40歳過ぎたら脳ドッグ～意外な診断結果に驚愕～

40歳を過ぎたら人間ドッグを受けた方が良いとされており、私も昨年人生初の人間ドッグを受けてみた。

社畜の方は人間ドッグの補助を受けられ、実際に受けてみた人はわかると思うが、さまざまなオプションがある。

いろいろ悩んだ結果、人間ドッグの基本メニューに加えて、胃カメラオプションと、がん検診オプションをつけてみた。

終わった後にふと思ったのだが、毎年の旅行にはウン十万を平気でかけているのに、人間ドッグをケチるのは何かおかしいなと。

という訳で、次回からはフルコースで受けてみようと思った。

いきなり話がそれてしまったが、先日Facebookを見ていたら、脳ドッグの広告が流れていた。

普段こういう広告は無視するのだが、脳ドッグはまだ受けていない点、ネットで予約&決済ができる点、30分で済む点、価格が安い点(2万円を切る脳ドッグは明らかに安い)がとても気になり、受けてみることにした。

今回申し込んだのはスマートドッグというところなのだが、恐らくITを活用して、検査機器の稼働率を上げることで費用を抑えているものと考えられる。

↑の様な検査機器を使うが、高額な機器であることは想像に難くない。

予約は30分間隔で実施できるようになっており(実際に検査機器を使うのは10分程度)、総合病院ではこのような真似はできないだろう。

医師免許とマーケティング&ITのセンスを持った人しか提供できないサービスで、よく思いついたと感心する。

ちなみにスマートドッグは提携会社で割引クーポンを配布している模様。

私の場合は契約している保険会社の優待サービス経由で1,000円分のクーポンをゲットすることができた。

このサービスが面白いと感じるのは、MRI/MRAでの撮影結果を会員サイト上でも参照できる点である。

普通病院での何かの撮影結果は、診察室で医師から見せられることはあっても、データで提供されることはあり得ない。

ま、貰ったところで、それ以上何もできないということもあるが‥‥。

でも貰えるものは貰いたい！

そういった欲望に見事にかなえてくれる点はスバラシイ

んで、私の脳みその撮影結果が↓

脳ドッグの結果はというと、、、、

実は大きな懸念が見つかって、後日大学病院で精密検査を受けることになった。

頭蓋内動脈狭窄症という、脳内の動脈が狭窄して脳内の血流が悪くなっている状態にあるらしい。

例えるなら、4車線の高速道路があって、高速道路の中の一部が1車線しか使えていない感じ。

原因として考えられるのは、

1. 元々そうだった
   →ほかの血管で補えている可能性があるため、経過観察
   
   
2. 生活習慣病
   →先生曰く、40代での発症はちと早すぎるらしい
   
   
3. 血管の不具合
   →血管内の一部がはがれているとか

らしいが、改めて精密検査をして見極めていくこととなった。

MRI/MRAは実施済みなので、造影剤を使ったCT検査を行うらしい。

うーん。だんだん生きた心地がしなくなってきた。。。

永久不滅ポイント、JALマイル交換でレートアップ（2021年7月1日～2021年7月31日）（転載）

2021年再び！永久不滅ポイントからJALマイルへの交換レート20%UPキャンペーン！:

これは非常にホットなキャンペーンだと思います。実は永久不滅ポイント（セゾンカード＆UCカード）は、定期的にJALマイルへの交換レートがUPするキャンペーンが行われています（年1回はほぼ確実です）。

サッカー日本代表勝利キャンペーンなんかで、突如として数日間だけですがJALマイルへの交換レートが20%UPするキャンペーンが行われることもあります。

今回も、2021年のキャンペーンが来ましたよ！2021/3にもありましたが、7月に再び1か月間限定で、JALマイルへの交換レートが20%UPするキャンペーンが開催されています。

• 通常時：永久不滅ポイント200＝JALマイル500マイル
• キャンペーン期間中：永久不滅ポイント200＝JALマイル600マイル

となる非常にホットなキャンペーンです。

永久不滅ポイントは、1ポイント＝5円相当の価値として、Amazonギフト券やdポイント、ドットマネーなどに交換できるので、200ポイント＝1,000円相当＝600マイルへの交換は非常にお得度が高いと思います。1,000円が600マイルになるので交換レート60％ということですね。一般的にJALマイルに交換できるポイントは、dポイントでも、ドットマネーでも、Pontaでも交換レートは50%です。永久不滅ポイントも、通常時は交換レートが50%（1,000円相当＝500マイル）ですが、キャンペーン期間中は1,000円相当＝600マイルと交換レートが60%となるんです。20%もJALマイルが増量されます。

永久不滅ポイントを所有しているJALマイラーは、是非ともこのタイミングを利用して、永久不滅ポイントをJALマイルにしっかりと移行しておきましょう！！

PontaポイントからJALのマイル交換レート20%アップキャンペーン（2021/7/1～2021/7/31）（転載）

2021年再び！PontaポイントからJALマイルへの交換レート20%UPキャンペーンが開始で激熱！:

今年も例年通りの人気キャンペーンが開催となりました！

PontaポイントからJALマイルへの交換レートが20%も増量になります。通常は、PontaポイントからJALマイルへの交換は、100ポイント＝50マイルですが、キャンペーン期間中は、なんと100ポイント＝60マイルになります。

これは激アツですね。Pontaポイントが貯まっている人は、この機会を利用してJALマイルに移行しておくのがお得だと思います。

このキャンペーンは毎年恒例で、3月はほぼ毎年行われる傾向にあるので、Pontaポイントはこのキャンペーンまで待ってからJALマイルに移行するということを頭の中に入れておくといいと思います。今後も行われる保証はありませんが、来た時は全力で！！！

もう何度もオリンピック攻撃予測を現場で聞かれるので…毎回回答してる内容を3つ挙げときます（転載）

S-Owl retweeted: もう何度もオリンピック攻撃予測を現場で聞かれるので…毎回回答してる内容を3つ挙げときます。 ①ターゲットとなる1番可能性が高いのが関連組織で、それ以外、特に第三者はそこまで気にしなくても良いのでは？（State Sponsored）:

①ターゲットとなる1番可能性が高いのが関連組織で、それ以外、特に第三者はそこまで気にしなくても良いのでは？（State Sponsored）

②大会関連組織や大会スポンサー企業等に対しては、反グローバリズムに加えてCovid19/武漢ウイルス渦における大会強行による反発に対してのハクティビストによる示唆行為の可能性（ただしこれは発生可能性は低いし影響も少ないのでは？)

③市井に対してはオリパラを騙るPhishingや当選詐欺等の詐欺行為はあるかもしれない。

OSINTに活用できるGoogle Chrome拡張機能ベスト30 / 30 best OSINT extensions for Google Chrome（転載）

30 best OSINT extensions for Google Chrome:

今日は、Google Chromeブラウザに必要なOSINTユーティリティをいくつか紹介します。

ブラウザの拡張機能は、向上心のあるOSINT調査員であれば誰でも使用し、精通しているべきものです。

使いやすさや調査の流れを管理する上で、生産性の向上はもちろんのこと、非常に役に立ちます。

重要な注意点: ユーザーIDやデジタル・フットプリントが業務上のセキュリティに悪影響を及ぼす可能性のある機密性の高い調査に従事する場合は、拡張機能の付いていないデフォルトのクリーン・インストールのブラウザを使用するのがよいでしょう。

訪問したウェブサイトは、ユーザーエージェントによってあなたをプロファイリングし、あなたのブラウザがインストールされている拡張機能を検出することができますので、以下の30個の拡張機能をすべてブラウザに追加する前に注意してください。

さて、それではリストをご覧ください:

1. Browser Video Downloader – Instagram、Vimeo、Facebookから動画をダウンロードすることができます。
   
   
2. BuiltWith Technology Profiler – ウェブサイトがどのように構築されているかをチェック。
   
   
3. Contacts+ for Gmail – 捜査用のGmailアカウントに追加された連絡先をプロファイリング。
   
   
4. Double Shot Search: Query side-by-side – は、BingとGoogleの両方の検索結果を並べて表示することで、同時に検索することができます。
   
   
5. Email extract – 訪問したページの電子メールアドレスを検索して抽出します。
   
   
6. Exif Viewer Pro – Google Chromeで表示した画像のEXIFデータを確認。
   
   
7. Fake news debunker by InVID & WeVerify – 詳細な事実確認や複数の検索エンジンでの逆引き検索を行うことができます。
   
   
8. Fast Advanced Google Search – 通常のGoogle検索を高度な検索に変え、様々な検索カスタマイズオプションを即座に表示します。
   
   
9. Ghostery – Privacy Ad Blocker – 広告やトラッカーをブロックしたり、一般的にブラウジングを高速化するためのものです。
   
   
10. Google Similar Pages – 現在閲覧しているページに類似したWebページを検索して表示します。
    
    
11. Google Translate – 機械学習を利用した翻訳エンジンの中では、おそらく最も優れており、最も人気のあるものです。
    
    
12. Hunter – Email Finder Extension – メールアドレスやドメインの検索(別途Hunterのアカウントが必要）
    
    
13. Instant Data Scraper – Webページからデータを抽出し、ExcelやCSVファイルとして書き出すことができます。
    
    
14. IP Address and Domain Information – IP、ISP、ドメイン情報の検索ツール。
    
    
15. Keywords Everywhere – Keyword Tool – セマンティックに類似したフレーズやキーワードを見つけるためのフリーミアムの拡張機能です。
    
    
16. Mitaka – は、IP、ドメイン、URL、ハッシュを検索するためのものです。
    
    
17. Nimbus Screenshot & Screen Video Recorder – スクリーンショットやスクリーンキャプチャのツール
    
    
18. Privacy Badger – 目に見えないトラッカーをブロックするなど、プライバシーを強化。
    
    
19. RevEye Reverse Image Search – Google、Bing、Yandex、TinEyeを使った逆方向の画像検索。
    
    
20. Save to Pocket – 後で読むつもりの記事や投稿を保存したり、タグ付けしたりするためのフリーミアムエクステンションです。
    
    
21. Search by Image – 画像用逆引き検索拡張機能。
    
    
22. Simplescraper ⁠— a fast and free web scraper – ウェブサイトを自動でスクレイピングし、CSVファイルやJSONファイルとして保存するためのツールです。
    
    
23. Sputnik – IP、ドメイン、ハッシュなどを調べるためのツール。
    
    
24. Take Webpage Screenshots Entirely – FireShot – 全ページのスクリーンキャプチャができます。
    
    
25. TinEye Reverse Image Search – TinEye公式のChrome用拡張機能。画像の逆引き検索に。
    
    
26. uBlock Origin – 広告ブロッカー
    
    
27. Unpaywall – 他の場所で無料で入手可能な記事(学術論文等)にアクセスすることができます。
    
    
28. User-Agent Switcher and Manager – ユーザーエージェントの変更。 
    
    
29. Wayback Machine – アーカイブされたウェブサイトにアクセスするための
    
    
30. Wappalyzer – ウェブサイトがどのように作られているかを分析するためのエクステンション。

サイトの個人情報が不正削除、外部流出の可能性も（転載）～漏洩確定時の想定損害賠償額は8.5億円程度か～

[PDF] お客さま情報の流出の可能性に関するお知らせとお詫び 株式会社 中日新聞 2021年6月24日 static.tokyo-np.co.jp/pdf/article/95…: 

サイトの個人情報が不正削除、外部流出の可能性も - 中日新聞関連3紙

中日新聞や東京新聞、北陸中日新聞が利用するキャンペーン応募サイトのサーバが不正アクセスを受け、サーバ内部に保存されていた個人情報が外部に流出した可能性があることがわかった。

各紙キャンペーンサイトの運営を受託していたランドマークスのサーバが、外部から不正アクセスを受けたもの。キャンペーン応募者の氏名、住所、電話番号、性別、年代、新聞購読歴、メールアドレスなど、3紙あわせて約14万3000件の個人情報が外部に流出した可能性がある。

対象となるキャンペーンは、東京新聞が実施した「ほっとフォト・コラム」「東京ほっと大検定」「東京ほっとフォトコンテスト」「東京ほっとWebワクワクプレゼントキャンペーン」、中日新聞の「中日新聞懸賞キャンペーン」「中日新聞ほっとWebキャンペーン」、および北陸中日新聞の「北陸ほっとフォトコンテスト」。

「東京ほっとフォトコンテスト」「中日新聞ほっとWebキャンペーン」など、もっとも新しいキャンペーンは、2019年に実施したもので、なかには2009年や2010年代前半に実施したキャンペーンの応募情報も含まれていた。

プレスリリース（バックアップ）

CISA、新しいランサムウェア自己評価型セキュリティ監査ツールを発表 / CISA releases new ransomware self-assessment security audit tool（転載）

CISA releases new ransomware self-assessment security audit tool:

米国のCISA（Cybersecurity and Infrastructure Security Agency）は、CSET（Cyber Security Evaluation Tool）の新モジュールであるRRA（Ransomware Readiness Assessment）を公開しました。

RRAは、情報技術（IT）、運用技術（OT）、産業用制御システム（ICS）の各資産を標的としたランサムウェア攻撃からの防御と復旧の状況を把握したい組織向けのセキュリティ監査用自己評価ツールです。

このCSETモジュールは、サイバーセキュリティの成熟度に関わらず、すべての組織に役立つように、様々なレベルのランサムウェアの脅威に対する準備状況を評価するためにRRAが調整したものです。

CISAは、このツールのwikiページで、「RRAはまた、改善のための明確な道筋を示し、基礎、中級、上級のカテゴリーに分類された、発展的な質問を含んでいます」と言っています。

"これは、組織がまず基本に焦点を当てて改善し、その後、中級、上級のカテゴリーを通して実践することで進歩することを目的としています。"

CISAは、RRAが効果的にこの増大する脅威を防御するために使用できるとしている。

• 組織が、ランサムウェアに関するサイバーセキュリティの態勢を、認知された基準やベストプラクティスの推奨事項に照らして、体系的、規律的、かつ反復可能な方法で評価できるようにします。
  
  
• 資産の所有者および運営者が、ランサムウェアの脅威に対する運用技術（OT）および情報技術（IT）ネットワークのセキュリティ対策を評価するための体系的なプロセスをガイドします。
  
  
• 評価結果をグラフや表で示した分析ダッシュボードを提供し、概要と詳細の両方を表示します。

RRAセキュリティ監査ツールの使い方

自己評価ツールを使用するには、まずCSETをインストールしてから

1. CSETアプリケーションのログインまたは開始
   
   
2. 新しいアセスメントを開始する
   
   
3. Assessment Configuration画面でMaturity Modelを選択します（これは「New Assessment」を選択した後に表示される最初の画面です）。
   
   
4. Maturity Model画面からRansomware Readiness Assessmentを選択します。
   
   
5. これで、RRAアセスメントを完了するための準備が整いました。追加の説明については、チュートリアルを参照するか、ヘルプメニューにあるRRAガイドを参照してください。

CISAはこれまでに、Microsoft Azure Active Directory（AD）、Office 365（O365）、Microsoft 365（M365）の各環境におけるコンプロマイズ後の活動を確認するツール「Aviary」を公開しています。

Aviaryは、AzureやMicrosoft 365の潜在的に危険なアプリやアカウントを検出するPowerShellベースのツールであるSparrowを使って生成されたデータ出力を分析することで動作します。

また、CISAは、Windowsシステム上でSolarWindsのハッカーが活動した形跡を検出するPythonベースのフォレンジック収集ツール「CHIRP」（CISA Hunt and Incident Response Programの略）を公開しました。

スマホアプリのウェブサーバがサイバー攻撃被害（転載）～想定損害賠償額は700万円程度か～

【弊社サーバーのサイバー被害に関する、お知らせとお詫び】 フォレスト出版株式会社 2021年7月7日 forestpub.co.jp/pressrelease.c…: 

スマホアプリのウェブサーバがサイバー攻撃被害 - フォレスト出版

フォレスト出版は、同社のスマートデバイス向けアプリ「フォレスタ」のサーバが外部よりサイバー攻撃を受け、利用登録者に関するメールアドレスが外部に流出した可能性があることを明らかにした。

同アプリでは、スマートフォンやタブレット向けにセミナー動画などを配信していたが、同社によると、同アプリで利用するウェブサーバに対して不正アクセスがあり、サーバ内部に保存されていた利用登録者のメールアドレス7138件が外部に流出したおそれがあるという。

同社によると、4月22日正午ごろ、「Amazon Web Services」上で運用していたウェブサーバにおいて、データの消失を確認。同社では事態の発覚を受けて、外部事業者をまじえて調査を進めている。ログが残っておらず、攻撃を受けた詳しい日時なども特定できない状況だが、同日朝6時前後に攻撃を受けた可能性がある。

原因に関して同社では、同アプリの開発や保守を請け負う開発会社においてアプリ開発時にセキュリティ上の不備があり、「AWS」へアクセスするための情報が外部へ漏洩したものと見ているが、具体的な不備など詳細については「調査中」と述べるにとどめた。

同社では、同アプリによるコンテンツ視聴サービスを5月7日に停止。今回の事態に関係なく、もともと同時期にサービスを終了する計画だったという。対象となる利用登録者に対しては、7月6日よりメールを通じて経緯の報告や謝罪を実施。被害届の提出に向けて警察へ相談を行っているほか、所管官庁に対する報告についても準備を進めている。

プレスリリース（バックアップ）

通販サイトでクレカ情報流出、システム刷新後に被害判明 - コスモス薬品（転載）～想定損害賠償額は6.6億円程度か～

[PDF] 弊社が運営する「コスモスオンラインストア」への不正アクセスによるお客様情報流出に関するお詫びとお知らせ 株式会社コスモス薬品 2021年7月12日 cosmospc.co.jp/notice/upload/…: 

ドラッグストアをチェーン展開するコスモス薬品の通信販売サイトが不正アクセスを受け、顧客のクレジットカード情報が外部に流出した可能性があることがわかった。同社では4月にシステムを変更したが、5月に入ってクレジットカード会社より指摘があり、旧システムにおける情報流出が判明したという。

同社によれば、「コスモスオンラインストア」において、2020年2月7日から2021年4月22日にかけて顧客が決済に利用したクレジットカード情報が外部へ流出し、不正に利用された可能性があることが判明したもの。対象となるクレジットカードは2万5484件で、名義、番号、有効期限、セキュリティコードなどを窃取されたおそれがある。

5月12日に情報流出の可能性についてクレジットカード会社から指摘があり問題が判明、調査を実施したという。同サイトでは、4月23日にシステムを変更したばかりで、4月22日以前に運用していた旧システムにおいて脆弱性が突かれ、不正なファイルを設置されていた。システムを変更した4月23日以降については情報流出は確認されていないと説明している。

外部事業者による調査は6月9日に完了、6月14日に警察へ届けた。個人情報保護委員会に対しては7月2日に報告を行っている。対象となる顧客には、7月12日よりメールで経緯の説明や謝罪を行っており、身に覚えのない請求などが行われていないか確認するよう呼びかけた。

「コスモスオンラインストア」に関しては、現在もサービスを停止しており、安全性の確認など進めつつ、再開に向けた準備を進めている。

プレスリリース（バックアップ）

「TRANSIC」におけるお客様情報流出について（転載）～想定損害賠償額は2800万円程度か～

不正アクセスによる情報漏洩に関して TRANSIC 2021年7月13日 transic.jp/blogs/news/202…: 

「TRANSIC」におけるお客様情報流出について

このたび、ファーストトレード株式会社より、同社のサイト「TRANSIC」において、お客様のクレジットカード情報が外部に漏えいした可能性がある、との公表がございました。

現在、弊社発行のカードにつきまして、本件に起因する不審な売上の有無を確認中でございます。

弊社では日頃より、カード会員の皆様にご迷惑がかからないことを最優先に、24時間365日体制でカードの不正使用を検知するシステムにて、ご利用状況をモニタリングさせていただいております。

過去に「TRANSIC」をご利用されたことがあるカード会員様におかれましては、お届けいたします「ご利用明細書」またはインターネットサービス「Netアンサー」の「最近のカードご利用一覧」に、不審なご利用が含まれていないかご確認いただきますようお願い申しあげます。

万一身に覚えのないご利用が含まれていた場合には、大変お手数ではございますが、カード裏面の電話番号まで、お問い合わせくださいますようお願いいたします。

お問い合わせが多く重なった時間帯など、インフォメーションセンターの電話が繋がりにくい場合がございます。何卒ご了承くださいますようお願い申しあげます。

プレスリリース（バックアップ）

みずほ障害の調査「人災」の経営責任は重い（転載）～人災と言えば人災だが、関係者全員が他人事なのが根本原因ではなかろうか・・・～

みずほ障害の調査　「人災」の経営責任は重い

再発を防ぐと言われても、果たして信じられるのか。そんな疑念を抱かせる検証結果である。

2021年2～3月、みずほ銀行で立て続けに4回発生したシステム障害をめぐって、親会社のみずほフィナンシャルグループ（ＦＧ）が第三者委員会の調査報告書を公表(バックアップ)した。

この中で、一連の障害に共通する原因はシステム上の問題ではなく、人為的側面にあると指摘された。つまり「人災」である。経営責任は当然重い。

みずほＦＧは今回の報告書を受けて、坂井辰史社長やみずほ銀の藤原弘治頭取の減給を含む役員処分を発表したが、これだけで責任を果たしたといえるのか。

みずほＦＧの株主総会では、坂井氏ら取締役の選任案が可決された。一方、金融庁は近く一連の障害の行政処分を決める。その際には、経営陣の責任についても改めて厳しく問うべきである。

みずほは2002年、2012年の2度にわたり大規模なシステム障害を起こした。2018年以降にも今回と同様にＡＴＭ（現金自動預払機）に通帳・カードが取り込まれる障害があったが、未公表だった。これを踏まえてシステムの仕様を見直しておけば、2021年2月28日に通帳などが取り込まれた５２４４件のうち９割以上は防げたという。

こうした実情では、過去に何度も約束した再発防止の徹底も「空念仏」だったとみられよう。顧客の信用を回復させるには、よほどの覚悟と行動が必要である。

報告書は、今回の障害に共通する問題点として①経営陣への報告や他部署との連携など危機対応上の組織力の弱さ②運用・管理などシステム統制力の弱さ③顧客目線の弱さ―を挙げた。根底にはこれらが容易に改善されない企業体質・風土があるとも断じた。

例えば持ち場を超えた積極的・自発的行動で解決を図る姿勢が弱かった。声を上げて責任を負うリスクを避け、自分の持ち場でやれることしかやらない。そんな企業風土を第三者委は問題視した。

第一勧業、富士、日本興業の旧３行の経営統合で発足したみずほは、強すぎる旧行意識の弊害が指摘されてきた。たとえそれが薄らいでも、事なかれ主義的な内向きの体質がはびこっているのならば深刻である。そこが抜本的に改まらない限りは、今後も「人災」を繰り返しかねないと、経営陣は厳しく認識すべきだ。

当社グループ会社に対するサイバー攻撃の調査結果と再発防止策についてニュース｜シオノギ製薬（転載）

当社グループ会社に対するサイバー攻撃の調査結果と再発防止策についてニュース｜シオノギ製薬（塩野義製薬） shionogi.com/jp/ja/news/202…:  

shionogi.com/jp/ja/news/202…

塩野義製薬株式会社の100%子会社である台湾塩野義製薬（本社：台北市、以下「台湾塩野義」）が2020年10月21日に外部からのサイバー攻撃を受け、一部の情報流出が確認されました。これまでの経緯につきまして、以下の通りご報告いたします。

■サイバー攻撃の被害範囲および復旧対応について

外部のサイバーセキュリティ専門家による調査を実施した結果、台湾塩野義が保有するサーバー・PCにランサムウェアの一種と推測されるマルウェアの攻撃痕跡を確認いたしました。

当社グループでは、外部の専門家による確認ののち、安全対策に万全を期し、特別な監視体制を敷いたうえで台湾塩野義のシステムを全面的に復旧いたしました。

また、当社グループの日本・米国における拠点への影響につきましても通信ログおよびシステムのログの確認を行いましたが不正アクセスの痕跡は発見されず、当社グループのその他地域への不正なアクセスはなかったと判断いたしました。

■情報漏洩の可能性について

台湾塩野義で保有していた従業員の情報がダークウェブ上に掲示されておりましたが、顧客の個人情報および機密情報が流出した事実は確認されておりません。

■再発防止策について

当社は本件の発生を厳粛に受けとめ、台湾塩野義を含めたシオノギグループ全体においてITセキュリティおよび情報管理体制のさらなる強化を図ってまいります。

「ロゴストロンコム」からのカード情報漏えい（転載）～想定損害賠償額は6300万円程度か～

 「ロゴストロンコム」からのカード情報漏えい

「ロゴストロンコム」におけるお客様情報流出について

このたび、neten株式会社より、同社サイト「ロゴストロンコム」において、お客様のクレジットカード情報が外部に漏えいした可能性がある、との公表がございました。

現在、弊社発行のカードにつきまして、本件に起因する不審な売上の有無を確認中でございます。

弊社では日頃より、カード会員の皆様にご迷惑がかからないことを最優先に、24時間365日体制でカードの不正使用を検知するシステムにて、ご利用状況をモニタリングさせていただいております。

過去に同社の「ロゴストロンコム」をご利用されたことがあるカード会員様におかれましては、お届けいたします「ご利用明細書」またはインターネットサービス「アットユーネット！」の「最近のカードご利用一覧」に、不審な利用が含まれていないかご確認いただきますようお願い申しあげます。

万一身に覚えのない利用が含まれていた場合には、大変お手数ではございますが、カード裏面の電話番号まで、お問い合わせくださいますようお願いいたします。

プレスリリース(バックアップ)

保育関係者向けサイトに不正アクセス - クレカやアカウント情報が流出（転載）～想定損害賠償額は約6000万円か～

「Hoickオンラインショップ」からのカード情報漏えい

保育関係者向けサイトに不正アクセス - クレカやアカウント情報が流出

 幼稚園の教諭や保育士を対象としたサイト「Hoick」のオンラインショップが不正アクセスを受け、利用者の個人情報が外部に流出した可能性があることが判明した。

同サイトを運営するソングブックカフェによれば、ウェブサイトが改ざんされ、2020年10月29日から2021年4月8日にかけて同サイトのオンラインショップを利用した顧客のクレジットカード情報が外部に流出し、不正に利用された可能性があることが判明したもの。

期間中に同サイト上で入力されたクレジットカードの名義、番号、有効期限、セキュリティコードなど最大2365件が対象で、注文が完了していない場合も含まれる。あわせて同期間にログインのため入力されたメールアドレスおよびパスワード最大1740件についても流出したおそれがあることが判明している。

4月9日にクレジットカード会社より情報流出の可能性について指摘を受けたという。同社では、外部事業者による調査を実施し、6月2日に最終報告を受けた。同月17日に個人情報保護委員会へ報告。警察にも被害を相談している。

対象となる顧客に対しては、7月6日よりメールで経緯を説明し、謝罪。クレジットカードにおいて身に覚えのない請求がないか確認したり、他サイトにおいてパスワードを使いまわしている場合は、変更するよう注意喚起を行っている。

盛り上がらないオリンピックにもサイバー攻撃は来るのか？（転載）

 東京五輪ではサイバーセキュリティ”競技”も注目されている

Watch for Cybersecurity Games at the Tokyo Olympics

危なかったですが、2018年平昌冬季オリンピックは始まる前に終わりそうになりました。サイバー攻撃により、開会式とその後のスポーツイベントに深刻な障害が発生する恐れがあったのです。幸いなことに、オリンピックのテクノロジー・オペレーション・センターが眠れない夜を過ごしたことで、迅速で効率的なインシデント・レスポンス・プロセスが実現しました。

3年後、脅威の状況は変化しており、東京オリンピックは前回よりも安全ではありません。それどころか、テクノロジーへの依存度が高い今回のオリンピックは、これまでで最も脆弱な大会になるかもしれません。今度のオリンピックでは、これまでで最も革新的なテクノロジーの使用が予定されているだけでなく、COVID(武漢ウイルス)に関連した視聴者の制限により、観客は電子的にイベントについていく必要があります。このような状況下では、選手だけではなく、観客も自分の技を披露する準備をしなければなりません。

The Gold Medal

オリンピックは重要なインフラに大きく依存しており、多くの悪意あるアクターにとって、そのような存在は理想的なターゲットです。重要なインフラへの攻撃は、運用技術（OT）が影響を受けると、物理的な混乱を引き起こします。OTは物理世界とのインターフェースとなる技術であるため、攻撃の波及効果によって現実世界に大きなダメージを与えることになります。このため、オリンピックとその関連団体への攻撃には、いくつかの動機が考えられます。オリンピックが国際的に注目されているということは、ハクティビスト、テロリスト、脅威アクターなどが声明を出すのに最適なターゲットであることを意味しています。さらに、オリンピックは、政治的な意図を持った国家が支援するグループにとって、戦略的なターゲットとして機能する可能性があります。

The Hard(ware) Truths

攻撃者の動機と標的の価値から、このような攻撃を行うアクターは、高度で洗練された能力を持っている可能性が高いと考えられます。これは、組織が保護されていると思っていても、保護されていないことを意味します。

Truth #1: What You See Is Not What You Get

企業は、ハードウェア資産を完全に把握しているため、包括的なセキュリティアプローチが可能であると考えている場合が多い。しかし、実際にはそのようなことはほとんどありません。実際、60％以上のIT管理者が、ITデバイスのインベントリが不完全であると回答しています。デバイスが管理されていないか、隠れているか、正規のデバイスになりすましているかにかかわらず、企業のハードウェア・インベントリには重大な、意図しないギャップがあります。

すべての資産が説明されていると考えることは、いくつかのギャップが残されていることを知るよりも危険かもしれません。このような状況では、企業は攻撃を受けた際に効果的なインシデント対応プロセスを持たず、攻撃の発生源を特定することは不可能ではないにしても難しいでしょう。また、東京オリンピックはテクノロジーに大きく依存しているため、使用されるデバイスの数が膨大になり、リスクが大幅に拡散してしまいます。(ちなみに、2018年の冬季オリンピックでは、1万台以上のPC、2万台以上のモバイルデバイス、6,300台のWi-Fiルーター、300台のサーバーに依存していました)。企業は、すべてのOSIレイヤーを可視化することで、完全な資産インベントリーを確保するために、より一層の努力をしなければなりません。

Truth #2: You Undervalue Yourself

攻撃者は洗練されているかもしれませんが、必ずしもそのスキルを使ってターゲットに直接侵入するとは限りません。洗練されているということは、努力することではなく、賢く働くことを意味する場合もあります。サプライチェーンは前者を可能にします。

高度に保護されたターゲットへの侵入は非常に困難であるため、安全性の低いサプライヤーが悪意あるアクターの侵入ポイントとなることがよくあります。サプライヤーがターゲットの機密情報にアクセスするか、またはサイバー犯罪者にターゲット組織への侵入経路を（ハードウェアまたはソフトウェアを介して）提供することになります。サプライチェーンへの攻撃は、2020年の下半期に7倍に増加しており、この数字は大きな改革がなければ上昇し続けるでしょう。また、重要なインフラが大規模なサプライチェーンに依存しているため、オリンピックには多くのエントリーポイントがあります。自分たちには価値がないと思っている小規模な組織が、攻撃者とターゲットの間の障壁（またはエントリーポイント）になるかもしれません。2019年には、中小企業（SMB）の66％が、サイバー攻撃の可能性は低いと考えていると回答しましたが、SMBの67％が被害に遭いました。今日の相互接続された環境では、企業はその規模や事業内容にかかわらず、脅威の状況認識を大幅に拡大する必要があり、サプライチェーンはそれを期待しています。

An Extra Year of Training

東京大会が2021年に延期されたことで、選手たちはもちろん、オリンピックのサイバーセキュリティチームも1年余計にトレーニングを積むことができました。さらに、COVID-19(武漢ウイルス)パンデミックの際に攻撃が増加したことで、高度なサイバーセキュリティの取り組みの重要性が強化されたはずです。あと数週間で、世界はアスリートが金メダルを目指して競い合う姿を見ることになります。サイバーセキュリティの世界にいる私たちは、攻撃の可能性を示すあらゆる兆候に注目します。あなたにはあなたのスリルがあり、私たちには私たちのスリルがあります。

AIDAFフレームワークとは / A New Framework to Drive Digital Transformation（転載）～イノベーションに繋がるデジタルIT時代のEnterprise Architecture～

 A New Framework to Drive Digital Transformation

Adaptive Integrated Digital Architecture Frameworkとは、どのようにして生まれたのでしょうか。

Adaptive Integrated Digital Architecture Framework (AIDAF) は、従来のエンタープライズアーキテクチャ (EA) フレームワークに欠けている、デジタルIT戦略やデジタルトランスフォーメーションのためのデジタルアジリティ要素に対応できる、我々が提案・検証した新しいデジタルフレームワークです。AIDAFフレームワークは、以下のような特徴を持ち、デジタルトランスフォーメーションのために重要かつ必要なフレームワークです。

Process: AIDAFフレームワークは、Speed、Responsiveness、Flexibility、Leanness、LearningなどのAgility要素を向上させ、デジタル戦略とInnovationを推進することができる。AIDAFフレームワークは、各部門の指導方針に沿って、中長期的な各戦略に対応して、異なるビジネスユニットの既存のEAフレームワークに適応型EAサイクルを統合したEAフレームワークです。

Technology: AIDAFフレームワークは、複数の国際誌で発表されているように、デジタルIT技術とナレッジマネジメントによって革新的なデジタルプラットフォームを開発できるモデルを網羅しています。このアプローチは、デジタルトランスフォーメーションとイノベーションを加速するためのフレームワークとして、グローバル企業や官公庁などで採用・検証されています。AIDAFをベースにした新しいデジタル・エンタープライズ・アーキテクチャーのコースは、今年、米国のカーネギーメロン大学で始まり、今後はアジア太平洋地域の大学でも開始される予定です。拙著『Enterprise Architecture for Global Companies in a Digital IT Era: Adaptive Integrated Digital Architecture Framework (AIDAF) 』（Springer Nature社）は、2020年前半のEA新書のベスト3に選ばれ、歴代のEA新書のトップ10にもランクインした。

このプロジェクトは、どのような点で最もインパクトがあると思いますか？
グローバル・ヘルスケア・エンタープライズ（GHE）におけるAIDAFのインパクトは、著名な国際誌に掲載されたAgilityの要素を参考にしたケーススタディの結果、定性・定量分析を加味して、「Speed/Responsiveness/Flexibility/Leanness/Learning」の5つのAgility関連要素の観点から、TOGAFなどの既存のEAフレームワークに比べて5～20倍のインパクトがあると評価されました。

デジタルトランスフォーメーションの未来を考える上で、パンデミックはどのような教訓を与えてくれたのでしょうか。
AIDAFフレームワークを用いたデジタル戦略・変革は、当初、米国や日本の大学の教授たちの好みから、ヘルスケア業界に焦点を当てていました。現在では、AIDAFフレームワークは、特にヘルスケア分野で認識され続けています。AIDAFを用いたデジタルヘルスケアが、パンデミックによる疾病のリスクを軽減し、パンデミックがもたらす課題に対処するためのビジネスプロセスやアプリケーションアーキテクチャのデジタル化を加速させることにも貢献できると期待しています」。

アカデミアの魅力は何ですか？

デジタルIT時代のアジリティ要素を持つEAフレームワークを活用することで、ITマネージャー/CIOと、アジャイルやDevOpsのデジタルIT実務者との関係が緊密になり、相乗効果をもたらすことが期待できます。また、AIDAFフレームワークを社会のエコシステムレベルとして適用することで、インダストリー4.0やソサエティ5.0を効率的かつ戦略的に加速・支援することができ、多くの研究機会を得ることができます。権威あるIEEE-EDOC国際会議において、私たちのワークショップ「Industry 4.0, Society 5.0 and the AIDAF framework」が含まれており、今年の後半にヨーロッパの教授たちと共同で開催される予定です。学術的にも、国際的なMDPIジャーナルの特別号「Enterprise Architecture in the Digital Era」に最新の論文を掲載する機会があります。

あなたはISACAの東京支部とピッツバーグ支部の両方で活動してきました。それらの経験の中で、主な共通点と相違点は何でしょうか？
どちらも大きな支部です。主な違いは、ITマネジメントや戦略の視点です。それぞれの地域の特徴として、ピッツバーグ支部には非常に革新的な人や組織が集まり、東京支部の会員や企業は、リスク管理に対して非常に慎重な考えを持っています。

イベリア航空：Avios購入50%ボーナスセール（2021/7/5～2021/7/13）（転載）～0Aviosだと購入画面にすら行けないので、要注意～

【ブログ更新】ちょっと高いが補充したかったので久々のセールに嬉しくて書いた個人的には都内への回数券感覚で買ってますhttps://www.kktrparty.com/iberiaavios-halfsale:

定期的に行われているイベリア航空のAvios購入セール

今回は購入分の50％増量されるセールが2021年7月13日まで行われています。

Avios単価(30,000Avios購入=45,000Aviosゲットの場合)は約1.6円と円安により少し高めになってしまいますが、久々のセール開催ということもあり足りなくなってきたという人は補充してもいいと思います。

Aviosをイベリア航空で購入しブリティッシュ・エアウェイズに移行するとそこからJALの特典航空券を発券することができます。

羽田ー新千歳、福岡などの距離が650マイル以内は6000Aviosで発券可能（東京発なら北は北海道、南は鹿児島まで）なので今回のマイル購入だと

約9,600円でこれらの区間を飛べる計算になります。

MaltegoとAbuseIPDBの連携 / The Power of AbuseIPDB Is Now in Maltego（転載）

The Power of AbuseIPDB Is Now in Maltego:

Maltegoでは、お客様の調査に最適なデータソースをお届けするために努力しています。今日は、AbuseIPDBとの新しい統合を発表します。AbuseIPDBの貴重なデータセットを、世界中のMaltego調査員が容易に利用できるようになります。

この記事では、AbuseIPDBのデータと、疑わしいIPアドレスに関する調査を迅速に行うためのMaltego Transformsの使用方法についてご紹介します。

Table of Content

• What is AbuseIPDB?
• How to Access AbuseIPDB Transforms?
• Data Queryable with the AbuseIPDB Transform and How to Use Them
• Reporting Suspicious IP Addresses to AbuseIPDB

AbuseIPDBとは？

AbuseIPDBは、オンラインでの悪質な活動に関連したIPアドレスの中央ブラックリストを提供することで、ハッカーやスパマー、その他の悪質な活動のインターネット上での広がりに対抗することを目的としたプロジェクトです。

AbuseIPDBは、これらの悪質なIPアドレスを追跡するための共同作業です。AbuseIPDBは、ウェブ上のユーザーや組織が、自分のサイトやサーバー上の悪質なトラフィックを報告することで成り立っています。

疑わしいトラフィックを検出してAbuseIPDBに報告するユーザーからは、毎日何千ものレポートが作成されています。

AbuseIPDBのようなOSINTリソースを参照することで、疑惑を確認したり、調査中に裏付けを得ることができます。

MaltegoでAbuseIPDB変換を使い始めるには？

Maltego Desktop ClientにTransform HubからTransformをインストールし、AbuseIPDBのAPIキーを登録するだけで、新しい統合機能をご利用いただけます。

ここでアカウントを登録すると、1日に最大1000回のクエリを実行できる無料のAPIキーを受け取ることができます。API クエリを使い切ってしまうと、Transform Output ウィンドウに以下のような警告メッセージが表示されます。

AbuseIPDBから得られる情報

当社のAbuseIPDB Transformsを使用して、IPv4およびIPv6アドレスに関する以下の情報を収集することができます。

• Abuse score
• IP usage type
• Hostname associated with the IP
• Country
• ISP Details, and more.

Abuse Score

Check Abuse Score [AbuseIPDB] Transform を使用すると、IP の Abuse Score (Abuse Confidence) を取得できます。これは、特定のIPが悪意のあるものであるとAbuseIPDBがどれだけ確信しているかを示す評価（0～100のスケール）です。

Hostname

IPに関連付けられたホスト名。

Report

これは、IPアドレスに対する実際のAbuseIPDBレポートです。国旗のオーバーレイには、報告者のIPアドレスに関連する国が反映されています。

Usage Type

データセンター、ウェブホスティング、トランジット、政府、商業など、IPアドレスの使用タイプ。AbuseIPDBで記録されているすべての使用タイプのリストは、こちらでご覧いただけます。

AbuseIPDBのデータをMaltegoに取り込むことで、特定のIPアドレスが悪意のあるものであるかどうか、また、そのIPから生成されたトラフィックを見ているのは自分だけではないかどうかを確認する時間を短縮することができます。

Maltegoから直接AbuseIPDBに疑わしいIPを報告

AbuseIPDBのデータを調査に利用するだけでなく、Maltegoから直接疑わしいIPを送信することで、AbuseIPDBの活動に貢献することができます。

必要なのは、MaltegoでIP Entityを選択し、Report IP Address [AbuseIPDB] Transformを実行することだけです。

Maltegoは、ポップアップウィンドウを開き、カテゴリーやレポートを提出する理由を説明するコメントなど、いくつかの情報を入力する必要があります。設定のポップアップでは、APIに報告する不正行為の種類を指定したり、レポートの短いテキスト説明を入力したりすることができます。

米ミズーリ州Joplin市のオンラインサービスがサイバー攻撃で停止 / Cyber attack shuts down City of Joplin’s online services（転載）

Cyber attack shuts down City of Joplin’s online services#cyber #cyberattack #Joplin #ransomware https://lnkd.in/ePSTjWp:

ジョプリン市のコンピュータシステムが停止しており、オンラインサービスが利用できなくなっています。市のスタッフがこの問題に取り組んでいる間、以下のサービスが変更になりますのでご了承ください。

インターネットベースのシステムのため、市の電話は使えません。なお、9-1-1システムは引き続きご利用いただけます。

公共料金（ゴミや下水道）や裁判所の罰金のオンライン支払いはできません。市民は小切手または現金で直接支払いをすることができます。

市立裁判所は、ケースマネージメント業務を行うことができません。

プランニング＆ゾーニング - フロントカウンターは営業しています。フロントカウンターで申請を受け付けています。 支払いには現金と小切手を受け付けます。カードはご遠慮ください。

建築課 - すべてのサービスをフロントカウンターで提供しています。建築許可証の発行はフロントカウンターで可能です。現金または小切手でのお支払いが可能です。電話が使えないため、検査の予約はフロントカウンターでのみ可能です。

Code Enforcement（コードエンフォースメント） - フロントカウンターでサービスを提供し、苦情を受け付けます。電話やSee Click Fixによるサービスは提供できません。

保健所 - 伝染病の症例調査は限られている。その他の限られたサービスとしては、WICサービス、一時的なメディケイド申請、バイタルレコード、一部の予防接種（COVIDはまだ利用可能）、動物管理の派遣などがあります。犬に噛まれたなどの緊急事態が発生した場合は、9-1-1に電話してください。

Parks and Recreation-登録や支払いのためのオンラインサービスは利用できません。ジョプリン・アスレチック・コンプレックスで直接手続きをしてください。シファーデッカー・プールは営業しており、現金のみの取り扱いとなります。ゴルフコースの運営に変更はありません。

ジョプリン市営空港は引き続き運営されており、影響はありません。

中国に不正輸出未遂 精密機械会社を書類送検～国賊か！？～

中国に不正輸出未遂　精密機械会社を書類送検 sankei.com/article/202107…: 

軍用ドローンなどの部品に転用可能なモーターを中国企業に不正輸出しようとしたとして、警視庁公安部は６日、外為法違反（無許可輸出未遂）の疑いで、東京都大田区の精密機械会社「利根川精工」と男性社長（９０）を書類送検した。過去に同種モーターが中東に輸出され、実際に軍事利用されていたとみられ、警視庁は詳しく調べている。

書類送検容疑は昨年６月１５日、経済産業相から輸出許可の申請を出すよう通知を受けていたのに申請せず、「サーボモーター」１５０個（４９５万円相当）を輸出しようとしたとしている。

成田空港から空輸で輸出しようとしたが、東京税関が発見し、未遂だった。

サーボモーターは、ラジコンカーや産業用ロボットのアーム部分、ドローンにも使われている。同社製モーターは昨年１月に公表された国連の報告書で「イラン製の偵察用ドローンに使われた」などと指摘されていた。

利根川精工は、昭和３７年創業の有限会社。航空機部品の製造販売や産業用ロボットの製造販売、制御用電子機器の製造販売などを手がけている。

身代金を支払うと、8割は2次攻撃を受ける / 80% 支付赎金的企业会遭到二次勒索攻击 其中 46% 来自同一黑客（転載）～テロに屈しちゃダメ絶対～

80% 支付赎金的企业会遭到二次勒索攻击 其中 46% 来自同一黑客:

ランサムウェア攻撃を受けた後、多くの企業はデータ復旧を待てず、一刻も早く業務を再開したいという理由から、ハッカーに身代金を支払うことを選択しますが、身代金を支払うことで、ハッカーの恐喝対象から外れることになるのでしょうか。 新しいレポートによると、被害者の約半数が同じハッカーに再び狙われるとのことです。

市場調査会社のCensuswide社が発表した新しいデータによると、身代金の支払いを選択した組織の約80％が2回目の攻撃を受け、そのうち46％は同じグループからの攻撃と考えられます。 ランサムウェア事件で数百万ドルを支払った企業が、暗号通貨を渡してから2週間以内に同じハッカーから再び攻撃を受けました。

身代金を支払って暗号化されたファイルにアクセスできるようになっても、問題が発生することが多いのです。身代金を支払った人のうち46％は一部のデータが破損していることが判明し、51％はデータを失うことなくアクセスできるようになりましたが、3％はデータがまったく戻ってきませんでした。

ランサムウェアの平均支払額は、支払を拒否する被害者が増えているため、減少しています。 これらの企業の収益に影響を与えているのは、膨大な暗号通貨の支払いだけではありません。 調査参加者の53％が、ランサムウェアの公開により自社のブランドに悪影響を受けたと回答し、66％が攻撃の結果、収益を失ったと回答しました。

内部機密データがDarkwebに流出した被害企業リスト / Now, it's 2,500.There are 2,500 organizations affected by the double extortion ransomware attacks.Internal sensitive data from the affected organisations have been leaked to the Darkweb.Let's look at the list of affected organizations.（転載）

Now, it's 2,500. There are 2,500 organizations affected by the double extortion ransomware attacks. Internal sensitive data from the affected organisations have been leaked to the Darkweb. Let's look at the list of affected organizations. => [report] https://bit.ly/2YwotlM:

Now, it's 2,500. There are 2,500 organizations affected by the double extortion ransomware attacks. Internal sensitive data from the affected organisations have been leaked to the Darkweb. Let's look at the list of affected organizations. => [report] bit.ly/2YwotlM

Backup

ランサムウェアに対抗するための3つの重要なステップ / 3 critical steps to protecting against ransomware（転載）～ランサムウェア攻撃はテロ行為～

3 critical steps to protecting against ransomware 

ランサムウェアの攻撃は、米国政府がテロ行為として扱うほどにエスカレートしている。これは決して過剰反応ではありません。これらの攻撃は、地方自治体、法執行機関、教育機関、医療ネットワーク、重要インフラなどに大規模な業務上の混乱をもたらしています。このような攻撃と無縁の業界、組織、個人はありません。

ランサムウェアは新しい脅威ではありませんが、より破壊的な生き物に進化しています。犯罪者たちは、スキルセットを拡大し、戦術を洗練させて、二重の恐喝スキームを生み出しました。犯罪者は、攻撃の前に行う調査に基づいて身代金を要求します。被害者から機密データを盗み出し、そのデータを他の犯罪者に公開したり販売したりしないという約束と引き換えに支払いを要求します。犯罪者は信用できないので、支払いを済ませた被害者は、数ヶ月後に連絡を受け、盗んだデータを秘密にしておくために再度支払いを要求されることが多い。ランサムウェアの犯罪者の中には、支払いに応じても、データを売ってしまう者もいます。

身代金を支払えば、暗号化されたデータがすべて復元されるという保証は、これまで一度もありませんでした。被害者は、ランサムウェアの攻撃で盗まれたデータは永遠に危険な状態にあることを理解する必要があります。犯罪者に罪を償う理由はありません。

ランサムウェアから企業を守るには

ランサムウェアの攻撃から企業を守るためには、データを保護することが重要です。これを3つの重点分野に分けて考えることができます。

1. 認証情報の保護：フィッシングはランサムウェアの主要な攻撃経路であるため、クレデンシャル・セキュリティを意識した文化を維持する必要があります。電子メールのセキュリティについてユーザを教育するためのプロセスを開発し、異常な活動を識別してフラグを立てることができるアンチフィッシング技術を導入します。攻撃者が認証情報にアクセスできなければ、フィッシングからランサムウェアへと攻撃をエスカレートさせることは非常に困難になります。
   
   
2. Webアプリケーションの保護：ファイル共有サービス、ウェブフォーム、eコマースサイトなどのオンラインアプリケーションは、攻撃者によって危険にさらされる可能性があります。Webアプリケーションは、ユーザーインターフェイスやAPIインターフェイスを通じて攻撃されます。多くの場合、これらの攻撃には、クレデンシャルスタッフィング、ブルートフォース攻撃、OWASP 脆弱性などが含まれます。アプリケーションが侵害されると、攻撃者はランサムウェアやその他のマルウェアをシステムに侵入させます。これは、アプリケーションのユーザーだけでなく、ネットワークにも感染する可能性があります。
   
   
3. データのバックアップ：以下の基準を満たすバックアップを取ることが重要です。
   
   
1. 包括的 - ネットワーク上のすべてのデータの場所を把握する必要があります。これには、設定ファイル、ユーザー・ドキュメント、従業員や顧客などに関するアーカイブ・データが含まれます。これらのデータはすべてバックアップし、現在使用しているデータは少なくとも1日1回はバックアップする必要があります。
   
   
2. 耐障害性 - ランサムウェアがネットワークを攻撃すると、データが暗号化され、バックアップシステムを無効にしてバックアップファイルを破壊しようとします。最も安全な方法は、無制限のストレージと強力な検索・復元機能を提供するクラウドにデータを複製するバックアップシステムを導入することです。Office 365ユーザーは、SharePoint、Teams、Exchange、およびOneDriveのデータを保護するために、サードパーティのクラウドバックアップを追加する必要があります。

自社に対するランサムウェアの攻撃があることを想定する必要があります。攻撃が成功した場合、身代金を支払わないためのプランを用意する必要があります。

サイバーセキュリティお助け隊（令和2年度中小企業向けサイバーセキュリティ対策支援体制構築事業）の報告書（転載）～中小企業の支払い可能なセキュリティ予算は月1万円～

サイバーセキュリティお助け隊（令和2年度中小企業向けサイバーセキュリティ対策支援体制構築事業）の報告書について
 

2019年度（令和元年度）に引き続き2020年度（令和2年度）においても、中小企業のサイバーセキュリティ対策を支援する仕組みの構築を目的とし、全国13地域・2産業分野の中小企業を対象に、損害保険会社、ITベンダー、セキュリティ企業、地域の団体等が実施体制を組み、実証事業（サイバーセキュリティお助け隊）を実施しました。

　本事業の実施を通じて、中小企業のセキュリティ対策の促進や意識喚起、攻撃実態や対策ニーズ把握を行い、中小企業等に必要なセキュリティ対策の内容（対応範囲や費用等）、マーケティング方法や支援体制、中小企業等向けのサイバーセキュリティ対策の一つとして提供するセキュリティ簡易保険サービスのあり方、実証終了後のサービス提供の可能性等の検討を行い、報告書にまとめました。

■中小企業のセイバーセキュリティ対策の実態

• 本実証事業においても、2019年度事業と同様に、業種や規模を問わずサイバー攻撃の脅威にさらされており、ウイルス対策ソフト等の既存対策だけでは防ぎきれていない実態が明らかとなった。
  
  
• インシデント対応ほか技術的支援は、2020年度は新型コロナウィルス感染症拡大の影響もあり、当初からリモートによる管理可能なサービス提供が多く行われたこともあり、概ねリモートによる支援対応となった。
  
  
• インターネット上に公開しているホームページやサービスサイト等の脆弱性診断において、対象企業のほとんどで何らかの脆弱性（弱点）が発見された。加えて、そのうち概ね2割の企業においては重大なインシデントに繋がる可能性があると診断された。
  
  
• セキュリティ対策上の課題としては、専門人材の不足、社員や専門人材に対する教育がなされていない、費用を捻出することが困難といった声が寄せられた。
  
  
• セキュリティ対策について予算は全くかけていない、あるいは最低限のみ対策費用をかけているという企業が多かった。セキュリティ対策に支払可能な金額としては、月額1万円程度と回答する中小企業が多かった。

報告書バックアップ

昭和食品工業の反コロナ(反武漢ウイルス)広告で目を覚ませ日本人！（転載）～コロナはただの風邪～

昭和食品工業の反コロナ広告で目を覚ませ日本人！

6月15日の日経新聞に次のような広告が出ました。全面広告です。福岡にある昭和食品工業という会社が出したものです。

大きな字の部分は読んでもらえればわかるのであえて書きませんが、字の小さい部分を簡単に要約すると、

・PCR陽性者数＝感染者数はおかしい

・PCR検査の結果自体が怪しい

・医療崩壊は2類相当と無意味なPCR検査が原因

・コロナ対策をしないスウェーデンに学べ

コロナ対策が過剰であり、世界がいかにおバカなことをやっているかという主張を多く耳にしますが、昭和食品工業の社長も「コロナはバカ騒ぎだ」と言っているわけです。

最後の行にも「報道を鵜呑みにするな」と書いてあります。

「自分の頭で考えろ」とも。

これは、非常に心強い主張です。

いやはや、日経新聞にこのような主張をする広告が出てくるとは日経新聞もやりますね。社長も批判を覚悟の上、多大な広告費を払ったと思いますが、その勇気に感服です。

2011年のだけど使えそうなOSINTの資料があった、たすかる （転載）

2011年のだけど使えそうなOSINTの資料があった、たすかる search.wikileaks.org/gifiles/attach…: 2011年のだけど使えそうなOSINTの資料があった、たすかる
search.wikileaks.org/gifiles/attach…

バックアップ

もうだれもユビキタスの話をしなくなった（転載）～「ゼロトラスト」もそのうち死語になるか！？～

もうだれもユビキタスの話をしなくなった: もうだれもユビキタスの話をしなくなった

サイバーセキュリティシンポジウム道後2021に参加してみた～オワコンと思われがちな新聞は、バランスの観点で重要！？～

 サイバーセキュリティシンポジウム道後2021に参加してみた。

通常はシンポジウムの名称にある通り、愛媛県松山市で開催されるのだが、COVID-19(武漢ウイルス)の影響でオンライン開催になった。

武漢ウイルスの影響により、これまで対面がベースだったカンファレンスは軒並みオンライン化されている。

オンラインではメリット、デメリットがそれぞれあると感じている。

■オンラインのメリット

・ナイトセッションに気軽に参加でき、司会者の声がちゃんと聞こえる点（対面だと、司会者から離れた席に座ると、何を話しているのか全く分からない。それ以前にナイトセッションは自分みたいな人見知りにはそもそも参加のハードルが高い）

■オンラインのデメリット

・セッションがLIVEではなく、スピーカーの都合で録画配信になること（カンファレンスはライブでも、ライブと見せかけて録画配信になるケースがあり、ガッカリさせられる）

・ながら視聴ができるため、実は会場参加に比べて集中できていない。

・現地に行くことで、カンファレンス参加に加えて温泉や現地観光(+α)が楽しめるのに、+αが楽しめない

個人的には地方開催のカンファレンスは、オンラインにしてしまうとメリットの9割が無くなってしまうため、早く会場開催に戻してほしいと感じた。

今年はオンライン開催ということで、普段は参加しないナイトセッションに参加してみた。

その結果、セキュリティとは直接関係ないが、ちょっとした学びを得ることができた。

参加したのは、須藤龍也氏と、にゃん☆たく氏が座長を務めるセッション。

須藤龍也氏は、朝日新聞の記者で、以前某G社のセミナーで話を聞いたことがある。

にゃん☆たく氏もIT Security Live Week以来である。

昔(インターネットがない時代)の情報収集と言えば、専らテレビや新聞といったマスメディアが中心だった。

ところが、インターネットが普及し、自身がインターネットから必要な情報を自由に取りに行くことができ、「個」の細分化が進んだ。

これは、言い換えれば新聞は買うと新聞社が選んだ万人受けする情報が詰まっているので、それを読んで情報を得るか、YouTubeやネットニュースを使って欲しい情報を検索して入手するかの違いだと思う。

「個」の細分化により、ネットからも情報を得ることができるため、新聞を読む人は減り、実際に新聞の購読者も右肩下がりらしい。

実は自分も新聞の定期購読は行っておらず、週末読みたいときにコンビニで購入して読む程度である。

日本のマスコミは偏向報道をしているという話もあり、ここから先は、新聞の記事が偏向報道か否かで若干考えが変わってくる。

まずは、新聞の記事内容が偏向報道ではないと仮定する。

そうすると、新聞は幕の内弁当に例えられる。

その心は、バランスがよいということだ。

例えば、自分の志向では選ぶことのない食材があった場合に、それが新たな出会いや気づきにつながる可能性がある。

自分で興味のある記事を得るということは、食事でいうと好きなものだけを食べている状態とほぼ同じであり、栄養バランスが欠けてしまっている可能性が考えられ、新聞を読むことで栄養バランス（=情報のバランス！？）を取ることができる。

という考え方を得られたのが非常に勉強になった。

ただ、新聞の記事が偏向報道だと、「幕の内弁当」が、「毒入り幕の内弁当」となるため、栄養バランス以前の問題となる。

新聞の記事を丸呑みするのも良くないが、定期的に新聞を読むことは結構重要だと感じた。

週末はじっくり新聞を読む時間を作ってみようと思う。

初心者に人気のバグバウンティコースとトレーニングプログラム10選 / The 10 Most Popular Bug Bounty Courses and Training Programs for Beginners（転載）

The 10 Most Popular Bug Bounty Courses and Training Programs for Beginners: 

かつてハッカーといえば、暗い部屋に座っているフード付きの人物で、インターネット上のミステリアスで人目につかない場所に住んでいると思われていましたが、ありがたいことに時代は変わりつつあります。

ホワイトハットやエシカルハッキングの人気は急上昇しており、多くの人にとって有益なキャリアの選択肢となっています。

バグバウンティハンティングは、ハッキング業界に参入したばかりの若いハッカーにとって、最も人気のある仕事の一つです。ハッキング技術を磨くための趣味として取り組む人もいれば、フルタイムのキャリアとして実に有益な選択肢となる人もいるだろう。2020年だけでも、バグバウンティハンターたちは、バグバウンティプラットフォーム「HackerOne」でセキュリティ上の脆弱性を報告することで、過去最高の4000万ドルを獲得しています。

毎日のように多くの新しい熱心なハッカーがコミュニティに参加していますが、彼らが始めるためには良いリソースが必要です。新しいバグバウンティハンターが実践的なアプローチを始める前に理解しなければならないのは、馴染みのない専門用語、トピック、テクニック、ツールなどがたくさんあります。ありがたいことに、バグバウンティコミュニティは、知識の共有に協力的で、初心者を歓迎してくれることで知られています。そのため、オンラインで安価な学習教材を豊富に見つけることができます。

キャリアをスタートするにあたり、バグバウンティハンティングの基本を学ぶための最良の方法の一つは、トレーニングプログラムやコースを利用することです。私たちは、Twitterコミュニティやお気に入りのハッカーたちに、これらの教材の中で最も優れたものについてアドバイスを求め、このリストを作成しました。コースやトレーニングは順不同で掲載されており、それぞれ基本的なスキルレベルが異なる個人に役立つものです。

バグバウンティハンティングの基本とそれに必要な理論的知識を手に入れたら、ペネトレーションテストや倫理的ハッキングのために意図的に脆弱なウェブサイトをハッキングして自分のスキルを試し、ツールスタックの構築を始める準備ができたら、最高のバグバウンティブラウザ拡張機能をチェックするようにしてください。

1. BugBountyHunter

好きなバグバウンティハンティングのコースやトレーニングプラットフォームについてTwitterで質問したところ、BugBountyHunterが断トツで選ばれました。BugBountyHunterは、有名なハッカーでバグバウンティハンターのSean（zseanoとして知られている）が作成したもので、初心者と経験豊富なハッカーの両方を対象としています。実際のバグバウンティで発見された脆弱性を備えたカスタムメイドのウェブアプリケーションを使って、スキルを学び、テストすることができます。このプラットフォームは、バグバウンティに関するあらゆる情報を提供することを目的としており、バグバウンティハンティングを始めるためのガイド、最も一般的な脆弱性の調査、必要なツール、貴重なバグバウンティハンティングの方法論の豆知識など、セキュリティ関連のコンテンツを数多く提供しています。

BugBountyHunterでは、ウェブアプリケーションのセキュリティ脆弱性を発見するためのzseanoの完全で非常に詳細な方法論にアクセスすることができます。一方、BBHの会員になると、あなたの実践的なスキルをテストするためのカスタムメイドのウェブアプリケーション「BARKER」が提供されます。BARKERは実際のターゲットを模したもので、実際の発見に基づいた100以上の脆弱性を含み、異なる難易度を提供します。

zseano氏は常に新しい脆弱性をアップデートしており、zseano氏の方法論に従えば、BARKERでほとんどの脆弱性を見つけることができるはずです。さらに、BARKERはゲーム性があり、スキルを磨いてより多くの脆弱性を発見するとレベルアップしていきます。25個のユニークなバグを発見すると、プロが参加するライブハッキングイベント「Hackevents」に参加することができ、賞金を獲得することもできます。

BBHの会員になると、特定のトピックに関するトレーニングビデオやそのアプリケーションのデモが見られるBountyTrainingにもアクセスできるようになります。全体的に見て、BugBountyHunterはまだ若いプラットフォームですが、すぐにコミュニティの人気者になっている有望なプラットフォームです。

2. PentesterLab

PentesterLabは、特にバグバウンティハンティングを目的としたものではないかもしれませんが、ウェブアプリケーションのセキュリティやペネトレーションテストを学ぶためのオンラインおよびオフラインのラボを提供する、有名なプラットフォームです。このプラットフォームでは、Webアプリケーション・セキュリティやペンテストを始めたばかりの人のために、無料の演習問題やブートキャンプを提供しているほか、200以上の専用演習問題や実際のシナリオにアクセスできる、非常に価値のあるPROサブスクリプションも提供しています。

PentesterLabでは様々なバッジを提供しており、それぞれにEasyからHardまでのエクササイズが混在しています。バッジには、クロスサイトスクリプティング（XSS）、SQLインジェクション、認証・認可、リコン、デシリアライゼーションなど、ウェブセキュリティやペンテストに関する幅広いトピックが含まれています。それぞれのバッジには、多数のオンライン演習が用意されており、教材やビデオを使ったコースも含まれています。

オンラインエクササイズの多くは、PentesterLabで必要な知識やリソースを得ることができます。難易度の高い問題は、Googleで検索する必要があるかもしれませんが、初心者にはこのプラットフォームのビデオと資料で十分でしょう。

オンラインのエクササイズはシンプルで要点を押さえており、学んだことを試すことができ、ビデオは非常に高品質である。このプラットフォームの作者は、常にウェブサイトを更新し、バッジを追加しています。最高のリソースや教材を手に入れるためには、月額20ドルのPRO会員になる価値があり、忠実なユーザーがそれを証明しています。

3. Portswigger Web Security Academy

Web Security Academyは、Burp Suiteを開発したPortswigger社によって作成されました。この無料オンライン・トレーニング・センターは、ウェブ・アプリケーション・セキュリティを学び、実践するための実行可能なリソースであり、サイバーセキュリティの専門家による実戦的なコンテンツやインタラクティブなラボが含まれています。

膨大な量の高品質なリーディング教材と、3段階の難易度を持つインタラクティブなラボを備え、コンテンツは継続的に更新され、新しいトピックや教材が定期的に追加されています。自分のペースで学習を進めることができ、ライブリーダーボードで他のユーザーと競い合うこともできます。

Web Security Academyでは、30以上の無料ラボが用意されており、SQLインジェクション、XSS、XML外部エンティティ（XXE）、安全でないデシリアライゼーション、情報漏えい、サーバサイドリクエストフォージェリ（SSRF）、Webキャッシュポイズニングなど、Webの脆弱性に関する重要なカテゴリの知識を習得し、実践することができます。

ラボの解説は、ウェブアプリケーションセキュリティを学ぶための出発点として、初心者の方はもちろん、経験豊富なハッカーの方が知識をリフレッシュしたり、スキルを練習したりするのにも適しています。

4. Hacker101

多くの著名なバグバウンティハンターは、Hacker101のビデオから学んでキャリアをスタートさせています。世界で最も人気のあるバグバウンティープラットフォームのひとつであるHackerOneが主催する無料のウェブセキュリティクラス「Hacker101」は、バグバウンティハンティングの道を歩み始めた初心者向けにデザインされています。

無料ビデオのコレクションであるHacker101は、HTTPの基本、クッキーのセキュリティ、HTMLの解析、MIMEのスニッフィング、CSRFやXSSなど、ウェブアプリケーションの基礎を紹介しています。また、BurpSuite、正しいハッカー精神、優れたバグレポートの書き方、バグバウンティからペンテストへの移行などのトピックについても紹介されています。有名なプロやバグバウンティハンターとのコラボレーションによるビデオの多くは、STÖKを使ったハッカーのためのJavaScriptの学習、クッキー改ざんのテクニック、クリックジャッキング、モバイルハッキングなど、基本的な内容をはるかに超えるトピックを含んでいます。

Hacker101では、Capture the Flag（CTF）トレーニングも提供しており、脆弱な実世界のシナリオで狩りをして、さらにスキルを磨くことができます。旗を3つ見つけると、プライベートプログラムに招待される優先リストに加えられます。

盛り上がっているコミュニティと、バグバウンティハンティングの技術を学んでそれをキャリアにするのにこれ以上の方法はないという事実から、Hacker101はバグバウンティハンターを始める人にとっての必須アイテムとなっています。

5. Intigriti Hackademy

欧州最大級のバグバウンティープラットフォームであり、急成長を遂げているIntigritiは、Webセキュリティの無料オンライン学習教材「Intigriti Hackademy」を開始しました。Intigriti Hackademy」は、初心者のバグ・バウンティ・ハンターのための無料のリソース集で、必要なすべての脆弱性のカテゴリーを、詳細な説明と実際の例、書き込み、説明ビデオでカバーしています。

Intigriti Hackademyに掲載されている脆弱性の種類は、クリックジャッキング、XSS、CSRF、ファイルインクルード、ファイルアップロード、HTTPパラメータ汚染、IDOR、オープンリダイレクト、SSRF、SQLインジェクション、XXEなどです。

また、良いレポートを書き、Intigritiで報奨金を獲得するチャンスを高めるためのガイドやレッスン、バグバウンティハンターが偵察、サブドメインの列挙、コンテンツの発見、サブドメインの乗っ取り、ポートスキャン、脆弱性評価、パスワードクラッカー、プロキシなどに必要なツールについての洞察も提供しています。

2019年に開始され、アップデートを提供しているIntigriti Hackademyは、バグバウンティハンターが知っておくべきすべての基本について素晴らしい概要を提供しており、より高度な知識を得るための素晴らしいジャンプオフポイントとなっています。

6. Bugcrowd University

Bugcrowd Universityは、バグバウンティハンターやセキュリティ専門家がスキルを磨き、洞察力のあるトピックを探求し、現場で価値あるツールを得るために2018年に誕生しました。スタート当初から成長してきたBCUは、現在、初心者を含むあらゆるスキルレベルに対応した幅広いトピックを提供しています。利用可能な教材は、カンファレンストーク、スライドデッキ、高品質なビデオ、ワークスルーに加え、追加のリソースやラボなど多岐にわたります。

フリーでオープンソースのBCUは、最も重要なバグに関する重要な知識と、初めての人が最も頻繁に尋ねる質問を組み合わせて作られています。BCUには、初心者、中級者、上級者向けのコンテンツが用意されており、独自のバグバウンティプログラムを開催したいと考えている組織向けのリソースも用意されています。

初心者向けのコンテンツには、最も一般的な脆弱性に関するビデオやスライドのほか、和解、CSS、BurpSuiteの紹介、SSRF、バグの上手な提出方法などのトピックが含まれています。また、ハッキングやバグバウンティハンティングの他の側面に焦点を当てた、技術的ではないトピックのトークやビデオも用意されています。コミュニティ自体、ハードウェアのハッキング、車のハッキング、Bugcrowdの創設者であるCasey EllisとのQ&Aなどがあります。

BCUは、バグバウンティハンティングに関するあらゆる情報を集めた貴重なリソースであり、倫理的なハッキングの世界をユニークに表現しているので、ぜひブックマークしておきたい。

7. Intro to Bug Bounty Hunting and Web Application Hacking

この新鮮な入門コースは、NahamSecとしてよく知られ、教育的なバグバウンティのコンテンツで多くの人に愛されている尊敬すべきハッカー、Ben Sadeghipour氏によるものです。「Intro to Bug Bounty Hunting and Web Application Hacking」はUdemyで公開されており、実践的なバグバウンティハンティングを学ぶことができます。まさに入門編ということで、基本的なトピックが多く網羅されており、聞き取りやすく、知識ゼロからでもバグハンティングを始められる方法が明確になっています。

XSS、クロスサイトリクエストフォージェリ（CSRF）、SQLインジェクション、安全でない直接オブジェクト参照（IDOR）、SSRF、XXEなど、10種類以上の脆弱性の概要と、それぞれに対応した実践的な演習を収録しています。また、偽のターゲットを攻撃することで新しいスキルを試すことができる実践的なラボ、Reconの紹介、最も人気のあるバグバウンティプログラムの紹介、プログラムの選択に関する洞察、レポートの書き方のレッスン、プライベートなバグバウンティプログラムへの招待を受けるための貴重な指導なども用意されています。

ベンは、今後もコースをアップデートし、中級者向けのトピックを増やしていくことをすでに発表しています。このコースがどのように進化していくのか、楽しみですね。

8. TryHackMe

TryHackMeは、ハッキングやバグバウンティハンティングだけではなく、サイバーセキュリティ全般に焦点を当てたオンラインプラットフォームです。TryHackMeのコンテンツはすべて、ゲーム化された短時間の実世界実験の形で提供されており、「一口サイズの部屋」と呼ばれるさまざまなモジュールで構成されています。このプラットフォームはサイバーセキュリティに関する幅広いトピックを提供しているので、Linuxやネットワークなどの真の初心者向けトピックを扱う部屋もありますが、ここではWeb Hacking Fundamentalsモジュールとその他のモジュールに焦点を当てます。

Web Hacking Fundamentalsでは、Webサイトの仕組みや悪用方法、必需品であるBurpSuiteの使い方、OWASP Top10 Webアプリケーション脆弱性のすべて、そしてCTFについて学びます（このモジュールでは、ある程度の予備知識が必要です）。

このモジュール以外にも、「Web」カテゴリの部屋では、Google dorking、SQLインジェクション、様々なCTF、CSS、効率的な偵察の一環としてのOSINTの実施方法、バグバウンティハンターが持つべき多くのツールの使用方法などのリソースを見つけることができます。また、NahamSecのUdemyコースで学んだスキルをテストするために作られたNahamStoreもあります。ゲーミフィケーションを核としたTryHackMeは、あらゆるスキルレベルのハッカーにとって楽しいプラットフォームです。新しい技術を学んだり、すでに身につけた技術を磨いたりするのに役立つものがきっと見つかるはずです。

9. Bug Bounty Hunting - Offensive Approach to Hunt Bugs

Udemyで公開されていた人気のバグバウンティ講座「Bug Bounty Hunting - Offensive Approach to Hunt Bugs」は、Vikash Chaudhary氏が制作したもので、同氏が経営するHackersEra社のアプリ「HackersEra University」で公開されており、その一部はYouTubeチャンネルで見ることができます。これまでに10,000人以上の受講生がこの講座を聴き、バグ報奨金獲得の経験がない多くの人が、キャリアをスタートするために必要な基礎知識を身につけることができました。

このバグバウンティコースでは、基本的な用語、情報収集、BurpSuiteの使い方、そしてもちろん、XSS、URLリダイレクト、パラメータ改ざん、HTMLインジェクション、SSRF、サブドメインの乗っ取り、ファイルアップロードなど、OWASPトップ10の一般的な脆弱性をカバーしており、最も優れたコースの1つと言われています。

このコースでは、バグバウンティのプラットフォームや報酬、殿堂入りの仕組みなど、バグバウンティハンティングのその他の重要な側面もカバーしており、基本的にはバグハンティングの輝く世界に足を踏み入れるための準備をします。このコースは、Udemyで提供されていた方が便利だったかもしれませんが、Vikash氏のコースはここに掲載されるに値するもので、最高のバグバウンティハンティングトレーニングコースのリストには、このコースを抜きにしては考えられません。

10. Website Hacking/Penetration Testing & Bug Bounty Hunting

初心者向けのコースを探しているなら、もう探す必要はありません。「Website Hacking/Penetration Testing & Bug Bounty Hunting」は、Zaid Sahibが提供するUdemyのコースで、Linuxやプログラミング、ハッキングの知識を必要としません。開発者だけでなく、Webサイトのハッキングを始めたばかりの人にも人気で、すでに7万人以上の受講者がこのコースを修了しています。このコースを修了したからといって、すぐに賞金を獲得できるわけではありませんが、理論と実践の講義を適切に組み合わせることで、しっかりとした基礎的なハッキングの知識を身につけることができます。

このコースでは、まずペンテスティング・ラボの作成方法を学び、次にウェブサイトの基本と使用される技術について学びます。その後、Webサイトのハッキング、情報収集、さまざまな脆弱性カテゴリーの発見とその修正方法を学びます。コード実行、SQLインジェクション、XSS、ブルートフォースなど、バグバウンティプログラムやOWASPトップ10で発見された一般的な脆弱性を、90本以上のビデオで網羅しています。

このバグバウンティコースは、しっかりとした基礎を提供し、ウェブアプリケーションのペンテストの基本的な側面をすべてカバーしています。このコースで提供されている技術は、やや古いと思われるかもしれませんが、全くの初心者向けによく構成されており、バグバウンティハンターとしてのキャリアを容易にするために必要な最低限の知識を得るのに役立ちます。

ココイチでバイトテロ！陰毛をカレーに・・・・

 今度はココイチで「バイトテロ」、不衛生行為をSNSで限定公開→予期せず拡散　店は一時営業停止に...運営会社「厳正な対応を行う」

再び目立つようになった「バイトテロ」が、今度は「カレーハウス CoCo 壱番屋」で発覚した。

店の休憩室で、アルバイトの男性がカレーに「不適切行為」をしたものだ。運営会社の壱番屋は2021年6月14日、「お客様にご不快、ご不安な思いをさせた」として公式サイトで謝罪した。

男性店員が、左手で股間に手を入れ、カレーに振りかける

黒いTシャツと黄色い半ズボンをした若い男性店員が、左手で股間に手を入れた。

「なんしてるんですか？ は？」。また手を入れると、別の店員がこう声をかける。

すると、男性は、その左手で食べかけのカレーの上に何かをばらまいた。別の店員は、「うわー！」と声を上げるが、男性は、「スパイスを振りかけました」とつぶやく。カメラがカレーに近づくと、男性の陰毛らしきものがライスの上に乗っていた。

別の店員は、「この人...」と呆気に取られるが、男性は、その場で踊り始め、右隅にいた3人目の店員は、あきれた様子で顔を両手で押さえていた。

この15秒ほどの動画は、インスタグラムに投稿され、6月13日には、ツイッターで転載されるなどして騒ぎになった。

壱番屋の経営企画室は14日、J-CASTニュースの取材に対し、福岡県内にあるフランチャイズ加盟店で12日夕に実際にあったことだと認めた。

今回も鍵付きインスタに投稿し、「仲間うちだけで見るつもりだった」

それによると、バイトの男性店員が店の休憩室で、客に提供するのと同じまかないのカレーを食べていると、動画の男性が、カレーに対して「不適切な動作」を行った。

同社では、この行為は、いじめではなく、お互いに面白がっていた単なる悪ふざけだと説明した。動画の最後に顔を両手で覆った男性は、また別の店員だという。

動画は、食事をしていた男性がスマートフォンのカメラで撮り、行為があった直後に、自らのインスタに投稿していた。インスタは、鍵付きのアカウントで、24時間で消える「ストーリー」に動画をアップしたため、仲間うちだけで見るつもりだったという。

それがなぜネット上で流出したのかは不明だというが、12日の深夜には拡散が始まり、それに気づいた別の店から本部に通報があったそうだ。

壱番屋は14日昼過ぎ、「店舗従業員による不適切な行為とお詫びについて」のタイトルでお知らせを出した。「従業員による不適切な SNS 投稿があったことが発覚いたしました」と報告し、「このような、店舗内の休憩室での不衛生で不適切な行為によって、お客様に大変ご不快でご不安な思いをさせてしまいましたことを深くお詫び申し上げます」と謝罪した。

発覚当日に店の営業を停止し、再発防止に向けた指導を行うとともに、店における衛生管理の確認や清掃などを行い、翌日から営業を再開したという。

バイト店員2人については、「事実関係を認め、素直に反省しておりますが、弊社といたしましては規程に則って厳正な対応を行う所存」だとしている。

プレスリリース：店舗従業員による不適切な行為とお詫びについて

バックアップ