スポーツクラブNAS、ランサムウェアの被害を報告 / Sports Club NAS Report Ransomware Incidents（転載）

JP: Sports Club NAS and Concrete Manufacturer Ito Yogyo Both Report Ransomware Incidents

大和ハウスグループの子会社であるスポーツクラブNASは、以下の声明を発表した。

弊社サーバーへの不正アクセスに関するお詫びとご報告
2021年4月2日、弊社のサーバー（以下「本件サーバー」といいます。）に対する外部からの不正なアクセスにより、弊社の一部の店舗（計9店舗）で運用しておりました会員管理システム（以下「本件システム」といいます。）に障害が発生いたしました。皆様に多大なるご迷惑とご心配をお掛けいたしますこと、深くお詫び申し上げます。また、システム復旧の検討、情報漏洩の調査ならびに本件サーバーに保管されていた個人情報の抽出・精査に時間を要し、ご報告が大変遅くなりましたこと重ねてお詫び申し上げます。
調査専門会社により調査を行ったところ、今回本件サーバーが感染したランサムウェアが情報を窃取するタイプのものではないということもあり、調査専門会社からは2021年5月18日時点において、お客様等の情報が外部サイトにおいて公開されている事実は確認できていないとの報告を受けております。
今後も、当面の間、外部の調査専門会社の協力のもと、外部サイトにお客様等の情報が公開されていないかの調査を行ってまいります。
なお、現在まで、お客様等の情報が利用されたことによる二次被害は確認されておりませんが、本件に関するお問い合わせ等の情報の集約のため、コールセンターを設置いたしました。万一、不審なメール、電話等がございましたら、大変お手数ですが末尾のお問い合わせ先までご一報いただけますようお願い申し上げます。
今後の調査等によって、お客様等の情報の漏洩が確認された場合は、改めてご報告させていただきます。
なお、多数の方からのお問い合わせが集中することが予想されます。多く寄せられるご質問やお問い合わせの内容によりましては、書面（電子メールを含みます。）または弊社のホームページへの掲載により回答させていただく場合がございます。何卒ご理解を賜りますよう、お願い申し上げます

この投稿の残りの部分では、サーバー上の情報に関する具体的な詳細と、データが流出したとは考えられない理由が述べられています。影響を受けた人の数については、サーバー上に情報を持っていた人の数は以下の通りです。

会員情報：
150,084人
(クレジットカード情報を含む34,920人)
- 氏名、住所、生年月日、性別、電話番号、会員番号、メールアドレス、緊急連絡先、クレジットカード情報、口座情報、勤務先（氏名、住所、電話番号）のいずれかまたは複数

従業員の情報：
460名
- 氏名、生年月日

声明の全文や詳細については、同社のウェブサイトをご覧ください。

バックアップ

海外FXで証拠金をクレジットカード払いで口座に入金。ポイントを貯めるお得技（転載）

海外FXで証拠金をクレジットカード払いで口座に入金。ポイントを貯めるお得技

FXトレードをする個人投資家の方も少なくないと思います。今回はFX口座への入金でクレジットカードのポイントを貯める方法を紹介します。

海外FX会社では、証拠金の入金に「クレジットカード払い」が使えます。

国内のFX会社の場合、口座に入金するのは基本的には銀行振込みです。しかし、海外のFX会社の場合、銀行振込みも利用できるのですが、海外のFX会社の口座は海外の銀行にあるため「海外送金」になってしまうのです。「海外送金」の場合は、海外送金手数料が1回につき3,000円～5,000円程度かかってしまうのです。

これは大きなデメリットになってしまうため、海外FXの会社では、クレジットカードで海外のお店で買い物ができるのと同じように、クレジットカード払いで、FX口座に入金できる仕組みを用意しています。

つまり

FXトレードに利用する証拠金の入金額に対して、ポイントが付与される

ことになります。

ポイント還元率1.0％のクレジットカードで50万円のFXトレード用資金を入金すれば、それだけで5000円分のポイントが貯まるのです。

これが海外FXでクレジットカードのポイントを貯めるおすすめの方法なのです。

ただし、海外FXのクレジットカードの入金は、1年以内に出金をするとキャンセル扱いになるので、注意が必要です。

50万円のクレジットカード払いでの海外FX口座に入金をして、1カ月後に10万円出金しようとすると、10万円のクレジットカード払いがキャンセル扱いになり、実質40万円のクレジットカード払いが発生したことになります。

この場合は、ポイントが40万円分しか付きません。

海外FXの出金方法は、海外送金やペイパルなどが利用できるのですが、クレジットカードでの入金のときはその入金額に達するまでは優先的にクレジットカードによるキャンセル出金処理になってしまうのです。

クレジットカードで入金して1年間出金をせずに継続していると、クレジットカードのキャンセル処理はできなくなるため、入金が確定されポイントも付与されます。この後であれば、出金方法は海外送金やペイパルが選択できるので、ポイント分をゲットすることが可能になります。

糖質制限食の通販サイトに不正アクセス - クレカ情報が流出（転載）～想定損害賠償額は1億円程度か～

糖質制限食の通販サイトに不正アクセス - クレカ情報が流出

「糖質制限ドットコム」のカード情報漏えい

通信販売サイト「糖質制限食の専門ショップ糖質制限ドットコム」が不正アクセスを受け、クレジットカード情報が外部に流出し、悪用された可能性があることがわかった。

同サイトを運営する京都高雄倶楽部によれば、同サイトの脆弱性を突く不正アクセスがあり、決済アプリケーションを改ざんされたもの。

2020年1月28日からクレジットカード決済を停止した2021年1月15日までに同サイトで利用されたクレジットカード情報が外部に流出し、不正に利用された可能性がある。対象となるのは、3877人の顧客で、利用したクレジットカードの名義、番号、有効期限、セキュリティコードが被害に遭った可能性がある。

1月15日にクレジットカード会社から情報流出の可能性について指摘を受け、問題が発覚。個人情報保護委員会には2月4日に報告し、翌5日に警察に相談した。

外部事業者による調査は3月22日に完了。顧客に対しては、6月16日よりメールで個別に連絡を取り、経緯を説明するとともに謝罪し、クレジットカードにおいて身に覚えのない請求が行われていないか注意するよう呼びかけている。

カフェ関連商品を扱う通信販売サイトに不正アクセス（転載）～想定損害賠償額は3200万円程度か～

カフェ関連商品を扱う通信販売サイトに不正アクセス

「Daiichi F&L」からのカード情報漏えい

カフェ関連の商品を扱う通信販売サイト「Daiichi F＆Lオンラインショップ」が不正アクセスを受け、クレジットカード情報が流出し、悪用された可能性があることがわかった。

同サイトを運営する大一電化社によれば、不正アクセスにより決済アプリケーションが改ざんされたもので、2020年3月3日から2021年2月12日にかけて新規に入力されたクレジットカード情報が流出し、不正に利用された可能性があることが判明したという。

対象となるのは、顧客1246人が入力したクレジットカード情報最大2551件。クレジットカードの名義、番号、有効期限、セキュリティコードが流出した可能性がある。2月10日にクレジットカード会社から決済代行会社に連絡があり、同社では2月12日に情報が流出した可能性を把握したという。

外部事業者による調査は5月20日に完了し、6月10日に個人情報保護委員会へ報告。同日警察にも被害を申告した。対象となる顧客に対しては、6月17日よりメールや書面で経緯を説明し、謝罪を行っており、身に覚えのない請求がないか確認するよう注意を呼びかけている。

同社は、セキュリティ対策や監視体制の強化を行い、再発防止を図るとしており、今回不正アクセスを受けたサーバやシステムについては破棄したと説明。異なるサーバやカートシステムを導入したあらたなサイトを立ち上げたという。今後クレジットカード会社の承認を経てクレジットカード決済を再開する予定。

賃貸契約で、契約締結&諸費用支払後、入居前キャンセルを行ったらどうなったか（事例紹介）～大手サイトの記事でも事実とは限らない～

パートナーと同棲をしようということになり、賃貸アパートを探して契約締結を行ったものの、同棲に向けた準備の中でお互いの価値観や性格に決定的な乖離があることが判明し、同棲は白紙に戻し、賃貸契約もキャンセルすることとなった。

賃貸契約を締結し、必要な費用を支払った後、入居前の段階でキャンセルすると、支払った費用はいったいどうなるのだろうか？

ネットで検索してみるといくつかの事例が見つかる。

やむを得ない事情で入居前にキャンセル……。賃貸契約後に解除するには

代替どこも同じような感じで、下記のような感じとなる。

敷金：返金可能性大（入居しており、原状回復の必要がある場合は償却した額を返金）
礼金：大家次第だがほぼ絶望的（返金の必要なし）
家賃（前家賃）：入居していなければ返金可能性大。入居していれば経過日数に応じて日割りで帰ってくる可能性あり
仲介手数料：不動産屋次第だが、ほぼ絶望的（返金の必要なし）
火災保険料：保険会社次第（サービス約款に準ずる）

賃貸契約書に押印している時点で完全に不利な状態に変わりなく、敷金と前家賃程度を取り返せれば御の字かと思っていた。

が、結論としては下記のようになった。

敷金：全額返金
礼金：全額返金
家賃（前家賃）：全額返金
仲介手数料：振込手数料をいた金額を返金
火災保険料：全額返金

何ともうれしい誤算だった。

一応いろいろ調べてみたところ、賃貸契約には民法的な解釈の仕方と宅建業法的な解釈の仕方があるようである。

一般的な賃貸契約の流れは概ね下記となる。

①入居申し込み（ある場合は申込金の支払い）

↓

②審査・契約書の作成＆室内清掃などの準備

↓

③重要事項説明

④契約書に署名捺印

⑤契約金（前家賃、敷金・礼金など）の支払い

↓

⑥鍵の受け渡し、契約書交付

⑦入居、引っ越し

さて、どこのタイミングでっ契約締結となるだろうか？

民法上の解釈では④が契約締結となる。

一方、宅建業法上は⑥が契約締結となる。

今回は宅建業法上の解釈が優先されたか、不動産屋さんと貸主が善良だったというところだろうか？

ちなみにネットでいろいろ検索しても借主視点の有益な情報は少なく、唯一参考になったサイトのリンクを貼っておく。

入居前のキャンセル

あと、SUUMOのような大手サイトの記事でも事実かどうかは疑ってかからないといけないと感じた。

スマホ運用のセキュリティ対策チェックシートに新版（転載）

スマホ運用のセキュリティ対策チェックシートに新版 - JSSEC:

日本スマートフォンセキュリティ協会（JSSEC）は、スマートフォンの導入や運用、利用停止の各段階においてセキュリティ面より考慮すべきポイントについて取りまとめた「対策チェックシートII」を公開した。

同チェックシートは、あらたにスマートフォンを活用したり、情報セキュリティポリシー全体の見直しを実施する際、セキュリティ要件として検討すべきポイントを網羅的にまとめたチェックシート。スマートフォンを導入したり、セキュリティポリシーの策定、運用などを行う責任者の利用を想定している。

同協会が2014年3月に発行した「スマートフォン＆タブレットの業務利用に関するセキュリティガイドライン第2版」とあわせて提供してきた「対策チェックシート」の改訂版にあたる。

「NIST Cybersecurity Framework（CSF）」の分類と一致した50項目からなり、A3ファイル1枚の両面に収まるようデザイン。対策を網羅的にカバーしつつ、ポリシーの採用状況や理由など、自組織の状況を記録するスペースも配置した。

同チェックシートを取りまとめた同協会利用ガイドラインワーキンググループでリーダーを務める松下綾子氏は、「働き方改革や個人情報の取り扱いなど社会情勢を反映した」と変更点を紹介した。

「NIST CSF」の5機能にあわせて項目を再構成したことから、「防御」が中心だった従来の構成から、「検知」や「対応」「復旧」などの項目を充実させ、網羅的にチェックが行えるようになったと説明。PDFファイルにくわえ、自由にカスタマイズができ、書き込みも行える「Excel形式」のファイルも用意しており、セキュリティ対策にぜひ活用してほしいと呼びかけている。

バックアップ

総務省「テレワークセキュリティガイドライン（第5版）」公開、意見募集と回答も併せて公表（転載）～個人的には「テレワーク」ではなく「リモートワーク」でお願いしたい

総務省「テレワークセキュリティガイドライン（第5版）」公開、意見募集と回答も併せて公表:

総務省は「テレワークセキュリティガイドライン（第5版）」（案）に対する意見募集の結果と当該ガイドラインを公表した。同省では2月15日から3月5日までの間、「テレワークセキュリティガイドライン（第5版）」の案について広く意見を募集しており、その結果、法人3件、個人・匿名17件の計20件の意見の提出があった。

　同省では、企業等がテレワークを実施する際のセキュリティ上の不安を払拭し、安心してテレワークを導入・活用するための指針として「テレワークセキュリティガイドライン」を策定、2004年12月に初版を公表し、その後も改訂を行ってきた。

　今回、公開した第5版では、オンライン会議を含めたテレワーク導入が拡大し、クラウドサービスの普及やスマートフォンの活用等が一層進展するなど、テレワークを取り巻く環境の変化するとともに、サイバー攻撃の高度化等によるセキュリティ動向の変化を踏まえ、全面的な改定を行っている。

　意見募集では株式会社ブロードバンドセキュリティから、テレワークで脆弱になりがちな、テレワーク環境のネットワークセキュリティや物理セキュリティについて、独立した節を設けて説明すべしとの指摘があり、同省ではガイドラインに自宅でのセキュリティ対策等について追記している。

　また一般社団法人新経済連盟事務局からは、「テレワークセキュリティガイドライン」そのものについて「事業の効率的かつ健全な発展」という観点から、マネジメントやカルチャーについても言及し、本当の意味でテレワークを推進する立場にたったガイドラインとすべきという意見があり、同省ではテレワーク総合情報サイト（ https://telework.soumu.go.jp/）を開設している他、関係省庁とも連携しつつその推進に取り組むと回答している。

バックアップ

CompTIA CySA+に合格するためのヒントとリソース / Tips and resources for passing CompTIA CySA+（転載）

Tips and resources for passing CompTIA CySA+:

先日、何度も予定外のことがあったにもかかわらず、CompTIA CySA+ CS0-002試験を無事に終了し、認定を受けることができました。

これは決して簡単な試験ではありませんでしたが、十分な時間をかけて勉強し、実践的な準備をすれば達成可能な試験です。

CompTIA CySA+は、CompTIA IT認定資格ロードマップのAdvancedカテゴリーに属しており、これより上位の資格はエキスパートのCASP+のみです。

CySA+の推奨前提条件は、Network+、Security+または同等の知識を持ち、3～4年以上の情報セキュリティまたは関連する実務経験を持つことですが、実際にはそうではありません。

すべては、あなたがどれだけ自習する気があるか、どれだけ規律を守れるかにかかっています。そして、あなたがどれだけその分野に精通しているかです。

"CompTIA CySA+認定資格の取得者は、セキュリティ分析、侵入検知、対応に対応するスキル、知識、能力を備えています。CompTIA CySA+アナリストは、データ分析を行い、その結果を解釈して、組織の脆弱性、脅威、リスクを特定する能力と、システムを安全に保護するためのスキルを証明しています。"

使用した学習教材:

Jason Dion’s Udemy CompTIA CySA+ (CS0-002) Complete Course & Practice Exam
Jason Dion’s Udemy CompTIA CySA+ (CS0-002) Practice Certification Exams
Measureup’s CompTIA Practice Test CS0-002 CySA+ (このテストセットは高価なので、もっと安価な代替品があります。)
CompTIA CySA+ CS0-002 Certification Study Guide (私はこの本を無料で入手しました。もしそうでなければ、160ドルも払うことはなかったでしょう。このような安価な代替品を見つけることができます。)
Exam Topics CompTIA CS0-002 Exam Actual Questions (無料のリソースですが、キャプチャーに悩まされています。また、このサイトで提供されている公式回答の多くは間違っているようなので、各質問の下にあるディスカッションを読み、他のソースで回答を裏付けるようにしてください。)

試験の目的は以下の通りです:

comptia-cysa-002-exam-objectives Download

そして、勉強中に取った自分のメモは以下の通りです（内容が膨大で時間がないため100％ではありませんが、おそらく75％は完成していると思います）:

CySA-002-Notes Download

前述のように、私はExam Topicsの無料テストにも参加しました。私は自分の知識と理解の範囲内で質問に答えようとしましたが、それは時に難しいものでした。

編集：CompTIAが例題のいくつかを好ましくないと見なすかどうかの曖昧さを避けるために、以下のファイルを削除しました。この件に関しては、慎重に判断した方が良いでしょう。

~~CySA-002-Exam-Topics~~

上記のファイルの完全性を確認したい場合は、それぞれのMD5ハッシュを同じ順序で示します:

da4ca9b60b98697cd827ec1556f23eaf
10cc91c775368fbdd21287c87e0a2aa9
e20d45793b4675261f76312c07be9c02

試験のコツ:

試験時間は165分で、すべての問題を解答、修正、復習するのに十分な時間があります。
最初に少なくとも3つの大きな実践的なシミュレーション問題が出題されます。これらの問題に最も時間を費やすことになるでしょう。私はそれらを最後まで残しました。
私の意見では、最も重要なドメインは、「Security Operations & Monitoring」と「Threat & Vulnerability Management」です。これは、私が最も時間をかけて準備した分野であり、全試験問題の50％近くがこの分野に集中しています。
問題に「For Review」のマークを付けて、後から見直すことができることを利用します。私はまず、絶対に答えを知っていると確信している問題を解いていきました。それ以外の問題は2回目に回しました。
問題の文言を何度も何度も読み返してください。多くの質問は数段落の長さで、「特定のモデルに含まれないものは何か」や「イベントXの最も少ないマイナス/プラスの結果は何か」など、特定のシナリオの文脈でトリッキーな方法で質問されています。
いくつかの質問では、ファイアウォールやその他のツールからのインシデントログの読み取りに関する様々な側面を取り上げました。ログの読み方についてはよく知っておく必要があります。
nmapのようなユーティリティーや、コマンドラインから出力されるものに関する質問もあります。それらを実際に使って練習してみてください。WindowsとLinuxの両方で。
WiresharkからQualysやProwlerのようなあまり知られていないものまで、様々なツールとその機能（または機能しないもの）に関する一般的な質問に出くわします。これらのツールが何のためにあるのか、少なくとも高いレベルで理解していること。
よく知られているポートと登録されているポートを確認してください。これは Network+ の領域のように思えるかもしれません。ポートやそこで使われるサービスについて間接的に質問されることがあります。
特定の質問について疑問がある場合は、コンプライアンス/リスク管理の考え方に立ち返ってください。すぐに答えが見つからないような一般的な質問では、リスク、攻撃対象、暗黙の脅威を最小限に抑えるための対策が問われることがほとんどです。

2021年のGlobal Threat Intelligence Report発行。ハッカーが世界の情勢の変化とリモートワークに伴う脆弱性を活用し、重要な産業を標的にしている（転載）

2021年のGlobal Threat Intelligence Reportを発行いたしました。ハッカーが世界の情勢の変化とリモートワークに伴う脆弱性を活用し、重要な産業を標的にしていることを明らかにしています。http://bit.ly/3b2AiX2 #GTIR2021 #cybersecurity:

2021年のGlobal Threat Intelligence Reportを発行いたしました。ハッカーが世界の情勢の変化とリモートワークに伴う脆弱性を活用し、重要な産業を標的にしていることを明らかにしています。 bit.ly/3b2AiX2 #GTIR2021 #cybersecurity

NTT Ltd.は、本日、2021年版グローバル・スレット・インテリジェンス・レポート（GTIR）を発表しました。このレポートでは、ハッカーが世界的な不安定化を利用して、基幹産業やリモートワークへの移行による共通の脆弱性を狙っていることを明らかにしています。医療、製造、金融の各業界では、攻撃が増加し（それぞれ200%、300%、53%）、これら上位3つのセクターの合計が、2020年の全攻撃の62%を占め、2019年から11%増加しています。

企業がクライアントポータルを利用して仮想的なリモートアクセスを提供しようとする中で、アプリケーション固有の攻撃やWebアプリケーションへの攻撃が急増し、攻撃全体の67％を占め、過去2年間で2倍以上に増加しました。医療機関は、遠隔医療やリモートケアへの移行に伴い、これらの攻撃の矢面に立たされており、この業界を標的とした敵対行為の97％がWebアプリケーションまたはアプリケーション固有の攻撃でした。

GTIRは、NTTのサイバーセキュリティアドバイザリから得られた知見をもとに、産業界のセキュリティプログラムの成熟度をスコア化したもので、スコアが高いほど、より成熟した行動計画であることを示しています。懸念されるのは、ヘルスケアと製造業の成熟度スコアが相対的に低く、それぞれ1.02と1.21であることです。これらは、2019年の基準値である1.12と1.32から減少していますが、攻撃率は大幅に上昇しています。製造業は3年間にわたってスコアが低下していますが、これは運用環境の変化と攻撃の進化が原因である可能性が高いです。一方、金融は3年連続で最高の成熟度ベンチマークスコアを示し続け、1.84となりましたが、昨年より0.02減少しました。

NTTのセキュリティ部門のCEOであるカズ・ヨザワは、「昨年、私たちは標的型攻撃やオポチュニスティック攻撃が急増すると予測しましたが、残念ながらそれはあまりにも真実であることがわかりました。これらの業界は、混乱した時代にも必要なサービスを維持するために最善を尽くしてきましたが、企業が最も必要とする時にセキュリティ基準が低下していることは憂慮すべきことです。サービスのオンライン化が進み、新しい常態に対応するためにデジタル化が進む中、企業はセキュリティのベストプラクティスを維持するために一層の注意を払う必要があります」と述べています。

マルウェアが変貌を遂げる。暗号マルウェアが急増する一方、トロイの木馬が一般的になる

マルウェアは、機能や特徴がコモディティ化している一方で、昨年は多機能なマルウェアの増加により多様化しています。世界で最も一般的なマルウェアは、スパイウェアに代わってクリプトマイナーが主流となっていますが、特定の産業に対する特定の亜種のマルウェアの使用は進化し続けています。ワームは、金融業と製造業で最も多く出現しました。ヘルスケア分野では、リモートアクセス用のトロイの木馬が、テクノロジー分野ではランサムウェアが標的となりました。教育分野では、保護されていないインフラを悪用したマイニングが学生の間で流行したことにより、クリプトマイナーの被害を受けました。

暗号通貨市場はその代表例で、2020年に検出されるマルウェアのうち、クリプトマイナーが41％という驚異的な割合を占めています。XMRig coinminerは最も一般的な亜種で、coinminerの活動全体の約82％、特にEMEAでは約99％を占めています。

NTTのグローバル・スレット・インテリジェンス・センターを率いるマーク・トーマスは次のように述べています。"一方では、世界的な災害を利用する脅威のアクターがいて、他方では、前例のない市場の好況を利用するサイバー犯罪者がいます。どちらの状況にも共通しているのは、予測不可能性とリスクです。事業モデルの変化や新技術の導入は、悪意のあるアクターにとってチャンスであり、経験の浅い学生に人気のある暗号通貨市場の急成長により、攻撃は起こるべくして起こりました。パンデミックがより安定した段階に入った今、企業も個人も同様に、サプライチェーンを含むすべての業界でサイバーセキュリティの衛生管理を優先しなければなりません」と述べています。

2021年のGTIRのハイライト：

製造業に対する攻撃は、昨年の7％から22％に増加し、医療機関は7％から17％に、金融機関は15％から23％に増加しています。
複数の業界の組織で、COVID-19ワクチンと関連するサプライチェーンに関連する攻撃が見られました。
COVID-19のサイバー犯罪者の日和見主義は激化し、Ozie Team、Agent Tesla、TA505などのグループに加え、Vicious Panda、Mustang Panda、Cozy Bearなどの国民国家のアクターが2020年に非常に活発に活動しました。
2020年に最も多く発生したマルウェアの形態は、マイナー。41％、トロイの木馬 26％、ワーム：10％、ランサムウェア：6％でした。
クリプトマイナーは、ヨーロッパ、中東、アフリカ（EMEA）およびアメリカ大陸で多く見られましたが、アジア太平洋（APAC）では比較的まれでした。
南北アメリカで最も標的とされたテクノロジーはOpenSSLでしたが、APACではトップ10にも入っていませんでした。
Schrems IIの判決を受けて、EU-USプライバシーシールドが無効になり、EUから第三国に個人データを転送する組織に追加の義務が課せられました。
NTTの調査によると、世界の企業の50％が、クラウドサービスのセキュリティ確保を優先しており、今後18ヶ月間のサイバーセキュリティの最重要課題となっています。

本年度の報告書が、今日のサイバー脅威の状況に対処するための強固なフレームワークを企業に提供している点については、リンクをクリックしてNTT Ltd. 2021 GTIRをダウンロードしてください。