回”で“1円”と試算されておりメディアでも取り上げられている“1億回再生”は、正に億り人手前。

ただ、現実世界はそう甘くはなくヒエラルキー階層は雲の上だけが儲かっている仕組み、今後参入を考えられている方にとって、この再生回数は、大きな鍵となります。

そんな中、この再生回数を簡単に稼げるサービスが話題のようです。

 SNS-MALL.TOKYO

こちらのサービス、“YouTube”の再生回数やチャンネル登録数などを意図的に購入できるというもの。

サービスには”評価”や”広告収入”も販売されており”YouTube”をこちらだけで網羅できてしまえる現代のサクラシステムといえます。

 実際は、投稿する動画そのものに魅力がなければ長続きしませんが新しい店に行列があれば、後ろに並びたくなるのが日本の特性です。

今後、始める方にとって足掛かり程度には、なるのかも知れません。

また、”YouTube”以外であっても“Twitter”や“インスタグラム”などSNSの“フォロワー”なども販売中。 

これらは”フォロワー”を集めた後“アカウント”をそのまま転売して利益を得ようとる輩のためですが健全にSNSを楽しむ方にとっては関係ないサービスかも知れません。

不動産が下がるとしても、投資した方が儲かる理由（転載）～不動産はエブリデイ買い時～

不動産が下がるとしても、投資した方が儲かる理由:

今月更に東京23区に不動産を購入しようと、金融機関に融資の打診をしています。もし借りられれば、いよいよ2ケタ億円の借入残高になります。お金は借りられるだけ借りておいた方が良いというのが私の投資の考え方です。

しかし、東京の不動産は上昇を続けており、今から購入すると高値掴みになるのではないかという、「不動産評論家」の意見もあるようです。

まず、私は不動産の価格に関しては大きく下がる可能性は低いと考えています。また、もし不動産価格が下がったとしても、投資した方が儲かる可能性も充分にあります。それは、借入金利と不動産賃貸利回りの差（イールドギャップ）が時間と共に収益を積み上げていくからです。

具体的な数字で考えてみましょう。

賃貸利回りが4.0％（管理費などを差し引いたネット利回り）の中古ワンルームマンションを2000万円の全額借入で購入するとします。借入金利が1.5％（金利差2.5％）であれば、35年借入で61,236円となります。

家賃は手取りで66,666円で、元利均等ローンの返済額は毎月61,236円ですから、毎月5000円程度のキャッシュフローを得ることができます（これは年に1回の固定資産税の支払いに充当できます）。

ローン返済の初月の内訳は36,236円が元本返済、25,000円が利息分となります。元本が減っていくと、毎月の元本返済部分の比率が高くなっていき、借入残高が減少していきます。返済を続けていくと

5年後には、借入残高17,743,664円（2,256,336円の返済）
10年後には、借入残高15,311,709円（4,688,291円の返済）

となります。

つまり、10年後であれば、2割以上物件価格が下がっていても、売却すれば利益が出るということです。

上記例のように、金利差が2.5％程度あれば、35年ローンで毎月のキャッシュフローが得られ、年間で50万円弱の含み益を蓄積することができます。それが物件価格の下落よりも大きければ、物件価格が下がっても投資した方が有利となるのです。

これは、株式投資で、値上がりするかしないかというキャピタルゲインに賭ける投資をしている人には、なかなか理解できない不動産投資の醍醐味です。自分が返済するのではなく、賃借人の家賃で勝手に返済が進むのです。

金融資産への投資で、毎日消耗している人は、是非不動産投資への投資対象の拡大を実践するきっかけにしてみてください。

※内藤忍、及び株式会社資産デザイン研究所、株式会社資産デザイン・ソリューションズは、国内外の不動産、実物資産のご紹介、資産配分などの投資アドバイスは行いますが、金融商品の個別銘柄の勧誘・推奨などの投資助言行為は一切行っておりません。また、投資の最終判断はご自身の責任でお願いいたします。

メルカリがインシデントを公表（転載）～GitHubに個人情報保存するなよ😡～

メルカリがインシデントを公表、開発プロセス自動化のリスクに注意を:

　メルカリは2021年5月21日、コードカバレッジツール「Codecov」に対する不正アクセスにより、同社保有のプログラムソースコードの一部と一部顧客情報が外部流出したと公表した。

　流出したのは、フリマアプリ「メルカリ」で2013年8月5日〜2014年1月20日に実行された売上金の顧客口座への振込みに関連した情報1万7,085件、2015年11月〜2018年1月の間でカスタマーサービス対応に関連した情報217件、2013年5月に実施したイベントに関連した情報6件、「メルカリ」および「メルペイ」の一部取引先などに関する情報7966件、同社子会社を含む一部従業員に関する情報2615件としている。稼働中のサービスへの不正アクセスは確認されておらず、サービス運営への影響はないとしている。

　情報流出に該当する顧客には個別に案内を進め、専用の問い合わせ窓口を設置する。

　メルカリの報告によると、Codecovの運営元であるCodecov LLCが不正アクセスの被害に遭った際、同社が利用していた「Bash Uploader」が「定期的に不正に変更される事象が発生」したことで、Codecovのサービスに接続していた顧客の認証情報やトークンなどが流出したことが発端とされる。Codecov LLCの調査では2021年1月31日から不正アクセスが発生していたという。

　Codecov LLCがこの情報を公表したのが2021年4月15日で、その翌日の4月16日にはメルカリも対策を開始し、認証情報の初期化を進めていたという。

　ここで、ソースコードリポジトリを置くGitHubもこの問題を独自に調査しており、2021年4月23日に不正アクセスの可能性があることをメルカリに報告したという。これを受けてメルカリが本格的な調査を進めた結果、同日の内にソースコードの一部に不正アクセスが判明したという。

　メルカリは即日、全社横断的な対策本部を設置し、関連当局等への報告を実施した。同時に、不正アクセスされたソースコードに認証情報などが含まれていないかを調査し、認証情報等の初期化作業を開始したとしている。

　不正アクセスされたソースコード上に一部顧客情報があったことが判明したのは4月27日だったという。同社は事実の公表による追加被害のリスクを回避する目的で、不正アクセスへの対策と調査を先行して実施したため、情報の開示が2021年5月21日になったとしている。

　メルカリが公表した情報によれば今回の漏えいの全貌は下図のようになる。

　アプリケーションの開発やテスト、運用を自動化する目的で、各ツールやシステムを連携する際、認証情報やトークンを使うことになるが、ソースコードに直接認証情報を記入する方法はリスクとなる場合があるため、原則として禁止されることが多い。また、開発環境で扱うテストデータなどの取り扱いにも慎重さが求められる。開発環境やテスト環境で本番データを使う場合も、直接センシティブデータを扱うのではなく匿名化やマスク処理を施すなどの対策が必要だ。利用したデータは確実かつ速やかな削除も徹底する必要がある。特に、プロジェクトオーナーが不在になるなどの理由でライフサイクルを管理しきれないまま残されたリソースがある場合、リスクにつながるデータが残ったままとなっている可能性があるため、過去のプロジェクトを含め、組織としてチェックできる体制を確立することが重要だ。

化粧品通販サイトに不正アクセス（転載）～想定損害賠償額は4800万円程度か～

化粧品通販サイトに不正アクセス - クレカ情報流出の可能性

「ブルークレールWebサイト」もEC-CUBE

化粧品を扱うオンライン通販サイト「ブルークレールWebサイト」が不正アクセスを受け、利用者のクレジットカード情報が外部に流出し、不正に利用された可能性があることがわかった。

ブルークレールによれば、脆弱性を突かれて決済アプリケーションが改ざんされ、クレジットカード情報が外部に流出し、不正に利用された可能性があることが判明したもの。

対象となるのは、2020年3月30日から2021年1月29日にかけて同サイトでクレジットカード決済を利用した1863人。クレジットカードの名義、番号、有効期限、セキュリティコードが流出した可能性がある。

1月29日にクレジットカード会社より漏洩の可能性について指摘があり、調査を実施。3月30日に外部事業者より調査報告を受けていた。

同社は、4月19日に警察へ被害を申告し、個人情報保護委員会には4月22日に報告した。対象となる顧客に対しては、5月24日よりメールで通知し、謝罪している。

東京23区からの転出者はどこに行ったのか？

 武漢ウイルスの蔓延でリモートワークが常態化し、その結果東京23区の人口が減っているらしい。

では、東京23区を去った人はどこに行っているのだろうか。

以前「熱海に引っ越しました」みたいなニュースを見たことがあるが、ウラケン先生がトップ30をまとめてくれていた。

ポイントは都内へのアクセス（電車でも新幹線でも）が1時間というのがポイントになっている模様。

武漢ウイルスが落ち着いた後、働き方がどうなるか見えない部分もあるが、毎日電車痛勤するようなケースはなくなっていくと思われる。（個人的には全体の半分を上限にテレワークが容認されるような気が何となくしている）

そう考えると、都内まで1時間でアクセスできる今回のリストはいろいろ参考になる点があると思う。

個人的には川崎に興味があり、今回リストに上がった川崎エリアは是非今後の投資戦略に活用していきたい。

■ホット！？な川崎エリア
・宮前区
・高津区
・多摩区
・麻生区