雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
サイトの個人情報が不正削除、外部流出の可能性も(転載)~漏洩確定時の想定損害賠償額は8.5億円程度か~
CISA、新しいランサムウェア自己評価型セキュリティ監査ツールを発表 / CISA releases new ransomware self-assessment security audit tool(転載)
米国のCISA(Cybersecurity and Infrastructure Security Agency)は、CSET(Cyber Security Evaluation Tool)の新モジュールであるRRA(Ransomware Readiness Assessment)を公開しました。
RRAは、情報技術(IT)、運用技術(OT)、産業用制御システム(ICS)の各資産を標的としたランサムウェア攻撃からの防御と復旧の状況を把握したい組織向けのセキュリティ監査用自己評価ツールです。
このCSETモジュールは、サイバーセキュリティの成熟度に関わらず、すべての組織に役立つように、様々なレベルのランサムウェアの脅威に対する準備状況を評価するためにRRAが調整したものです。
CISAは、このツールのwikiページで、「RRAはまた、改善のための明確な道筋を示し、基礎、中級、上級のカテゴリーに分類された、発展的な質問を含んでいます」と言っています。
"これは、組織がまず基本に焦点を当てて改善し、その後、中級、上級のカテゴリーを通して実践することで進歩することを目的としています。"
CISAは、RRAが効果的にこの増大する脅威を防御するために使用できるとしている。
- 組織が、ランサムウェアに関するサイバーセキュリティの態勢を、認知された基準やベストプラクティスの推奨事項に照らして、体系的、規律的、かつ反復可能な方法で評価できるようにします。
- 資産の所有者および運営者が、ランサムウェアの脅威に対する運用技術(OT)および情報技術(IT)ネットワークのセキュリティ対策を評価するための体系的なプロセスをガイドします。
- 評価結果をグラフや表で示した分析ダッシュボードを提供し、概要と詳細の両方を表示します。
RRAセキュリティ監査ツールの使い方
自己評価ツールを使用するには、まずCSETをインストールしてから
- CSETアプリケーションのログインまたは開始
- 新しいアセスメントを開始する
- Assessment Configuration画面でMaturity Modelを選択します(これは「New Assessment」を選択した後に表示される最初の画面です)。
- Maturity Model画面からRansomware Readiness Assessmentを選択します。
- これで、RRAアセスメントを完了するための準備が整いました。追加の説明については、チュートリアルを参照するか、ヘルプメニューにあるRRAガイドを参照してください。
CISAはこれまでに、Microsoft Azure Active Directory(AD)、Office 365(O365)、Microsoft 365(M365)の各環境におけるコンプロマイズ後の活動を確認するツール「Aviary」を公開しています。
Aviaryは、AzureやMicrosoft 365の潜在的に危険なアプリやアカウントを検出するPowerShellベースのツールであるSparrowを使って生成されたデータ出力を分析することで動作します。
また、CISAは、Windowsシステム上でSolarWindsのハッカーが活動した形跡を検出するPythonベースのフォレンジック収集ツール「CHIRP」(CISA Hunt and Incident Response Programの略)を公開しました。
スマホアプリのウェブサーバがサイバー攻撃被害(転載)~想定損害賠償額は700万円程度か~
通販サイトでクレカ情報流出、システム刷新後に被害判明 - コスモス薬品(転載)~想定損害賠償額は6.6億円程度か~
「TRANSIC」におけるお客様情報流出について(転載)~想定損害賠償額は2800万円程度か~
みずほ障害の調査「人災」の経営責任は重い(転載)~人災と言えば人災だが、関係者全員が他人事なのが根本原因ではなかろうか・・・~
再発を防ぐと言われても、果たして信じられるのか。そんな疑念を抱かせる検証結果である。
2021年2~3月、みずほ銀行で立て続けに4回発生したシステム障害をめぐって、親会社のみずほフィナンシャルグループ(FG)が第三者委員会の調査報告書を公表(バックアップ)した。
この中で、一連の障害に共通する原因はシステム上の問題ではなく、人為的側面にあると指摘された。つまり「人災」である。経営責任は当然重い。
みずほFGは今回の報告書を受けて、坂井辰史社長やみずほ銀の藤原弘治頭取の減給を含む役員処分を発表したが、これだけで責任を果たしたといえるのか。
みずほFGの株主総会では、坂井氏ら取締役の選任案が可決された。一方、金融庁は近く一連の障害の行政処分を決める。その際には、経営陣の責任についても改めて厳しく問うべきである。
みずほは2002年、2012年の2度にわたり大規模なシステム障害を起こした。2018年以降にも今回と同様にATM(現金自動預払機)に通帳・カードが取り込まれる障害があったが、未公表だった。これを踏まえてシステムの仕様を見直しておけば、2021年2月28日に通帳などが取り込まれた5244件のうち9割以上は防げたという。
こうした実情では、過去に何度も約束した再発防止の徹底も「空念仏」だったとみられよう。顧客の信用を回復させるには、よほどの覚悟と行動が必要である。
報告書は、今回の障害に共通する問題点として①経営陣への報告や他部署との連携など危機対応上の組織力の弱さ②運用・管理などシステム統制力の弱さ③顧客目線の弱さ―を挙げた。根底にはこれらが容易に改善されない企業体質・風土があるとも断じた。
例えば持ち場を超えた積極的・自発的行動で解決を図る姿勢が弱かった。声を上げて責任を負うリスクを避け、自分の持ち場でやれることしかやらない。そんな企業風土を第三者委は問題視した。
第一勧業、富士、日本興業の旧3行の経営統合で発足したみずほは、強すぎる旧行意識の弊害が指摘されてきた。たとえそれが薄らいでも、事なかれ主義的な内向きの体質がはびこっているのならば深刻である。そこが抜本的に改まらない限りは、今後も「人災」を繰り返しかねないと、経営陣は厳しく認識すべきだ。
当社グループ会社に対するサイバー攻撃の調査結果と再発防止策についてニュース|シオノギ製薬(転載)
「ロゴストロンコム」からのカード情報漏えい(転載)~想定損害賠償額は6300万円程度か~
「ロゴストロンコム」からのカード情報漏えい
このたび、neten株式会社より、同社サイト「ロゴストロンコム」において、お客様のクレジットカード情報が外部に漏えいした可能性がある、との公表がございました。
現在、弊社発行のカードにつきまして、本件に起因する不審な売上の有無を確認中でございます。
弊社では日頃より、カード会員の皆様にご迷惑がかからないことを最優先に、24時間365日体制でカードの不正使用を検知するシステムにて、ご利用状況をモニタリングさせていただいております。
過去に同社の「ロゴストロンコム」をご利用されたことがあるカード会員様におかれましては、お届けいたします「ご利用明細書」またはインターネットサービス「アットユーネット!」の「最近のカードご利用一覧」に、不審な利用が含まれていないかご確認いただきますようお願い申しあげます。
万一身に覚えのない利用が含まれていた場合には、大変お手数ではございますが、カード裏面の電話番号まで、お問い合わせくださいますようお願いいたします。
保育関係者向けサイトに不正アクセス - クレカやアカウント情報が流出(転載)~想定損害賠償額は約6000万円か~
「Hoickオンラインショップ」からのカード情報漏えい
保育関係者向けサイトに不正アクセス - クレカやアカウント情報が流出
幼稚園の教諭や保育士を対象としたサイト「Hoick」のオンラインショップが不正アクセスを受け、利用者の個人情報が外部に流出した可能性があることが判明した。
同サイトを運営するソングブックカフェによれば、ウェブサイトが改ざんされ、2020年10月29日から2021年4月8日にかけて同サイトのオンラインショップを利用した顧客のクレジットカード情報が外部に流出し、不正に利用された可能性があることが判明したもの。
期間中に同サイト上で入力されたクレジットカードの名義、番号、有効期限、セキュリティコードなど最大2365件が対象で、注文が完了していない場合も含まれる。あわせて同期間にログインのため入力されたメールアドレスおよびパスワード最大1740件についても流出したおそれがあることが判明している。
4月9日にクレジットカード会社より情報流出の可能性について指摘を受けたという。同社では、外部事業者による調査を実施し、6月2日に最終報告を受けた。同月17日に個人情報保護委員会へ報告。警察にも被害を相談している。
対象となる顧客に対しては、7月6日よりメールで経緯を説明し、謝罪。クレジットカードにおいて身に覚えのない請求がないか確認したり、他サイトにおいてパスワードを使いまわしている場合は、変更するよう注意喚起を行っている。
盛り上がらないオリンピックにもサイバー攻撃は来るのか?(転載)
東京五輪ではサイバーセキュリティ”競技”も注目されている
Watch for Cybersecurity Games at the Tokyo Olympics
危なかったですが、2018年平昌冬季オリンピックは始まる前に終わりそうになりました。サイバー攻撃により、開会式とその後のスポーツイベントに深刻な障害が発生する恐れがあったのです。幸いなことに、オリンピックのテクノロジー・オペレーション・センターが眠れない夜を過ごしたことで、迅速で効率的なインシデント・レスポンス・プロセスが実現しました。
3年後、脅威の状況は変化しており、東京オリンピックは前回よりも安全ではありません。それどころか、テクノロジーへの依存度が高い今回のオリンピックは、これまでで最も脆弱な大会になるかもしれません。今度のオリンピックでは、これまでで最も革新的なテクノロジーの使用が予定されているだけでなく、COVID(武漢ウイルス)に関連した視聴者の制限により、観客は電子的にイベントについていく必要があります。このような状況下では、選手だけではなく、観客も自分の技を披露する準備をしなければなりません。
The Gold Medal
オリンピックは重要なインフラに大きく依存しており、多くの悪意あるアクターにとって、そのような存在は理想的なターゲットです。重要なインフラへの攻撃は、運用技術(OT)が影響を受けると、物理的な混乱を引き起こします。OTは物理世界とのインターフェースとなる技術であるため、攻撃の波及効果によって現実世界に大きなダメージを与えることになります。このため、オリンピックとその関連団体への攻撃には、いくつかの動機が考えられます。オリンピックが国際的に注目されているということは、ハクティビスト、テロリスト、脅威アクターなどが声明を出すのに最適なターゲットであることを意味しています。さらに、オリンピックは、政治的な意図を持った国家が支援するグループにとって、戦略的なターゲットとして機能する可能性があります。
The Hard(ware) Truths
攻撃者の動機と標的の価値から、このような攻撃を行うアクターは、高度で洗練された能力を持っている可能性が高いと考えられます。これは、組織が保護されていると思っていても、保護されていないことを意味します。
Truth #1: What You See Is Not What You Get
企業は、ハードウェア資産を完全に把握しているため、包括的なセキュリティアプローチが可能であると考えている場合が多い。しかし、実際にはそのようなことはほとんどありません。実際、60%以上のIT管理者が、ITデバイスのインベントリが不完全であると回答しています。デバイスが管理されていないか、隠れているか、正規のデバイスになりすましているかにかかわらず、企業のハードウェア・インベントリには重大な、意図しないギャップがあります。
すべての資産が説明されていると考えることは、いくつかのギャップが残されていることを知るよりも危険かもしれません。このような状況では、企業は攻撃を受けた際に効果的なインシデント対応プロセスを持たず、攻撃の発生源を特定することは不可能ではないにしても難しいでしょう。また、東京オリンピックはテクノロジーに大きく依存しているため、使用されるデバイスの数が膨大になり、リスクが大幅に拡散してしまいます。(ちなみに、2018年の冬季オリンピックでは、1万台以上のPC、2万台以上のモバイルデバイス、6,300台のWi-Fiルーター、300台のサーバーに依存していました)。企業は、すべてのOSIレイヤーを可視化することで、完全な資産インベントリーを確保するために、より一層の努力をしなければなりません。
Truth #2: You Undervalue Yourself
攻撃者は洗練されているかもしれませんが、必ずしもそのスキルを使ってターゲットに直接侵入するとは限りません。洗練されているということは、努力することではなく、賢く働くことを意味する場合もあります。サプライチェーンは前者を可能にします。
高度に保護されたターゲットへの侵入は非常に困難であるため、安全性の低いサプライヤーが悪意あるアクターの侵入ポイントとなることがよくあります。サプライヤーがターゲットの機密情報にアクセスするか、またはサイバー犯罪者にターゲット組織への侵入経路を(ハードウェアまたはソフトウェアを介して)提供することになります。サプライチェーンへの攻撃は、2020年の下半期に7倍に増加しており、この数字は大きな改革がなければ上昇し続けるでしょう。また、重要なインフラが大規模なサプライチェーンに依存しているため、オリンピックには多くのエントリーポイントがあります。自分たちには価値がないと思っている小規模な組織が、攻撃者とターゲットの間の障壁(またはエントリーポイント)になるかもしれません。2019年には、中小企業(SMB)の66%が、サイバー攻撃の可能性は低いと考えていると回答しましたが、SMBの67%が被害に遭いました。今日の相互接続された環境では、企業はその規模や事業内容にかかわらず、脅威の状況認識を大幅に拡大する必要があり、サプライチェーンはそれを期待しています。
An Extra Year of Training
東京大会が2021年に延期されたことで、選手たちはもちろん、オリンピックのサイバーセキュリティチームも1年余計にトレーニングを積むことができました。さらに、COVID-19(武漢ウイルス)パンデミックの際に攻撃が増加したことで、高度なサイバーセキュリティの取り組みの重要性が強化されたはずです。あと数週間で、世界はアスリートが金メダルを目指して競い合う姿を見ることになります。サイバーセキュリティの世界にいる私たちは、攻撃の可能性を示すあらゆる兆候に注目します。あなたにはあなたのスリルがあり、私たちには私たちのスリルがあります。
AIDAFフレームワークとは / A New Framework to Drive Digital Transformation(転載)~イノベーションに繋がるデジタルIT時代のEnterprise Architecture~
A New Framework to Drive Digital Transformation
Adaptive Integrated Digital Architecture Frameworkとは、どのようにして生まれたのでしょうか。
Adaptive Integrated Digital Architecture Framework (AIDAF) は、従来のエンタープライズアーキテクチャ (EA) フレームワークに欠けている、デジタルIT戦略やデジタルトランスフォーメーションのためのデジタルアジリティ要素に対応できる、我々が提案・検証した新しいデジタルフレームワークです。AIDAFフレームワークは、以下のような特徴を持ち、デジタルトランスフォーメーションのために重要かつ必要なフレームワークです。
Process: AIDAFフレームワークは、Speed、Responsiveness、Flexibility、Leanness、LearningなどのAgility要素を向上させ、デジタル戦略とInnovationを推進することができる。AIDAFフレームワークは、各部門の指導方針に沿って、中長期的な各戦略に対応して、異なるビジネスユニットの既存のEAフレームワークに適応型EAサイクルを統合したEAフレームワークです。
Technology: AIDAFフレームワークは、複数の国際誌で発表されているように、デジタルIT技術とナレッジマネジメントによって革新的なデジタルプラットフォームを開発できるモデルを網羅しています。このアプローチは、デジタルトランスフォーメーションとイノベーションを加速するためのフレームワークとして、グローバル企業や官公庁などで採用・検証されています。AIDAFをベースにした新しいデジタル・エンタープライズ・アーキテクチャーのコースは、今年、米国のカーネギーメロン大学で始まり、今後はアジア太平洋地域の大学でも開始される予定です。拙著『Enterprise Architecture for Global Companies in a Digital IT Era: Adaptive Integrated Digital Architecture Framework (AIDAF) 』(Springer Nature社)は、2020年前半のEA新書のベスト3に選ばれ、歴代のEA新書のトップ10にもランクインした。
このプロジェクトは、どのような点で最もインパクトがあると思いますか?
グローバル・ヘルスケア・エンタープライズ(GHE)におけるAIDAFのインパクトは、著名な国際誌に掲載されたAgilityの要素を参考にしたケーススタディの結果、定性・定量分析を加味して、「Speed/Responsiveness/Flexibility/Leanness/Learning」の5つのAgility関連要素の観点から、TOGAFなどの既存のEAフレームワークに比べて5~20倍のインパクトがあると評価されました。
デジタルトランスフォーメーションの未来を考える上で、パンデミックはどのような教訓を与えてくれたのでしょうか。
AIDAFフレームワークを用いたデジタル戦略・変革は、当初、米国や日本の大学の教授たちの好みから、ヘルスケア業界に焦点を当てていました。現在では、AIDAFフレームワークは、特にヘルスケア分野で認識され続けています。AIDAFを用いたデジタルヘルスケアが、パンデミックによる疾病のリスクを軽減し、パンデミックがもたらす課題に対処するためのビジネスプロセスやアプリケーションアーキテクチャのデジタル化を加速させることにも貢献できると期待しています」。
アカデミアの魅力は何ですか?
デジタルIT時代のアジリティ要素を持つEAフレームワークを活用することで、ITマネージャー/CIOと、アジャイルやDevOpsのデジタルIT実務者との関係が緊密になり、相乗効果をもたらすことが期待できます。また、AIDAFフレームワークを社会のエコシステムレベルとして適用することで、インダストリー4.0やソサエティ5.0を効率的かつ戦略的に加速・支援することができ、多くの研究機会を得ることができます。権威あるIEEE-EDOC国際会議において、私たちのワークショップ「Industry 4.0, Society 5.0 and the AIDAF framework」が含まれており、今年の後半にヨーロッパの教授たちと共同で開催される予定です。学術的にも、国際的なMDPIジャーナルの特別号「Enterprise Architecture in the Digital Era」に最新の論文を掲載する機会があります。
あなたはISACAの東京支部とピッツバーグ支部の両方で活動してきました。それらの経験の中で、主な共通点と相違点は何でしょうか?
どちらも大きな支部です。主な違いは、ITマネジメントや戦略の視点です。それぞれの地域の特徴として、ピッツバーグ支部には非常に革新的な人や組織が集まり、東京支部の会員や企業は、リスク管理に対して非常に慎重な考えを持っています。
イベリア航空:Avios購入50%ボーナスセール(2021/7/5~2021/7/13)(転載)~0Aviosだと購入画面にすら行けないので、要注意~
定期的に行われているイベリア航空のAvios購入セール
今回は購入分の50%増量されるセールが2021年7月13日まで行われています。
Avios単価(30,000Avios購入=45,000Aviosゲットの場合)は約1.6円と円安により少し高めになってしまいますが、久々のセール開催ということもあり足りなくなってきたという人は補充してもいいと思います。
Aviosをイベリア航空で購入しブリティッシュ・エアウェイズに移行するとそこからJALの特典航空券を発券することができます。
羽田ー新千歳、福岡などの距離が650マイル以内は6000Aviosで発券可能(東京発なら北は北海道、南は鹿児島まで)なので今回のマイル購入だと
約9,600円でこれらの区間を飛べる計算になります。
MaltegoとAbuseIPDBの連携 / The Power of AbuseIPDB Is Now in Maltego(転載)
Maltegoでは、お客様の調査に最適なデータソースをお届けするために努力しています。今日は、AbuseIPDBとの新しい統合を発表します。AbuseIPDBの貴重なデータセットを、世界中のMaltego調査員が容易に利用できるようになります。
この記事では、AbuseIPDBのデータと、疑わしいIPアドレスに関する調査を迅速に行うためのMaltego Transformsの使用方法についてご紹介します。
AbuseIPDBとは?
AbuseIPDBは、オンラインでの悪質な活動に関連したIPアドレスの中央ブラックリストを提供することで、ハッカーやスパマー、その他の悪質な活動のインターネット上での広がりに対抗することを目的としたプロジェクトです。
AbuseIPDBは、これらの悪質なIPアドレスを追跡するための共同作業です。AbuseIPDBは、ウェブ上のユーザーや組織が、自分のサイトやサーバー上の悪質なトラフィックを報告することで成り立っています。
疑わしいトラフィックを検出してAbuseIPDBに報告するユーザーからは、毎日何千ものレポートが作成されています。
AbuseIPDBのようなOSINTリソースを参照することで、疑惑を確認したり、調査中に裏付けを得ることができます。
MaltegoでAbuseIPDB変換を使い始めるには?
Maltego Desktop ClientにTransform HubからTransformをインストールし、AbuseIPDBのAPIキーを登録するだけで、新しい統合機能をご利用いただけます。
ここでアカウントを登録すると、1日に最大1000回のクエリを実行できる無料のAPIキーを受け取ることができます。API クエリを使い切ってしまうと、Transform Output ウィンドウに以下のような警告メッセージが表示されます。
AbuseIPDBから得られる情報
当社のAbuseIPDB Transformsを使用して、IPv4およびIPv6アドレスに関する以下の情報を収集することができます。
- Abuse score
- IP usage type
- Hostname associated with the IP
- Country
- ISP Details, and more.
Abuse Score
Check Abuse Score [AbuseIPDB] Transform を使用すると、IP の Abuse Score (Abuse Confidence) を取得できます。これは、特定のIPが悪意のあるものであるとAbuseIPDBがどれだけ確信しているかを示す評価(0~100のスケール)です。
Hostname
IPに関連付けられたホスト名。
Report
これは、IPアドレスに対する実際のAbuseIPDBレポートです。国旗のオーバーレイには、報告者のIPアドレスに関連する国が反映されています。
Usage Type
データセンター、ウェブホスティング、トランジット、政府、商業など、IPアドレスの使用タイプ。AbuseIPDBで記録されているすべての使用タイプのリストは、こちらでご覧いただけます。
AbuseIPDBのデータをMaltegoに取り込むことで、特定のIPアドレスが悪意のあるものであるかどうか、また、そのIPから生成されたトラフィックを見ているのは自分だけではないかどうかを確認する時間を短縮することができます。
Maltegoから直接AbuseIPDBに疑わしいIPを報告
AbuseIPDBのデータを調査に利用するだけでなく、Maltegoから直接疑わしいIPを送信することで、AbuseIPDBの活動に貢献することができます。
必要なのは、MaltegoでIP Entityを選択し、Report IP Address [AbuseIPDB] Transformを実行することだけです。
Maltegoは、ポップアップウィンドウを開き、カテゴリーやレポートを提出する理由を説明するコメントなど、いくつかの情報を入力する必要があります。設定のポップアップでは、APIに報告する不正行為の種類を指定したり、レポートの短いテキスト説明を入力したりすることができます。
米ミズーリ州Joplin市のオンラインサービスがサイバー攻撃で停止 / Cyber attack shuts down City of Joplin’s online services(転載)
ジョプリン市のコンピュータシステムが停止しており、オンラインサービスが利用できなくなっています。市のスタッフがこの問題に取り組んでいる間、以下のサービスが変更になりますのでご了承ください。
インターネットベースのシステムのため、市の電話は使えません。なお、9-1-1システムは引き続きご利用いただけます。
公共料金(ゴミや下水道)や裁判所の罰金のオンライン支払いはできません。市民は小切手または現金で直接支払いをすることができます。
市立裁判所は、ケースマネージメント業務を行うことができません。
プランニング&ゾーニング - フロントカウンターは営業しています。フロントカウンターで申請を受け付けています。 支払いには現金と小切手を受け付けます。カードはご遠慮ください。
建築課 - すべてのサービスをフロントカウンターで提供しています。建築許可証の発行はフロントカウンターで可能です。現金または小切手でのお支払いが可能です。電話が使えないため、検査の予約はフロントカウンターでのみ可能です。
Code Enforcement(コードエンフォースメント) - フロントカウンターでサービスを提供し、苦情を受け付けます。電話やSee Click Fixによるサービスは提供できません。
保健所 - 伝染病の症例調査は限られている。その他の限られたサービスとしては、WICサービス、一時的なメディケイド申請、バイタルレコード、一部の予防接種(COVIDはまだ利用可能)、動物管理の派遣などがあります。犬に噛まれたなどの緊急事態が発生した場合は、9-1-1に電話してください。
Parks and Recreation-登録や支払いのためのオンラインサービスは利用できません。ジョプリン・アスレチック・コンプレックスで直接手続きをしてください。シファーデッカー・プールは営業しており、現金のみの取り扱いとなります。ゴルフコースの運営に変更はありません。
ジョプリン市営空港は引き続き運営されており、影響はありません。
中国に不正輸出未遂 精密機械会社を書類送検~国賊か!?~
身代金を支払うと、8割は2次攻撃を受ける / 80% 支付赎金的企业会遭到二次勒索攻击 其中 46% 来自同一黑客(転載)~テロに屈しちゃダメ絶対~
ランサムウェア攻撃を受けた後、多くの企業はデータ復旧を待てず、一刻も早く業務を再開したいという理由から、ハッカーに身代金を支払うことを選択しますが、身代金を支払うことで、ハッカーの恐喝対象から外れることになるのでしょうか。 新しいレポートによると、被害者の約半数が同じハッカーに再び狙われるとのことです。
市場調査会社のCensuswide社が発表した新しいデータによると、身代金の支払いを選択した組織の約80%が2回目の攻撃を受け、そのうち46%は同じグループからの攻撃と考えられます。 ランサムウェア事件で数百万ドルを支払った企業が、暗号通貨を渡してから2週間以内に同じハッカーから再び攻撃を受けました。
身代金を支払って暗号化されたファイルにアクセスできるようになっても、問題が発生することが多いのです。身代金を支払った人のうち46%は一部のデータが破損していることが判明し、51%はデータを失うことなくアクセスできるようになりましたが、3%はデータがまったく戻ってきませんでした。
ランサムウェアの平均支払額は、支払を拒否する被害者が増えているため、減少しています。 これらの企業の収益に影響を与えているのは、膨大な暗号通貨の支払いだけではありません。 調査参加者の53%が、ランサムウェアの公開により自社のブランドに悪影響を受けたと回答し、66%が攻撃の結果、収益を失ったと回答しました。
内部機密データがDarkwebに流出した被害企業リスト / Now, it's 2,500.There are 2,500 organizations affected by the double extortion ransomware attacks.Internal sensitive data from the affected organisations have been leaked to the Darkweb.Let's look at the list of affected organizations.(転載)
Now, it's 2,500. There are 2,500 organizations affected by the double extortion ransomware attacks. Internal sensitive data from the affected organisations have been leaked to the Darkweb. Let's look at the list of affected organizations. => [report] bit.ly/2YwotlM
ランサムウェアに対抗するための3つの重要なステップ / 3 critical steps to protecting against ransomware(転載)~ランサムウェア攻撃はテロ行為~
3 critical steps to protecting against ransomware
ランサムウェアの攻撃は、米国政府がテロ行為として扱うほどにエスカレートしている。これは決して過剰反応ではありません。これらの攻撃は、地方自治体、法執行機関、教育機関、医療ネットワーク、重要インフラなどに大規模な業務上の混乱をもたらしています。このような攻撃と無縁の業界、組織、個人はありません。
ランサムウェアは新しい脅威ではありませんが、より破壊的な生き物に進化しています。犯罪者たちは、スキルセットを拡大し、戦術を洗練させて、二重の恐喝スキームを生み出しました。犯罪者は、攻撃の前に行う調査に基づいて身代金を要求します。被害者から機密データを盗み出し、そのデータを他の犯罪者に公開したり販売したりしないという約束と引き換えに支払いを要求します。犯罪者は信用できないので、支払いを済ませた被害者は、数ヶ月後に連絡を受け、盗んだデータを秘密にしておくために再度支払いを要求されることが多い。ランサムウェアの犯罪者の中には、支払いに応じても、データを売ってしまう者もいます。
身代金を支払えば、暗号化されたデータがすべて復元されるという保証は、これまで一度もありませんでした。被害者は、ランサムウェアの攻撃で盗まれたデータは永遠に危険な状態にあることを理解する必要があります。犯罪者に罪を償う理由はありません。
ランサムウェアから企業を守るには
ランサムウェアの攻撃から企業を守るためには、データを保護することが重要です。これを3つの重点分野に分けて考えることができます。
- 認証情報の保護:フィッシングはランサムウェアの主要な攻撃経路であるため、クレデンシャル・セキュリティを意識した文化を維持する必要があります。電子メールのセキュリティについてユーザを教育するためのプロセスを開発し、異常な活動を識別してフラグを立てることができるアンチフィッシング技術を導入します。攻撃者が認証情報にアクセスできなければ、フィッシングからランサムウェアへと攻撃をエスカレートさせることは非常に困難になります。
- Webアプリケーションの保護:ファイル共有サービス、ウェブフォーム、eコマースサイトなどのオンラインアプリケーションは、攻撃者によって危険にさらされる可能性があります。Webアプリケーションは、ユーザーインターフェイスやAPIインターフェイスを通じて攻撃されます。多くの場合、これらの攻撃には、クレデンシャルスタッフィング、ブルートフォース攻撃、OWASP 脆弱性などが含まれます。アプリケーションが侵害されると、攻撃者はランサムウェアやその他のマルウェアをシステムに侵入させます。これは、アプリケーションのユーザーだけでなく、ネットワークにも感染する可能性があります。
- データのバックアップ:以下の基準を満たすバックアップを取ることが重要です。
- 包括的 - ネットワーク上のすべてのデータの場所を把握する必要があります。これには、設定ファイル、ユーザー・ドキュメント、従業員や顧客などに関するアーカイブ・データが含まれます。これらのデータはすべてバックアップし、現在使用しているデータは少なくとも1日1回はバックアップする必要があります。
- 耐障害性 - ランサムウェアがネットワークを攻撃すると、データが暗号化され、バックアップシステムを無効にしてバックアップファイルを破壊しようとします。最も安全な方法は、無制限のストレージと強力な検索・復元機能を提供するクラウドにデータを複製するバックアップシステムを導入することです。Office 365ユーザーは、SharePoint、Teams、Exchange、およびOneDriveのデータを保護するために、サードパーティのクラウドバックアップを追加する必要があります。
自社に対するランサムウェアの攻撃があることを想定する必要があります。攻撃が成功した場合、身代金を支払わないためのプランを用意する必要があります。
サイバーセキュリティお助け隊(令和2年度中小企業向けサイバーセキュリティ対策支援体制構築事業)の報告書(転載)~中小企業の支払い可能なセキュリティ予算は月1万円~
2019年度(令和元年度)に引き続き2020年度(令和2年度)においても、中小企業のサイバーセキュリティ対策を支援する仕組みの構築を目的とし、全国13地域・2産業分野の中小企業を対象に、損害保険会社、ITベンダー、セキュリティ企業、地域の団体等が実施体制を組み、実証事業(サイバーセキュリティお助け隊)を実施しました。
本事業の実施を通じて、中小企業のセキュリティ対策の促進や意識喚起、攻撃実態や対策ニーズ把握を行い、中小企業等に必要なセキュリティ対策の内容(対応範囲や費用等)、マーケティング方法や支援体制、中小企業等向けのサイバーセキュリティ対策の一つとして提供するセキュリティ簡易保険サービスのあり方、実証終了後のサービス提供の可能性等の検討を行い、報告書にまとめました。
■中小企業のセイバーセキュリティ対策の実態
- 本実証事業においても、2019年度事業と同様に、業種や規模を問わずサイバー攻撃の脅威にさらされており、ウイルス対策ソフト等の既存対策だけでは防ぎきれていない実態が明らかとなった。
- インシデント対応ほか技術的支援は、2020年度は新型コロナウィルス感染症拡大の影響もあり、当初からリモートによる管理可能なサービス提供が多く行われたこともあり、概ねリモートによる支援対応となった。
- インターネット上に公開しているホームページやサービスサイト等の脆弱性診断において、対象企業のほとんどで何らかの脆弱性(弱点)が発見された。加えて、そのうち概ね2割の企業においては重大なインシデントに繋がる可能性があると診断された。
- セキュリティ対策上の課題としては、専門人材の不足、社員や専門人材に対する教育がなされていない、費用を捻出することが困難といった声が寄せられた。
- セキュリティ対策について予算は全くかけていない、あるいは最低限のみ対策費用をかけているという企業が多かった。セキュリティ対策に支払可能な金額としては、月額1万円程度と回答する中小企業が多かった。
昭和食品工業の反コロナ(反武漢ウイルス)広告で目を覚ませ日本人!(転載)~コロナはただの風邪~
昭和食品工業の反コロナ広告で目を覚ませ日本人!
6月15日の日経新聞に次のような広告が出ました。全面広告です。福岡にある昭和食品工業という会社が出したものです。
2011年のだけど使えそうなOSINTの資料があった、たすかる (転載)
search.wikileaks.org/gifiles/attach…
サイバーセキュリティシンポジウム道後2021に参加してみた~オワコンと思われがちな新聞は、バランスの観点で重要!?~
サイバーセキュリティシンポジウム道後2021に参加してみた。
通常はシンポジウムの名称にある通り、愛媛県松山市で開催されるのだが、COVID-19(武漢ウイルス)の影響でオンライン開催になった。
武漢ウイルスの影響により、これまで対面がベースだったカンファレンスは軒並みオンライン化されている。
オンラインではメリット、デメリットがそれぞれあると感じている。
■オンラインのメリット
・ナイトセッションに気軽に参加でき、司会者の声がちゃんと聞こえる点(対面だと、司会者から離れた席に座ると、何を話しているのか全く分からない。それ以前にナイトセッションは自分みたいな人見知りにはそもそも参加のハードルが高い)
■オンラインのデメリット
・セッションがLIVEではなく、スピーカーの都合で録画配信になること(カンファレンスはライブでも、ライブと見せかけて録画配信になるケースがあり、ガッカリさせられる)
・ながら視聴ができるため、実は会場参加に比べて集中できていない。
・現地に行くことで、カンファレンス参加に加えて温泉や現地観光(+α)が楽しめるのに、+αが楽しめない
個人的には地方開催のカンファレンスは、オンラインにしてしまうとメリットの9割が無くなってしまうため、早く会場開催に戻してほしいと感じた。
今年はオンライン開催ということで、普段は参加しないナイトセッションに参加してみた。
その結果、セキュリティとは直接関係ないが、ちょっとした学びを得ることができた。
参加したのは、須藤龍也氏と、にゃん☆たく氏が座長を務めるセッション。
須藤龍也氏は、朝日新聞の記者で、以前某G社のセミナーで話を聞いたことがある。
にゃん☆たく氏もIT Security Live Week以来である。
昔(インターネットがない時代)の情報収集と言えば、専らテレビや新聞といったマスメディアが中心だった。
ところが、インターネットが普及し、自身がインターネットから必要な情報を自由に取りに行くことができ、「個」の細分化が進んだ。
これは、言い換えれば新聞は買うと新聞社が選んだ万人受けする情報が詰まっているので、それを読んで情報を得るか、YouTubeやネットニュースを使って欲しい情報を検索して入手するかの違いだと思う。
「個」の細分化により、ネットからも情報を得ることができるため、新聞を読む人は減り、実際に新聞の購読者も右肩下がりらしい。
実は自分も新聞の定期購読は行っておらず、週末読みたいときにコンビニで購入して読む程度である。
日本のマスコミは偏向報道をしているという話もあり、ここから先は、新聞の記事が偏向報道か否かで若干考えが変わってくる。
まずは、新聞の記事内容が偏向報道ではないと仮定する。
そうすると、新聞は幕の内弁当に例えられる。
その心は、バランスがよいということだ。
例えば、自分の志向では選ぶことのない食材があった場合に、それが新たな出会いや気づきにつながる可能性がある。
自分で興味のある記事を得るということは、食事でいうと好きなものだけを食べている状態とほぼ同じであり、栄養バランスが欠けてしまっている可能性が考えられ、新聞を読むことで栄養バランス(=情報のバランス!?)を取ることができる。
という考え方を得られたのが非常に勉強になった。
ただ、新聞の記事が偏向報道だと、「幕の内弁当」が、「毒入り幕の内弁当」となるため、栄養バランス以前の問題となる。
新聞の記事を丸呑みするのも良くないが、定期的に新聞を読むことは結構重要だと感じた。
週末はじっくり新聞を読む時間を作ってみようと思う。
初心者に人気のバグバウンティコースとトレーニングプログラム10選 / The 10 Most Popular Bug Bounty Courses and Training Programs for Beginners(転載)
1. BugBountyHunter
2. PentesterLab
3. Portswigger Web Security Academy
4. Hacker101
5. Intigriti Hackademy
6. Bugcrowd University
7. Intro to Bug Bounty Hunting and Web Application Hacking
8. TryHackMe
9. Bug Bounty Hunting - Offensive Approach to Hunt Bugs
10. Website Hacking/Penetration Testing & Bug Bounty Hunting
ココイチでバイトテロ!陰毛をカレーに・・・・
今度はココイチで「バイトテロ」、不衛生行為をSNSで限定公開→予期せず拡散 店は一時営業停止に...運営会社「厳正な対応を行う」
再び目立つようになった「バイトテロ」が、今度は「カレーハウス CoCo 壱番屋」で発覚した。
店の休憩室で、アルバイトの男性がカレーに「不適切行為」をしたものだ。運営会社の壱番屋は2021年6月14日、「お客様にご不快、ご不安な思いをさせた」として公式サイトで謝罪した。
男性店員が、左手で股間に手を入れ、カレーに振りかける
黒いTシャツと黄色い半ズボンをした若い男性店員が、左手で股間に手を入れた。
「なんしてるんですか? は?」。また手を入れると、別の店員がこう声をかける。
すると、男性は、その左手で食べかけのカレーの上に何かをばらまいた。別の店員は、「うわー!」と声を上げるが、男性は、「スパイスを振りかけました」とつぶやく。カメラがカレーに近づくと、男性の陰毛らしきものがライスの上に乗っていた。
別の店員は、「この人...」と呆気に取られるが、男性は、その場で踊り始め、右隅にいた3人目の店員は、あきれた様子で顔を両手で押さえていた。
この15秒ほどの動画は、インスタグラムに投稿され、6月13日には、ツイッターで転載されるなどして騒ぎになった。
壱番屋の経営企画室は14日、J-CASTニュースの取材に対し、福岡県内にあるフランチャイズ加盟店で12日夕に実際にあったことだと認めた。
今回も鍵付きインスタに投稿し、「仲間うちだけで見るつもりだった」
それによると、バイトの男性店員が店の休憩室で、客に提供するのと同じまかないのカレーを食べていると、動画の男性が、カレーに対して「不適切な動作」を行った。
同社では、この行為は、いじめではなく、お互いに面白がっていた単なる悪ふざけだと説明した。動画の最後に顔を両手で覆った男性は、また別の店員だという。
動画は、食事をしていた男性がスマートフォンのカメラで撮り、行為があった直後に、自らのインスタに投稿していた。インスタは、鍵付きのアカウントで、24時間で消える「ストーリー」に動画をアップしたため、仲間うちだけで見るつもりだったという。
それがなぜネット上で流出したのかは不明だというが、12日の深夜には拡散が始まり、それに気づいた別の店から本部に通報があったそうだ。
壱番屋は14日昼過ぎ、「店舗従業員による不適切な行為とお詫びについて」のタイトルでお知らせを出した。「従業員による不適切な SNS 投稿があったことが発覚いたしました」と報告し、「このような、店舗内の休憩室での不衛生で不適切な行為によって、お客様に大変ご不快でご不安な思いをさせてしまいましたことを深くお詫び申し上げます」と謝罪した。
発覚当日に店の営業を停止し、再発防止に向けた指導を行うとともに、店における衛生管理の確認や清掃などを行い、翌日から営業を再開したという。
バイト店員2人については、「事実関係を認め、素直に反省しておりますが、弊社といたしましては規程に則って厳正な対応を行う所存」だとしている。
プレスリリース:店舗従業員による不適切な行為とお詫びについて
区分一筋26年、59室を「現金買い」した兼業大家の軌跡(転載)~購入価格は500万~1000万円くらい、家賃5万円を得られる物件を目指す~
初めての不動産投資は「マイナス100点」
―現在の投資規模について教えてください
これまで26年間で、59室の中古ワンルームマンションを無借金で購入してきました。現在の総資産は3億円、年間家賃収入3600万円です。主に西東京、神奈川の横浜・川崎などの京浜地区に物件を所有しています。
毎月発生する管理費・修繕積立金や、固定資産税、所得税などを差し引いた税引き後CFは、だいたい2000万~2400万円です。現在は入居率95%で運営しています。
―初めて購入したのはどのような物件だったのでしょうか。
実は、収益用のマンションを購入する前に、自宅用に不動産を購入しているんです。1989年のことです。当時は会社の独身寮に住んでいたのですが、30歳を過ぎたら出なくてはいけない決まりだったので、新居を探していたんです。
当時は、都内の新築住宅は毎年1000万円ずつ高騰しているようなバブル期。「数年後に購入するよりも、今買った方が良いだろう」と思い、思い切って物件を購入しました。八王子市の約3000万円、2DKの中古区分マンションです。
―居住用として購入された物件が最初だったんですね。
その6年後、結婚して子どもが生まれ、2DKだと手狭になってしまうので引っ越すことにしました。そこで購入した物件を売却しようと不動産会社に相談したのですが、バブルが崩壊してしまって。3000万円で購入した物件が、半値にしかならないことがわかったんです。
それで、やむを得ず賃貸に出しました。これが大家の始まりです。
―問題なく運営はできたのでしょうか?
入居はついたのですが、毎月の返済が7万円、家賃も7万円でした。管理費・修繕積立金や税金を支払うと赤字でしたね(笑)。
不動産投資家としては、「マイナス100点」の物件だったと思います。物件の評価が半値になってしまいましたし、収支もボロボロでしたから。
でも、この物件を貸し出したことで不動産投資を知ることができました。この物件がなければ、現在のように不動産投資で資産を築くことはできなかったと思います。だから、自己投資という側面で見れば300点くらいかな?
―その失敗を、次の物件購入に生かしたのでしょうか。
いえ、次の物件も失敗したんですよ(笑)。
1戸目の物件が赤字ですので、なんとかして、収支がプラスになるように挽回しようと思いました。1戸目の物件を賃貸に出した半年後くらいに、2戸目の物件を購入しました。投資用として購入した初めての物件です。
鶯谷駅にある1000万円の中古ワンルームマンションをフルローンで買いました。収支は家賃6万円で返済額が5万5000円だったので、これで「やっとお財布にお金が入るぞ!」と喜んでいましたね。
でも実際に運営してみると予想外の出費が発生してしまい、年間の収支はマイナスだったんです。
固定資産税などの税金、エアコンや給湯器などの故障による修繕費、退去による原状回復費用を、計算に入れていなかったんですね。退去があった際は家賃が入らないですし。
また、管理組合の積立金も赤字だったということも購入後に分かりました。
―2戸目での失敗は、芦沢さんの不動産投資にどのような影響を及ぼしたのでしょうか?
この経験から、2つのことを学びました。
1つは「ローンを組むと収支が回りにくくなる」ことです。銀行返済をする必要があるからです。一棟物件の場合は、複数の部屋があるため、退去や修繕が発生しても他の部屋の家賃でカバーがしやすいです。
しかし、私が購入している1Rマンションの場合、得られる家賃収入は少ないため、専有部で修繕が発生すると、ローンを組んでいた場合すぐに手出しが発生します。また、部屋も1室しかないため、退去があればその期間の家賃は得られません。
2つ目は「マンションの修繕積立金の金額を必ずチェックすること」です。築年数が経過するにつれ、エレベーターや外壁といった共用部など、いたるところで修繕が必要になります。仮に修繕積立金が不足している場合、オーナーが費用を捻出しなければなりません。
修繕積立金の積立金額は、目安1室あたり50万~100万円程度で見ています。大規模修繕が発生したとしても、これくらいの積立金額があればひとまず安心だと判断しています。
できるだけ支出額を少なくするためにも、この2つは気を付けなければいけないと、失敗から学びました。
そして、次の物件から現金購入をしていこうと決めました。
「コツコツ現金購入」を確立し、59室まで拡大
―年表を見ると、2戸目から3戸目を購入する間に3年の間があいているんですね
そうなんです。この3年間は、経験とお金を貯める時期にしていました。
2戸目の物件を購入したものの、不動産投資の収支がどのようになっているのか、何にお金が発生するのか、ほとんど理解していませんでした。そのため、所有している不動産を運営しながら、賃貸経営の収支や管理の方法などを学んでいったんです。
また区分マンションを2戸、融資を組んで購入したことで手出しが多く発生しましたから、「中古ワンルームマンション投資は現金で買わなくてはダメだ」と反省し、貯金に専念しました。
―どのようにお金を貯めていったのでしょうか?
倹約と資産運用です。独身の頃から、必要な生活費以外は毎月すべて投資に回しており、コツコツお金を増やしていました。
当時は投資商品が今ほど豊富ではありませんでしたが、財形貯蓄や株式累積投資、持株会などを行い、毎月15万円くらい投資しました。あとは社内預金が5万円くらいで、合計毎月20万円以上は預金と投資に回していました。
―そのように貯めたお金で購入した3戸目は、どのような物件だったのでしょうか。
3戸目は、田園都市線の駅徒歩4分の場所にある、630万円のワンルームマンションです。家賃は7万円。この物件は現金で購入したので、返済がありません。そのため、固定資産税や所得税などの税金を支払った後の年間の手残りは50万円くらいです。この物件からは、すべて現金購入をしています。
―その後、2004年から2012年にかけて、一気に30室近くの区分マンションを購入されたんですね。
また、2008年にリーマンショックが起きて、日本の不動産市場に影響が出て、安い物件が多く出たんですよ。その時に仲の良い不動産会社から物件を紹介してもらいました。不動産会社と関係性が構築できていたことも大きかったと思います。
リスク回避をする「建物分散」
―物件を購入する際、どのように選んでいますか?
まず、基本的には自分とゆかりのあるエリアを選ぶようにしています。生活圏や勤務圏ですと周辺に何があるのか、ある程度土地になじみがあるため、どのような賃貸需要が見込めるのかを予測することができるからです。
ちなみに、私は神奈川県に生まれて、今は西東京で生活をしているため、東京の西側や神奈川の東側で物件を購入することが多いです。
購入価格は500万~1000万円くらい、家賃5万円を得られる物件という条件を定めています。
販売価格が500万円より安ければ、利回りは高くなるかもしれません。しかし、修繕リスクが高くなりランニングコストの不確定要素が多くなってしまう。一方、価格が1000万円以上だと、資金回収効率が悪くなってしまいます。
資金回収は税金や修繕費などのランニングコストを考慮しても、10数年くらいで回収することを基準にしています。
―家賃5万円を基準にしているのはなぜでしょうか?
家賃が5万円以下だと、維持費負けしてしまうからです。区分マンションの場合、管理費・修繕積立金が毎月発生します。家賃が低すぎると、毎月のキャッシュフロー(CF)が少なくなってしまうため、スピード感が出ないんです。
一方、家賃が6万~7万円であればCFが出るのが利点です。しかし、その分買い手が増え、競合が多くなります。よって販売価格が高くなるため、投資回収率が悪くなってしまいます。
そのため、家賃は5万円を基準にしています。
また、管理費・修繕積立金が大体家賃の3分の1程度に収まるかどうかも確認しています。例えば、家賃が5万円であれば管理費・修繕積立金が1万5000円です。築年数が経過していくにつれ、管理費・修繕積立金は徐々に高くなっていきます。10~30年と長期間にわたって物件を保有するのであれば、家賃が下落していくことも考えられますから、そこも重要なポイントと言えます。
―修繕積立金は、どのようにチェックしていますか?
物件の重要事項説明書を見て、いつ大規模修繕を行ったのか、今後いつ修繕を行うのかを確認しておくようにしています。
管理組合が機能していなければ、修繕が行われずに物件の状態が悪くなり、入居付けに苦労しますから、管理組合が管理費・修繕積立金をどのように利用しているかを確認するのも重要なポイントと言えます。
ただし、初めは難しいことなので、徐々に経験を積んでから理解できることかもしれません。そのため物件購入は慎重に考えていく必要があります。
また、そのような物件を購入してしまっても大きな失敗を回避するために「建物分散」することが大切です。
―「建物分散」とはどういうことでしょうか?
購入する物件を分散することです。一棟物件の場合は一度に複数の部屋を扱うことができ、キャッシュフローを一気に高められるのが特徴の1つです。
一方、区分マンションは1室のキャッシュフローは小さいのがデメリットですが、建物を分散して購入できます。
購入する物件のエリアや建物を分散することで、管理組合が機能していないリスクや、怠慢な管理会社による空室リスク、建物の老朽化や震災などによる大規模修繕リスクなど、さまざまなリスクを分散できます。
そのため、区分マンションを購入する際は建物を分散させることが大切だと考えています。
成功の秘訣は焦らないこと
―芦沢さんは、現在もサラリーマンを続けていらっしゃるそうですね。なぜでしょうか?
ひとえに仕事が面白いからです(笑)。最近は「FIRE」という言葉が話題になっており、そのような生き方も大変素晴らしいと思います。ただ、私の場合は、サラリーマンとして行っている仕事が楽しくて仕方がないんです。
大切なことは、人生の目的に合った生き方をすることだと思います。人生の価値観は人それぞれ異なりますから。
―今後の目標は何でしょうか?
相続をどのようにするか、対策を決めておくのが今後の目標です。
現在63歳ですから、今後は何が起こるかわかりません。いつ自分の身に何か起きたとしても大丈夫なように、今のうちに相続のことを考えています。
妻と息子がいるのですが、妻は不動産には全く興味がなく、息子は社会人になったばかり。息子が不動産投資に関心を持つかどうかはまだわかりません。仮に不動産投資に関心がないとなった場合は、不動産を現金化して株式投資に資金を回すことも検討しています。現在不動産の資産が3億円くらいで、株式が1億円くらいなので、もう少し株式に資金を回しても良いかなと思っています。
…とはいえ、昨年も2戸購入してしまいましたが(笑)。
―これから不動産投資をはじめていきたいと考えている人に、アドバイスはありますか?
「焦らない」ことが成功の秘訣だと思います。さまざまな事情があって、「5年後に資産○億円」などといった、短期間で高い目標を達成したいと考えている人もいると思います。
しかし、短期間で高い目標を掲げてしまうと、焦って行動してしまいます。そうすると、購入条件を妥協して物件を高掴みしてしまったり、入居者が付かないようなエリアの物件を購入してしまったりと、焦って適切な判断ができず物件を購入してしまう恐れがあります。
とにかく焦らず、不動産投資の世界を楽しんでいただければ良いと思います。