WAFとは何か（転載）

WAF（Web Application Firewall）とは、その名の通りサイバー攻撃からWebサイトを防御するセキュリティソフトウェアの一種だ。ただ、他のセキュリティ対策であるファイアウォールやIPS／IDS（不正侵入検知・防御システム）と混同しやすく、わかりにくい面もある。本稿では、WAFで防御できるサイバー攻撃の種類やWAFの種類について解説する。

WAFとは何か

WAF（Web Application Firewall）とは、Webアプリケーションの脆弱性を狙ったサイバー攻撃からWebサイトを防御する有効なセキュリティ対策の一つ。ネットワークからWebサイトへ送られてくる通信を解析、「攻撃」と判断した場合はその通信を遮断する。Webサイトの中でも、ユーザーからの入力を受け付けたり、リクエストに応じて動的にページを生成したりするサイトの保護に適した対策方法として知られる。

Webアプリケーションの脆弱性は、サイバー攻撃を受けやすい。Webアプリケーションの開発時に脆弱性対策を行い、脆弱性診断も実施して問題部分の洗い出しと対策を確実に行うことで、サイバー攻撃を防御できる。しかし、Webアプリケーションを支えるミドルウェア（ApacheやStrutsなど）に脆弱性が発見された場合や、何らかの事情ですぐに脆弱性対策を行えないWebアプリケーションがある場合など、脆弱性を突かれる「スキ」は100％防げるとは言い切れない。ECサイトなどのようにユーザーからの入力を受け付けるWebサイトを運営する場合、WAFは有効なセキュリティ対策の1つである。

ファイアウォールやIPS／IDSとの違い

ファイアウォールは、ネットワーク層でのセキュリティ対策だ。送信元のIPアドレスやポート番号などを確認して不正な通信を遮断する。しかし、正常なポート番号を通過した通信の内容までは確認しない。

一方、IPS／IDSは、プラットフォームレベルのサイバー攻撃に対応するセキュリティ対策だ。OSやミドルウェアの脆弱性を悪用した攻撃やファイル共有サービスへの攻撃などはIPS／IDSの対応範囲である。

そしてWAFは、ネットワーク層やプラットフォームレベルのセキュリティ対策をくぐり抜け、アプリケーション層にまで達したサイバー攻撃に対処。Webアプリケーションの通信内容をチェックして、整合性の取れたデータが送信されているかどうかチェックする。

このように、ファイアウォール・IPS／IDS・WAFはそれぞれに守備範囲が異なる。攻撃の種類が多様化・巧妙化する昨今、セキュリティを高めるためには多層防御が求められることから、それぞれの対策を組み合わせる必要がある。

WAFの導入メリット4点

1.Webアプリケーションへの攻撃を防御できる

Webサイトは、常に外部に公開されているためサイバー攻撃にさらされやすい。ECサイトやインターネットバンキングなど、特にお金に絡むWebサイトは、常に攻撃の危険が付きまとう。

Webアプリケーションの脆弱性に対する攻撃を防御するセキュリティ製品は、WAFが適している。ファイアウォールやIDS/IPSなど他のセキュリティ対策では防御できない部分をガードできる点は、WAFを導入する最大のメリットだ。

2.脆弱性の修正が困難な場合の暫定対策

Webアプリケーションの脆弱性と対策方法は、そもそも開発時に脆弱性対策を行うことがもっとも重要である。しかし、脆弱性が残ってしまう場合は、脆弱性発見後に修正モジュールを組み入れるなどして対応する。しかし、状況によっては、Webアプリケーションの脆弱性をすぐに修正できない場合もある。そのような場合の暫定対策としてもWAFは利用可能だ。

「自社のWebサイトは、常に脆弱性対策をしているから大丈夫」と思っていても、油断はできない。現在は脆弱性がなくても、ミドルウェアに未知の脆弱性が見つかるリスクをゼロにすることは難しい。発見されたミドルウェアの脆弱性はすぐに拡散され、「ゼロデイ攻撃」の標的になり得る。

3.脆弱性対策の均質化による運用負荷の軽減

複数のWebサイトを運営している場合や、複数の会社がWebアプリケーションを開発している場合、各Webサイトで脆弱性対策の品質にばらつきが出る可能性がある。WAFを導入すれば、脆弱性対策にばらつきがあっても、関係なく同じレベルで複数のWebサイトをある程度防御することは可能だ。ただ、WAFでも防御できない脆弱性もあるため、本来はセキュアなWebアプリケーションを開発するための基準や手順を整備し、開発会社による品質のばらつきを防ぐよう留意したい。

4.サイバー攻撃を受けた際の緊急対応にも使える場合がある

サイバー攻撃を受けた場合の緊急対策としてもWAFは役に立つ。サイバー攻撃を受けてから改修が完了するまでWebサイトを停止していると、販売機会の喪失など、さまざまな弊害が起こりかねない。しかし、その脆弱性に対する攻撃がWAFで防げることが確実な場合は、WAFを暫定対策として導入することで、被害の拡大を防ぎ、より早いWebサイト復旧をサポートすることができる。

DevOpsとMLOps～GitHubもDevOpsを支える支援ツール～

とあるオンラインセミナーを聞いていて、機械学習からDevOps、更にはMLOpsと話が展開し、DevOpsとMLOpsについていったん整理しておく。

DevOpsとは

開発 (Development) と運用 (Operations) を組み合わせた語。開発手法やツールを使って開発者（Development）と運用者（Operations）が密接に連携することで、より柔軟かつスピーディーにシステムを開発すること。

開発者と運用者が効率的に連携するためのソフトウェア開発手法・活動・ツールの総称。文化のようなもので、明確な定義はない。

狭義には，システムへの変更をコミットしてから通常の運用に移るまでの時間を短縮することを目的とした一連のプラクティスのこと

DevOpsの有無をまとめたみた、極端な一覧

項目	DevOpsのない世界	ある世界
バージョン管理	フォルダ名にバージョン名や作成日時を記入することでバージョン管理する．複数人が同じコードを編集することがあり，競合がしばしば発生している．	Gitを使用し，問題がある場合には適切にロールバックする．明確なブランチ戦略のもとでコミットやプルリクエストが小まめに行われており，競合はほとんど発生しない．
環境構築	サービスが依存するアプリケーションはインストール手順書を見ながらサーバー上に直接インストールする．長大な手順書のメンテナンスに工数がかかっている．	サービスはコンテナ上で動作する複数のマイクロサービスからなる．プロビジョニングもInfrastructure as Codeで自動化されており，手順書は簡潔．
テスト・ビルド	手動でコマンドを実行する．	GitプッシュをトリガーとしてCIツールが自動的に実行する．
デプロイ	デプロイ時はサーバーの一般公開を一旦止めて，本番サーバーでデプロイ・テストを行い，問題なければサーバーを公開する．	stagingブランチへのマージと同時にステージング環境へのデプロイが開始され，masterブランチへのマージと同時に自動で本番環境のローリングアップデートが実施される．
チーム体制	開発チームと運用チームが独立しており，コードの引き継ぎの機会を除いて連携はほとんどない．	どのチームのメンバーもフルサイクルエンジニアとして開発運用両方の知見を有している．
文化	運用チームは開発チームの頻繁な仕様変更にうんざりしている．変更が原因の不具合によってサービスが停止するたびに非難の応酬が起きている．	自動テストとステージング環境での検証により，本番環境で不具合が発生する頻度は非常に低い．定期的に開かれる成果報告会では互いの成果を発表し，今後の改善点を話し合う．

MLOpsとは

MLOps = ML + DevOps

※ML=Mailing Listではない！

MLOpsとは、「機械学習チーム（Machine Learning）／開発チーム」と「運用チーム（Operations）」がお互いに協調し合うことで、機械学習モデルの実装から運用までのライフサイクルを円滑に進めるための管理体制（機械学習基盤）を築くこと、またはその概念全体を指す。類義語にDevOpsがあるが、まさにそのDevOpsから発展して生まれた考え方である。DevOpsに詳しければ、その機械学習版だと考えるとよい。

　DevOpsの考え方と同様に、機械学習チーム／開発チームは、最終的なソリューションの一機能となる機械学習モデルの作成とデリバリー（もしくはデプロイ）を自動化し、リリースサイクルを早める。運用チームは、刻々と変化するビジネス要求を捉えて、機械学習チームにフィードバックしながら、より付加価値の高いソリューションをエンドユーザーに届ける。これら一連のライフサイクルをシームレスにつなげるための基盤を作成する必要があるということらしい。

MLOpsの有無をまとめたみた、極端な一覧

項目	MLOpsのない世界	ある世界
データの管理	全データは社内のサーバーに保存されており，分析に用いるデータは一度ハードディスクに移して開発チームに郵送する．	全データはクラウドに保存されており，分析時には必要なサブセットをSQLで取得する．
ハイパーパラメータチューニング	ハイパーパラメータやデータの組み合わせを手動で書き換えながら，MLモデルを学習・評価する．	実験管理ツールを用いてモデル開発を行う．ハイパーパラメータの探索には数理最適化を使用している．
MLプロセス	分析メンバーはパラメータを変更するごとに，jupyter notebookに記述された前処理・学習・評価の一連のMLテストを順番に実行する．	MLプロセスは統合・自動化されており，学習・テストのイテレーションは高速に実行される．
デプロイ	推論モデルの実装時には，学習に用いるノートブックとrequirements.txtを実装メンバーに渡し，実装メンバーは推論コードを抽出した上で，Flaskなどを用いて推論用web APIサーバーを構成する．	推論用web APIサーバーへのデプロイは CI/CD ツールを通じて自動化されており，GCPのAI Platform predictionにより推論エンドポイントを作成するため，メンバーは機械学習モデルの作成に集中することができる．
継続的学習	モデル開発には月単位の時間がかかるため，モデルの再トレーニングはほとんど行わない．	常に環境の変化に対応するため，定期的に最新のデータを用いて再学習が行われる．
CI/CD	モデルの更新はほとんどないため，CI, CDは考慮されない．	新しいデータでトレーニングされたモデルは自動的に精度検証・テスト・デプロイ対象となる．
監視	モデルのパフォーマンス低下などを検出するためのモニタリングは行わないため，環境のダイナミクスの変化に対して脆弱．	ライブデータに基づいてモデルのパフォーマンスに関する統計情報を収集する．パフォーマンスが一定の水準に満たない場合，再学習パイプラインが自動的に実行される．

鉄道会社ＨＰに不正アクセス、個人情報が最大約５４００件流出か（転載）～想定損害賠償額は3,300万円程度か～

鉄道会社ＨＰに不正アクセス、個人情報が最大約５４００件流出か:

不正アクセスで食堂車予約客などの個人情報が流出した可能性 - 明知鉄道

明知鉄道は、不正アクセスを受け、ウェブサイトが改ざんされ、顧客情報が外部に流出した可能性があることを明らかにした。

同社によれば、9月2日にウェブサイトの改ざんが発覚し、サーバが不正アクセスを受けたことが判明したもの。同日同社では予約サイトを停止。被害状況について調査を進めている。

今回の不正アクセスにより、ウェブサイト経由で食堂車を予約した顧客の氏名、住所、電話番号、メールアドレスなど最大4698件、ウェブサイトで問い合わせを行った顧客の氏名、メールアドレス、問い合わせ内容など最大880件が流出した可能性があるという。

9月7日にウェブサイトは復旧したが、サイト経由の予約は調査が終了するまで一時停止し、当面は電話とメールでのみ予約を受け付ける。

友達や仲間が増えると、資本主義的な成功から遠のく（転載）

友達や仲間が増えると、資本主義的な成功から遠のく

実は友達や仲間がたくさんいる人ほど、成功から遠のくんです。

もしみなさんが、成功したいのであれば、友達や仲間を少なくすることをおすすめします。

お金持ちになりたいなら、友達ゼロでもいい

仲間や友達が多いほうが成功しそう！　と思う人も多いかもしれません。

「そもそも成功とは何か？」を最初に定義しておくと、資本主義的な意味での成功です。要するにお金持ちになるということですね。

お金持ちという観点で成功をつかみたければ、友達や仲間はできるだけ少ないほうがいいです。

個人的にはゼロでもいいと思いますが、さすがに社会で生きている以上、ゼロはむずかしいかもしれません。ゼロにできなくても、なるべく少なくする意識が大切です。

なぜかというと、友達や仲間が多ければ多いほど、様々なコストが上がるから。

まずコミュニケーションコストが上がります。LINEがたくさん来たり、週末飲みに行かないかと誘われたり、今度このカフェに朝活しに行かないか、という話になります。

非情に聞こえるかもしれませんが、その時間がもったいないとぼくは思いますね。

マリオットのポイント購入増量セール（2021年8月12日～2021年9月25日）～ミステリーボーナスなので、増量率は人によって異なる模様～

Marriott Bonvoy Buy & Gift Points Mystery Bonus September 25, 2021

マリオットのポイント購入セールが開始。

マリオットは増量セールと割引セールがあり、今回は増量セール。

増量率はミステリーボーナスの形になっている模様。

自分は5〇%だったが、引用元の記事は45%であった。

過去のセールでの最高増量率は60%だが、今回のセールは増量率としては高い部類に入ると思う。

今回1万ポイント分調達するとした際の費用感は下記となる。

日本円に換算すると↓の感じ

前回はちょうど1万ポイント購入で87.5USDだったのに対し、今回は10,500ポイント購入で同額の87.5USDなので、微妙に得と言えば得かも。。。

ただ、現時点、マイルは溜まる一方で消化の目途が立たないことから、買うにしても、ポイント失効防止の観点で、下限で買う感じになりそう。。。

私は普段何も分かっていないけど、ずっと笑顔で「うんうん！」ととにかく頷いていたら、15年もなんとか日本語ミーティングを乗り切ってます！（転載）～英語で外人とやり取りするときにかなり重要～

私は普段何も分かっていないけど、ずっと笑顔で「うんうん！」ととにかく頷いていたら、15年もなんとか日本語ミーティングを乗り切ってます！ https://t.co/xS8avK8b2x Quoted tweet from @knqyf263: 過去イチでしょうもない記事書いた knqyf263.hatenablog.com/entry/2021/08/…:

Quoted tweet from @knqyf263:

過去イチでしょうもない記事書いた
knqyf263.hatenablog.com/entry/2021/08/…

英語がさっぱり分からない状態のまま日本人が0の会社に入ってあっという間に2年以上経ちました。未だに日本人は自分一人ですし英語もさっぱり分からないのですが、そんな状態でよくやれてるなと最近色々な人から言われたので苦戦する中で身につけたバッドノウハウを書いておきます。バッドノウハウは以下のような定義で使っています。

バッドノウハウとは、本質的には生産性はないものの、問題解決のために必要になってしまうようなノウハウのこと。

つまり、英語力をあげようとかそういう本質的なことは一切言わず小手先なことを書いています。自分でもバッドノウハウと言ってますし「そんな小手先のことやってるから英語力が伸びないんだ」みたいなマジレスをされると死に至るのでやめてください。

冗談半分みたいな内容なのでネタ記事だと思って読んでください。学校や本で教わるような内容ではなく生き抜くための知恵みたいなやつです。参考にはしないでください。

出来ないとか言ってるくせに海外住んでるし何やかんやうまくやれてるんだろうみたいな疑惑をかけられることがあるのですが、「こいつマジだわ」と思ってもらえる内容だと思います。

誤解のないように強調しておきますが、出来なくて良いと言っているわけでは決してないです。急にそういうチャンスが転がってきた時に「今はまだ英語出来ないから今回は見送って次の機会までに勉強しよう」となるともったいないので、飛び込んでみて成長するまで何とか気合いでしがみついていこうという内容です。

前提

英語は全体的に不得意な方ですが、典型的日本人なので読み書きは最低限できます。ただスピーキング・リスニングは壊滅的です。特にリスニングはもう10年以上前になりますがセンター試験ではずっと平均点を切っていました。50点満点で26-28点ぐらい。つまり平均的高校生より出来ないということです。大学進学を目指している周りの人は平気で48-50点をとっている中で、自分は30点の壁が破れない...などと言っていました。もし自分は平均ぐらいはあると思う、という方は少なくとも自分よりは優秀です。

予備校の英語講師には自分の長い講師歴でこんなに模試で低い点数をとった人は初めて見た、と言われました。120点満点中42点で偏差値も同じ42だったのをよく覚えてます。長年有名予備校の講師をやっている人の最低を更新するのは逆に凄いんじゃないか？とも思いましたが、普通に落ち込みました。さすがに一人ぐらい自分より低い人いただろ、と思いましたが偏差値42だったので優秀なクラスを担当している講師だとあり得るかもなという感じです。

そこからTOEICなどは全く受けずに生きてきて、院試でTOEFLを受けさせられたのですが苦手とか言ってた周りの人間より自分が一番低い点数を叩き出しました。他にもTOEIC勉強せずに受けたからやばかったわーとか言って満点近く取ったりするような人間が周りに多かったので、英語関連の試験からはひたすら逃げ続けました。

脱線しましたが、英語本当にできないんだなというのが理解できてもらえたかと思います。読み書きは最低限できるので底辺だとは思っていませんが、海外で働くために必要なスキルは全く持ち合わせていません。

バッドノウハウ

では全く本質的ではない方法について話します。本当はもっとたくさんあるはずなので思い出したら追記します。

質問編

まず前提として質問は多くの場合聞き取れません。そういうときの対策です。

聞き取れなかった時にSorry?と聞き直さない

聞き取れなかった時に"Pardon?"と言うと学校では習いましたが実際には自分は聞いたことがありません。もちろん使われるシーンはあると思うのですが、"Sorry?"と聞き直されることのほうが多いです。あとはある程度関係性がある場合は"What?"と言われたり、"ちょっと分からなかった”とか"もう一度言って"みたいに言われることが多いです。

特に多いのは"Sorry?"だったので、自分も何となく使っていたのですがとある弱点に気付きました。それは、何となくこなれた感じを出してしまうことで相手は同じスピードでもう一度言うということです。日本語だと「え？」と聞き直すときは大抵ちょっと聞き逃したぐらいのノリなのでもう一度言ってもらえれば理解できますが、英語においてはその限りではありません。

つまり同じスピードでもう一度言われても同じぐらい聞き取れないということです。何なら自分は3回ぐらい聞き直しても全く同じように聞き取れないです。日本語で「昨日の夜さー」「え？」と聞き直されて「きーのーうーのーよーるーさー」とゆっくり言い直さないと思います。それと同じで"Sorry?"と聞くと「え？（ごめんちょっと集中してなくて聞き逃してしまった）」ぐらいのニュアンスになっているように感じます。

同じスピードでもう一度言ってもらうのは完全に時間の無駄なので、"もう一度ゆっくり言ってくれない？"とか次で説明するように聞こえたところを繰り返すほうが良いと思います。

日本語で「スミマセン、モウイチドオネガイシマス」と言われたら次はゆっくり言おうと思うはずなので、"モウイチドオネガイシマス"と英語で聞き返すことで「あ、こいつ得意じゃないんだな」と初手で理解してもらいましょう。

聞こえたところまで繰り返す

上の話と関連するのですが、仮に "Do you know XXX?"と聞かれてXXXが聞き取れなかったとします。この時に"Sorry?"と聞くと"Do you know XXX?"と言われて同じことの繰り返しになります。では自分がどうするかと言うと"Do you know...what?"のように聞き取れなかった部分を明確にして返します。そうするとXXXの部分だけ強調して言い直してくれる確率が高いです。ネイティブだと"Do I know...what?"みたいにyouをIにきちんと置き換えたりしてきますが、英語弱者にそんな余裕はないので聞き取れたところをオウム返しでも良いと思ってます。余裕があれば気をつけましょう。

基本的に英語は音が繋がるので文章だと聞き取れないけど単語だと聞き取れることが発生します。つまり聞き取れる確率が少し上がります。そこだけ強調されても分からない時は知らない単語だったり音を間違えて覚えているので、今度は"XXX?"と聞くと言い換えて説明してくれます。それでも分からなければ諦めましょう。

可能性のある質問全てに答える

質問をされた時に何個か単語は聞き取れて何となく聞きたいことの方向性は分かった。しかし可能性が複数あって一つに絞り込めない、という場合は上のように聞き直す方法もありますが、候補が2-3個まで絞れているなら全てに回答してしまうという手があります。クイズの早押しみたいな感覚です。

「2019年に新たにポルトガルで世界遺産に登録された...」ぐらいまで問題が読み上げられたら「ブラガのボン・ジェズス・ド・モンテ聖域」と「マフラの王家の建物」！！と答えてしまうイメージです。クイズでは正解は一つですが会話では複数答えて一つがヒットすればOKです。問題文は実際には「2019年に新たにポルトガルで世界遺産に登録されたもののうちブラガにあるのは？」だったかもしれませんがそこまでは聞き取れなかったので両方カバーしておきます。

ちなみに3パターンぐらい回答しても全て見当違いで"お前は何を言ってるんだ？"状態になることもよくあるので気をつけてください。諸刃の剣です。

Do you mean ~ ? で可能性を潰していく

日本語で「つまり〜ということ？」みたいに聞く時は齟齬がないように最終確認のような意味合いだと思いますが、英語における自分の使い方は違います。全然聞きとれず候補も絞り込めない、しかし何となく単語はいくつか聞こえた、という時に自分の中で仮設を立てて一か八か"Do you mean XXX?"のように聞きます。ほぼ間違っているわけですが稀にヒットすることもあり、そうなればギャンブルに勝利です。仮に間違っていても"No, no, no, YYY~"と間違っている部分を強調して話してくれるので聞き取れる確率が上がります。あとはそれも聞き取れなかったとしても、少なくともXXXの可能性はなくなったわけで、次は "Do you mean ZZZ?" と聞いていくことで次々に可能性を潰していけます。もちろんそうやっていって最後"Yes"の回答が貰えれば理解をより確実に出来るメリットもあります。

これがなぜ必要になるかと言うと、何度も"もう一度言ってくれない？"と聞き返すと気まずくなるからです。もう一度言って？は1,2回が限界なので残機を使い果たしてしまったら上の方法やこちらに切り替えるイメージです。

うかつにYES/NOで答えない

自分は良く分からない時は大体YES!!と答えています。

それを逆手に取られると困るという話をツイートしていますが、実際にはそもそもYES/NOで回答できる質問ではない場合もあります。そういう時にうっかりYES!!と言うと"いやいや..."となるので気をつけましょう。最初に5W1Hがついている場合はYES/NOの質問ではない可能性が高いので、最初の一単語目に注意しましょう。

他人に振ってみる

質問を受けたものの内容が全く聞き取れなかったとします。そういう時の新たな手法として他人に丸投げするというのがあります。"今の質問についてあなたはどう思う？"と全然関係ない人に振ります。そしてその人が回答している間に情報をひろ集めて元の質問を推測していきます。つまり質問者に聞き直すことで情報量を増やすのではなく、他人に転送することで情報量を増やす高等テクニックです。

良い質問ですねぇを使う

これも質問が分からなかった時の話です。"良い質問ですねぇ"と言った上で"今は回答を持ち合わせていない"等と適当なことを言ってお茶を濁します。

何か言いそうな雰囲気を出して時間を稼ぐ

これはもはや質問に答えない方法です。質問も分からないし打つ手なしとなった時に何か言いそうな雰囲気を出してひたすら無言で耐えます。単に無言だと聞こえてる？となりますが、何か言いそうな雰囲気を出すことで待ってもらえます。「しづる池田　インタビュー」で調べると分かりやすい動画が出ると思います。無言で顔芸で頑張ってもいいですし、"well..."とかそれっぽいことを言っても良いです。

このテクニックの何が嬉しいのかというと、自分の他に詳しい人がいたら回答してもらえる可能性があります。つまり"俺が答えるよ"という人が現れるまで時間を稼ぐテクニックです。質問者は自分に聞いたけど他の英語強者が答えてくれるというやつですね。日本語の研究発表で質問が難しすぎて大学の教授に代わりに答えてもらうやつはかなり辛いですが、英語の場合はそもそも質問すら聞き取れてないので潔く諦めましょう。

そしてもう一つ大きいのは、何か言いたそうだけど言わない姿勢を見せることで質問者側も"答えづらいのかな？"と思ってくれます。そして"ちょっと聞き方を変えるね"と言って別の切り口で質問してくれたりします。実際はただ何も聞き取れていないだけなのですが、もう一度相手がボールを持ってくれるのでチャンスが広がります。

発言編

先程までは聞かれるなど受け身の話でしたが、自分から何か発言する場合についてのテクニックを書いておきます。

How are you?を速攻でキメる

"How are you doing?"や"How’s it going?"など何でも良いのですが、ミーティング開始と同時に速攻で挨拶をします。これで無事にミーティング中に一言話すという目的を達成したのでやるべきことの8割は終わりです。

自分は中島聡さんの「なぜ、あなたの仕事は終わらないのかスピードは最強の武器である」という本が好きなのですが、その中で「ロケットスタート時間術」という仕事術が出てきます。

これは10日で仕上げるタスクであれば、2割に当たる2日間で8割終わらせるつもりで取り掛かるというものです。仕事が終わらない原因の9割を占める「締め切り間際のラストスパート」を防ぐため、最初からスタートダッシュをかけることで時間の見積もりを正確に行います。この2日間で仕事が8割終わっていれば予定通り終わりそうということで残りの8日間は流しつつ2割を仕上げますし、8割終わっていなければスケジュールの変更を早い段階で決断できます。

開幕How are you?も同じです。ミーティング中に一言も話さないと何も仕事をしなかった感じになりますが、少しでも話すだけで何かやった感じがあります。つまり初手にその目的を達してしまうことでミーティングの残りは流せます。自分はこれを「ロケットスタート英語ミーティング術」と読んでいます。

冗談半分で書いてますが、実際最初に何か少し挨拶でも良いから発言しておくことでその後話しやすくなります。ずっと無言だったのに急に発言するのは勇気がいりますし、周りも「あいつ急に話し出したぞ」と驚かずに済みます。

Can you hear me? Can you see my screen? に率先して答える

上で述べたように最初にミーティングにおける仕事の8割を終わらせているため、あとは2割です。そんな時、最近はリモート会議も多いと思うので最適な場面があります。それが"Can you hear me?"と"Can you see my screen?"です。大体1度か2度は聞かれます。その隙さえ見つければこちらのものです。率先して答えることで10割を達成できます。

話す隙があれば少しでも話すということです。そしてミュートのまま話し続けている人がいれば"ミュートになってるよ”と言えばもう勝ち確定です。もはやオーバーワークです。

How are you?にHow are you?で返す

万が一先手を取られて"How are you?"を相手に出されてしまった時の対策です。"I'm fine"とかより"I'm good"とか"I'm doing good"の方が多いわけですが、いつも同じ感じになってしまってそこそこ返しに困ります。そういう時は逆に"Hey! How are you?"とオウム返ししてしまうテクニックが使えます。もちろん"How's it going?"とか"What's up?"とか少し変えても良いです。"What' up?"と聞かれると"Nothing much"などと答えるべきなのかいつも悩むのですが、最近は"What's up?"返しで乗り切っています。

実際上で述べたように初手"How are you?"を出すようになってから、カウンター"How are you?"を食らうことが多いことに気付きました。「いやこっちが先に聞いてるんだけど...」みたいな気持ちになるわけですが、恐らく"Hi"ぐらいの意味しかないのでいちいち"good!"とか答えないのだろうと思います。

どちらが先に"How are you?"を繰り出してどうカウンターするか、というのは一瞬の駆け引きなので自分から攻めるべきか、はたまた相手からの攻撃を待ってカウンターを決めるべきかはよく見極めましょう。

発表編

ミーティングなどでは時に自分がメインで話さなければならない場合もあります。その場合の対処法です。

話し続ける

「攻撃は最大の防御」というやつです。スピーキングももちろん簡単ではないですが、適当な中学英語を話し続けるだけなら何とかなります。その結果、時間をうまく使い切ることができれば勝ちです。

質問が出ないぐらい丁寧に説明する

とにかく質問が出ないように、事前に質問を想定して全てについてこちらから説明しきります。そうすることで上で述べたように時間を使い切って質問を受ける時間を削ることができますし、そもそも丁寧に説明しているため質問も全く出ずに完封勝利を収めることができます。バッドノウハウではなく普通に良い話を書いてしまいました。

画面共有しまくる

スピーキングの話になりますが、英語のみで全てを説明するのは大変です。ですが、画面共有をして"This!"とか言っておけば一発で伝わります。これは日本語でも有用だと思いますが百聞は一見にしかずなので英語でも見せるのが早いと思います。

資料を準備する

他の人が準備無しでミーティングに臨むような場合でも、英語で説明するのは大変なので図を事前に書いたり話したいWebサイトを開いていったり準備をしっかりしていくと良いです。日本語でももちろんしたほうが良いのですが、口で説明すれば分かるだろうと油断しがちなので英語では特に意識してやるほうが良いです。

リアクション編

実際には何も理解していないのに分かっている感じを出すための方法です。

多彩な相槌を繰り出す

良く分からない時に相槌を打つときが多くあるわけですが、そのバリエーションは持っておきましょう。"I see"とか"OK"に始まり、"wow!"とか"Cool!"とか"That's nice"とか"Absolutely"とか言っておくと実際には何もわかっていなくても分かっている感じが出ます。

笑顔でいる

少しでも聞き取らなくては、とリスニングに集中していると怖い顔になります。自分もめっちゃ集中してて余裕ゼロだったので"どうした...？"と聞かれました。笑顔でいる方が分かっている感じも出ますし雰囲気も良いので頭と耳は集中させつつも外見はリラックスした感じを出す練習をしておきましょう。

笑うタイミングに気をつける

真面目な話の時はまだ良いのですが、雑談系の話になると笑いどころはかなり重要になってきます。何を言ってるか分からなくても話者の表情や抑揚などから面白いことを言っていそうという気配を察し、絶妙なタイミングで笑ってみせる必要があります。真面目な話のときは聞き返しますが、ジョークを聞き返すのは結構申し訳ない気持ちになります。雰囲気で乗り切りましょう。

シュール系ジョークに気をつける

ややこしいのはシュール系のジョークが好きな人です。真顔でボケて来られると笑うタイミングが掴めません。初見殺しです。

同僚「ジョーク（真顔）」

自分「え...？」

同僚「いやジョークだよー」

みたいなやり取りを何度もしたことがあります。滑らせた感じになってすまないと思うわけですが、もう少し分かりやすくしてくれという気持ちもあります。日本人でも自分で話して自分で笑っちゃう人がいますが、笑いどころを知る上では非常にありがたいなと最近思うようになりました。その人の性格がわかってくればジョークを言いそうなタイミングも分かってきて察することが出来るようになるため、最初はボケられても笑えない微妙な空気に耐えましょう。

メンタル編

上のように微妙な空気になっても耐えられるメンタルが必要になります。その対策です。

なぜ日本語を話さないのか？と思っておく

英語ネイティブと話す時、お互いのメイン言語が異なるという条件は同じわけで相手が日本語を話しても良いはずです。何で日本語じゃないのだろう？と内心思っておきます。そして仕方ないので自分が相手に合わせて英語を話すかという心構えでいます。そうすると相手に貸しがあるわけで、自分の英語で至らないことがあっても「これで貸し借りなしな」という気持ちになれます。

これはあくまでメンタルを強く保つための方法なので内心に留めておいて表に出すのはやめておきましょう。

でも自分めっちゃ日本語話せるしなと思っておく

英語でまくしたてられて全然聞き取れなかったとします。そんな時は「でもこれがもし日本語だったら余裕で聞き取れるな。何ならもっと速く話せるぜ」と思っておきましょう。

分からなくても死なないと思っておく

車の運転時とかミサイルが撃ち込まれた時とか命に関わるような話はちゃんと理解しないとダメですが、普通の会社のミーティングで何か分からないことがあっても生きていけます。「さっぱりわからん！！！」ぐらいのテンションでいましょう。

強めの"は？“に備える

自分が何か発言した時に結構強めに“は？“と言われて精神がやられる時があります。恐らく"Huh?"なので強い意味はなく日本語の「え？」ぐらいのニュアンスだと思います。あちらも心を折りに来ているわけではない(多分)ので、事前に備えておけば耐えられます。

その他編

ペース配分を考える

ミーティングが一時間もあったら英語弱者にとってそんな長時間集中し続けるのはまず不可能です。ここぞの時に集中するためにペース配分を考えて試合を進める必要があります。時には大胆に集中力をオフにしてボケーッとしていきましょう。

最後に名前を呼ぶタイプの人に気をつける

質問をする時、"Hey (あなたの名前), I think ~"のように最初に注意をひきつけてくれる人は良いのですが、中には "I think xxx yyy zzz~, what do you think? (あなたの名前)" のように話の最後に急に振ってくる人もいます。こちらとしては何か長めに話し始めた時点でオフになって集中力が0になっていることも多く急に振られても何も話を聞いておらず詰みます。

これは対策が難しいのですが、最初の何文かを集中して聞いて関係なさそうと分かったらオフになりましょう。あとはよくそういう振り方をしてくる人をマークしておいて、その人が話し始めたら感度を上げるのも大事です。

初対面の人と大事なミーティングをしない

やはりある程度慣れというものがあると感じています。何回か話した人は多少は聞き取りやすくなります。一方で初対面だと絶望的に聞き取れない場合があります。そのような状況で何か大事なミーティングをしていると何も分からないまま大事な決定がなされていきます。

自分は恐ろしいほど聞き取れなかったので適当に返していたのですが、あとで聞いたら全然自分の想定と違う決定になっていて急いで謝りました。どうしても初対面の人と大事なミーティングをする場合は議事録残しましょうと最初に提案しましょう。

真面目編

今まではしょうもない内容でしたが、最後に少し真面目なことも書いておきます。

事前に議題を聞く

カレンダーにある程度要点を書いてくれる人はいいのですが、"Discussion" ぐらいのタイトルで詳細なしにミーティングをセットしてくる人もたまにいます（実際にはもう少しちゃんと書いてますがいずれにせよ詳細がわからないレベル）。そういう時はチャットなどで事前に"今日ミーティングセットしてたけど何について話すの？"と聞いておきましょう。何ならそのチャットだけで用件が済むこともありミーティングを未然に防ぐことが出来る場合もあります。

あとで要点を送ってもらうよう依頼する

これは社外の人から説明を受けた場合などによく使う方法です。例えば税理士から丁寧に説明してもらっても大体単語も難しいのでさっぱり分かりません。そういう場合はミーティングの最後に"要点だけ後で送ってもらえますか？"と依頼します。OKと言いつつ送ってくれないことも多いですが、送ってくれた場合はDeepL使えば何とかなります。

ボディランゲージを駆使する

これはあたり前のことなのですがやはり重要なので一応書いておきます。困ったら大体身振り手振りしておけば伝わります。

大きな声ではっきりと話す

これもよく言われることですが、小さい声でモゴモゴ言うと余計に伝わらないので下手でも大きな声ではっきりと話しましょう。

否定疑問文にYES/NOで答えない

"Don’t you like sushi?"と聞かれた場合、日本語だと「はい、好きではないです」となるのでYESと言いたくなりますが実際はNOです。食事の好みぐらいなら間違ってもいいですが、重要な質問で逆の回答をしてしまうと非常に困ります。これは中学で習うような話なので全員知っていることだとは思いますが、いざ会話中に使われると間違うことも多いです。頭の中で"Don't you"を"Do you"に置き換えて回答するなどの手もありますが、それでも自分は混乱するのでYES/NOで答えずに "I like it" のように文章で答えるようにしています。それなら確実に伝わります。

「鶴丸のはっぴ」、JALショッピングで販売～みんなでアラスカ航空のセーフティーダンスを踊ろう～

「鶴丸のはっぴ」、JALショッピングで販売　4,950円:

アラスカ航空のセーフティビデオで赤坂社長が来ていた「鶴丸のはっぴ」が販売されるらしい。

JALUXは、運営する通販サイト「JALショッピング」で、鶴丸ロゴ入りの法被（はっぴ）の販売を開始した。

カラーは赤のみ、サイズは着丈約87センチ、身幅約67センチ、袖丈35センチのフリーサイズ。素材はコットン100％で日本製。「催事・イベントなど年間を通して着用可能！ユニセックスのはっぴです。胸元とバックデザインにはJALロゴが大胆に配置されており、会場を一層明るく盛り上げてくれます。ハリのあるしっかりとした素材感で、さまざまなシーンで大活躍してくれるハッピです」としている。

価格は4,950円、送料815円（いずれも税込）。JALの90マイルもしくはJALショッピングポイント45ポイントも獲得できる。

お問合せ管理システムへの不正アクセスで個人情報が流出、白崎コーポレーションを騙る不審メールも確認（転載）～想定損害賠償額は6億円程度か～

お問合せ管理システムへの不正アクセスで個人情報が流出、白崎コーポレーションを騙る不審メールも確認:

雑草対策のショップを運営する株式会社白崎コーポレーションは8月30日、不正アクセスによる個人情報流出の可能性について発表した。

これは8月17日午前8時30分頃に、同社グリーンナップ事業で使用するお問合せ管理システムに対し、第三者から意図的な不正アクセスがあり調査したところ、不正アクセスのあったシステム内の個人情報が流出した可能性を確認したというもの。

流出した可能性があるのは、同社が取り扱う住所、氏名、電話番号、FAX番号、メールアドレス、問合せ履歴、購入履歴を含む最大10万件の個人情報。

同社では8月17日に、不正アクセスされたシステムを外部ネットワークから切り離し、その他の被害の有無等をシステムログにて調査、翌8月18日には不正アクセスされたシステムのセキュリティ強化改修を行っている。

また同社では8月18日に警察署へ通報を、8月23日には個人情報保護委員会に報告を行っている。

同社では8月30日に、同社の名前を騙る悪質なメールを確認しており、顧客に対し不審メールが届いた場合は、文面に記載されたファイルのダウンロードなどは行わず、即刻削除するよう注意を呼びかけている。

同社では再発防止策として、セキュリティ会社によるお問合せ管理システムのセキュリティ審査を実施、外部の専門家による社内の個人情報保護体制の強化に取り組むとのこと。

AWSの障害で銀行や携帯電話会社など、広い範囲で影響（転載）～クラウドを採用するということは、障害発生時に指をくわえて見守るしかないことを覚悟せよ～

アマゾン子会社AWSの障害が復旧データ管理サービス | NHKニュース www3.nhk.or.jp/news/html/2021…:

www3.nhk.or.jp/news/html/2021…

AWSの大規模障害、原因はネットワークデバイス　新プロトコル処理に潜在的なバグ

IT大手、アマゾンの子会社のAWS＝アマゾンウェブサービスで、企業向けのデータ管理のサービスに一時、障害が起きました。

障害はすでに復旧したということですが、銀行や携帯電話会社など、広い範囲で影響が確認されました。

ネットワークの接続機器の故障が原因で、復旧作業の結果、障害発生からおよそ6時間後の午後1時42分に復旧したということです。

このサービスを利用しているのは数十万規模に上るということで、影響は銀行や携帯電話会社など、広い範囲に及びました。

これまでに、

▽スマートフォンで住所変更などを行う三菱UFJ銀行のアプリや、

▽みずほ銀行のネットバンキングのアプリのほか、

▽SBI証券など、ネット証券各社のサイトの一部にアクセスしにくくなるなどの影響が確認されました。

また、

▽携帯電話会社のKDDIでも、スマホ決済の「au PAY」で、入金しにくいなどの影響が出たということです。

アマゾンウェブサービスは「現在問題は解消し、サービスは正常に稼働しています」とするコメントを出しました。

「AWSクラウド」日本のデータセンターにアクセスできず

今回、障害が起きた、AWS＝アマゾンウェブサービスの、企業向けのデータ管理サービス「AWSクラウド」は、ソフトウエアやデータを外部のサーバー上で管理して使う、クラウドサービスのひとつです。

顧客である企業などは、AWSクラウドが提供するサーバーにインターネットを通じてアクセスすることで、データを預けて管理したり、あらかじめ用意されたさまざまなソフトウェアを利用したりすることができます。

高機能なサーバーやソフトウエアを自前で管理する必要がなく、機能を利用した分だけ料金を支払う仕組みのため、多くの企業や個人が、WEB上でサービスを提供するために利用しています。

AWSのサーバーは世界中に設置されていて、利用者が目的などに合わせてサーバーのある地域を選べるようになっています。

AWSによりますと、今回、障害が確認されたのは「AWS Direct Connect」と呼ばれる、顧客がサーバーに安全に接続するためのサービスのネットワークで、サーバーが設置されている東京リージョンと呼ばれる日本のデータセンターにアクセスできなくなる不具合が発生したということです。

「政府管理の国民向けサービスに影響なし」官房長官

加藤官房長官は、午後の記者会見で「現在は、アマゾンウェブサービスのシステムが復旧したため、金融機関などのシステムも、順次復旧しつつあるとの報告を受けている。金融庁において、まず状況の把握に努めるとともに、各社に対して顧客対応に万全を期すよう要請しているとのことだ。政府が管理するシステムについては、国民向けサービスへの影響は確認されていない」と述べました。

お客様が航空券詐欺に遭いすぎていて辛い（転載）～kiwi.comは詐欺サイトらしい。ちなみにExpediaも個人的には詐欺サイトです。～

RT by @kkt_witte_r: お客様が航空券詐欺に遭いすぎていて辛い:

privatter.net/p/7752778

私は航空会社の地上係員です。これから書くのは「kiwi.com」というオンライン旅行予約サイトについてです。一言でいうと詐欺サイトです。利用は絶対にお勧めしません。

初めて航空券詐欺被害者の対応をしたのは7月の中旬でした。

カウンターに来られたお客様は予約を照会できる番号は一切持っておらず、提示されたのは、6月下旬に需要減退により欠航が決まっていた便の旅程表のみでした。欠航の旨伝えると、非常に驚かれた様子で「決済をしたのは3日前だ」とおっしゃるのです。既に欠航が決まっている便に対して、航空会社が決済をさせることはシステム上絶対にできません。しかしお客様は支払いは済んでいるというのです。こんなこと公式サイトからの予約では起こりえないと思い、利用されたサイトを聞けば「kiwi.com」というサイトでした。

前後の便や来月の同じ便で検索してもお客様の予約情報はヒットしません。お客様は最後まで最初に払った金額で飛行機に乗れないことに納得されていない様子でした。しかし入金が確認できる情報は、お客様が受け取ったメール等を含めても一切ありませんから、我々でできることも一切ありません。結局そのお客様は、他社の同区間の便を当日予約の運賃で買われていきました。約4万円。お客様が正しく支払ったと思っていた航空券代の3倍以上の金額でした。

次にkiwi.comで予約をされた方の対応をしたのはそれから数日後でした。

やはりその方も、予約を照会できる番号は一切お持ちではありませんでした。提示された旅程とお名前で検索したところ、キャンセル済の予約がヒットしました。お客様に確認してもそのような操作はしていないとのことでしたが、キャンセルされているのをシステム上で確認した以上は、その予約で飛行機にお乗りいただくことはできませんので、新規に当日の金額で航空券を買いなおしていただきました。しかし飛行機の出発直前に、別の係員が同じ搭乗者名の決済済み予約情報を発見しました。当日運賃と早割の運賃だと相当な差額が出ますから、急いで新規にご購入いただいた航空券代をお客様にお返しし、決済済みの予約で飛行機にお乗りいただきました。後で詳しく見てみれば、同じ搭乗者名のキャンセル済の予約が他にも数件ヒットしました。その時は自分のサーチ不足でお客様や他の係員に迷惑をかけしまったことに対しすっかり落ち込んでいて、キャンセル済の予約が複数あることに深く疑問を抱けませんでした。

そしてつい先日、このサイトが第三者のクレジットカードを不正利用していることが判明しました。カードを不正利用されていることに気が付いた方からカード会社に連絡をされたようで、その連絡がカード会社からそのまま私の会社にも来ました。

①お客様がkiwi.comに対して金銭を支払う

②kiwi.comは第三者のカードを利用して航空会社から直接チケットを買う

③不正に入手した航空券をお客様に渡す

という手口です。kiwi.comは一銭も払わずお客様からの利益を得られますね。1件目に関してはそもそも存在しない航空券を売り付けているわけですが。

2件目のお客様のキャンセル済の予約情報が複数ヒットしたのは、

予約を不正に決済する→不正利用を検知したカード会社が決済を取り消す→決済の取り消しに気づいたkiwi.com側が他のカード情報を使ってまた新規に不正な予約を作る……を繰り返したためです。予約照会番号をお客様に渡せないのは予約が直前まで確約しないからですかね。

空港カウンターでは、カードの持ち主本人がその場にいないと決済にご利用いただけません。ですが今や航空券はネットから誰でも予約できてしまう時代ですから、不正利用があっても決済された時点では航空会社側で気づくことはできません。

そんなこんなで不正利用されたカードにより決済された予約は私の会社だけで100件以上です。これからカウンターに来られる100名以上の方に「貴方が使ったサイトは詐欺サイトなので決済は無効です。新しく航空券を購入してください」という旨お伝えしなければいけないと思うと気が遠くなります。他社を含めたらもう十数倍はあるのでしょう。

その他も手数料の不正受領などいろいろあるみたいです。下記URLはレビューサイトです。

https://jp.trustpilot.com/review/kiwi.com

これから会社でどういう措置をとるのか、どういう発表をするのかは、フロントラインの端くれにはわかりません。何も発表しない可能性も多分にあると思います。ただ直接詐欺にあったお客様と接した身として、これ以上騙される人が増えるのは駄目だと思い散文認めた次第です。ごく個人的なものです。

ここまでお目通しいただきありがとうございました。これ以上の被害者が増えないことを祈っています。

個人利用クラウドへのアップロードも行われた再委託先従業員による情報持ち出し事件（転載）～クラウド利用時に考慮しないといけないリスクの一つだな。～

個人利用クラウドへのアップロードも行われた再委託先従業員による情報持ち出しについてまとめてみた
再委託先社員による不適切なデータの取り扱いについてのお知らせとお詫び

株式会社村田製作所（以下、当社）は、外部委託先企業（委託先：日本アイ・ビー・エム株式会社）の再委託先（中国法人IBM Dalian Global Delivery Co., Ltd.、以下「再委託先」）社員が当社取引先情報および個人情報を含むプロジェクト管理データを業務用パソコンへ許可なくダウンロードし、中国国内の外部クラウドサービスの個人アカウントへアップロードしたことを2021年7月20日に確認しました。

委託先の調査によると、持ち出された情報について当該再委託先社員以外の者がアクセス・取得した事実やその情報が悪用された事実は認められておりません。また、外部クラウドサービス事業者の調査でも、持ち出された情報を第三者がコピー・ダウンロードした事実のないことが確認されたと報告を受けておりますが、当社としてデータ対象範囲の広さと取引先情報および個人情報が含まれているという事実に鑑み、本件の発表に至りました。

お客さまをはじめ多くのご関係先にご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。

1．本件の概要

当社の会計システム更新プロジェクトに関わる当該再委託先の社員によって、業務用パソコンへ取引先情報および個人情報を含むプロジェクト管理データが許可なくダウンロードされました。また、同データを中国国内のクラウドストレージサービスの個人アカウントへアップロードしたことが確認されました。アップロードされたデータはすでに業務用パソコンおよび、外部クラウドストレージサービスから削除されています。

なお、本件に関してウィルス感染やサイバー攻撃などは確認されていません。

2．経緯

・ 6月28日再委託先の社員がプロジェクト管理データを業務用パソコンにダウンロード。

・ 6月30日再委託先の社内監視システムによりセキュリティアラートを検知。

・ 7月4日調査の結果、再委託先の社員による取引先情報および個人情報を含むプロジェクト管理データのダウンロードを確認。

・ 7月8日再委託先の社員への聞き取り中に、上記データのダウンロード後に外部クラウドサービスの個人アカウントへのアップロードが行われたことが判明。同日、再委託先の監視のもと、アップロードされたデータを削除。

・ 7月20日外部委託先企業から当社へ報告。

・ 8月3日外部クラウドサービス事業者の調査により、第三者がそれらのデータをコピーしたり、ダウンロードした形跡がないことを確認。

・ 8月5日外部委託先企業から順次開示される解析データに基づき提供される情報を当社側でも内容を分析・検証し、影響のある範囲の特定やリスクを確認。当社プレスリリースを実施。

3．対象範囲

以下72,460件の情報が含まれていました。情報については対象国ごとに異なります。

・取引先情報：30,555件※1（会社名・住所・氏名・電話番号・メールアドレス・銀行口座）

・当社従業員関連情報：41,905件※2（従業員番号・所属会社名・氏名・メールアドレス・銀行口座）

※1 取引先情報の対象となる国・地域：日本、中国、フィリピン、マレーシア、シンガポール、アメリカ、EU

ただし、顧客情報の対象となる国は中国、フィリピンのみとなります。

※2 当社従業員関連情報の対象となる国・地域：日本、中国、フィリピン、シンガポール、アメリカ、EU

4．再発防止策と今後の対応

当社グループでは、本件の発生を厳粛に受けとめ、再び同様の事態が発生しないよう、原因の究明を進め、外部委託先を含めたセキュリティ強化および情報管理の徹底を図ってまいります。

2FA(多要素認証)を使っていない？それはハッキングされることを求めていることを意味します。 / Not using 2FA? You’re asking to be hacked（転載）

Not using 2FA? You’re asking to be hacked:

ここ数年、サイバー犯罪の舞台裏では、膨大な量の個人情報が流出するデータ漏えい事件が急増しています。このようなデータがオンラインで入手できることで、脅威の主体は、フィッシング・キャンペーンから個人情報の窃盗まで、幅広い攻撃を行うことができます。

現在、最も一般的な認証形態は、ログイン認証（ユーザー名とパスワード）に基づいていますが、脆弱なパスワードの採用や、異なるWebサービス間でパスワードを再利用する悪習慣により、ユーザーは複数の攻撃にさらされています。

ただし、セキュリティを高めるためには、ご本人であることを証明するために複数の認証要素を必要とする認証プロセスを使用する必要があります。

多要素認証とは何ですか？

多要素認証方式では、以下の要素を使用することが可能です。

セキュリティトークンやスマートカードのように、あなたが持っているもの。
パスワードやPINコードのように、あなたが知っているもの。
あなたが持っているもの、例えば、あなたのバイオメトリック特性など。

多要素認証（2FA）とは、上記の2つの要素を組み合わせた認証方式です。2FAの例としては、ATMでの認証の際に、暗証番号（知っているもの）と支払いカード（持っているもの）の提示を求められることが挙げられます。

幸いなことに、一般的なオンラインサービスではすでに2FA認証が実装されていますが、ユーザーはそれを有効にする必要があります。

2FAを採用することで、上記の要因の1つが侵害された場合でも、リソースを保護することができます。パスワードを所持している攻撃者は、支払いカードなどの第2の要素を提供できなければ、アカウントにアクセスできません。

2FAの種類

ここで重要なのは、2FAの方法の中には、他の方法よりも安全性が高いものがあるということです。

例えば、SMSメッセージとパスワードに基づく2FA認証は、携帯電話上で動作する認証アプリで生成されたコードとパスワードを使用するスキームよりも安全性が低いと考えられています。

SMS メッセージは、被害者のデバイスにインストールされたマルウェアによって簡単に傍受されたり、被害者に対して SIM スワップ攻撃を行うことができる攻撃者によって入手されたりする可能性があります。2FA のタイプの選択は、効率性、使いやすさ、コストなど、複数の要素に影響されます。

Duo Security社が行った調査によると、政府機関の19%が、管理しているデータの機密性が高いことから、ハードウェア認証トークンを使用しているという。

2FAの代替案として、ユーザーのモバイル機器を利用する方法があります。このオプションは、ソリューション全体のコストを大幅に削減します。例えば、Google社によると、同社の認証機能を使用することで、自動化された攻撃から最大100％アカウントを保護することができます。

また、ユーザーに電話をかけて認証コードを伝えるソリューションもあります。このような理由から、この認証は音声ベースの2FAと呼ばれています。このソリューションは、クライアントがモバイルアプリケーションに対応していない古い電話機を使用している場合に提案されます。残念ながら、音声ベースの2FAで実現されるセキュリティレベルは非常に低い。

オンラインでは、バイオメトリック2FAやプッシュ通知を利用した2FAなど、他の2FA認証形式も利用できます。前者は、ユーザーの身体的な特徴を認証要素として使用するものです。指紋、静脈や網膜のパターン、顔認識などがある。後者は、ユーザーがシステムにアクセスしようとしたときに送られるプッシュ通知を利用します。この場合、ユーザーはモバイルデバイスから操作を承認する必要があります。

2FAの使用に関する悲しい統計

Duo Security社の研究者によると、2019年に最も一般的だった認証方法はモバイルプッシュ通知で、利用率は68％に達した。

残念ながら、民間企業内での多要素認証の利用率はまだ低く、LastPass社が行った調査によると、2019年の米国では多要素認証を利用している企業はわずか26％でした。民間企業はサイバー攻撃にさらされやすいため、このデータは不愉快なものです。

このような状況は、Twitter社の透明性報告書でも確認されています。

ソーシャルネットワークプラットフォームは、2020年下半期に、少なくとも1つの2FAメソッドを有効にしていたアクティブなTwitterアカウントは、わずか2.3%であったことを明らかにしました。良いニュースとしては、2020年7月から12月の間に、少なくとも1つの2FA方式を有効にしていたユーザー数が9.1％増加したことを観測したことです。

「一般的に、SMSベースの2FAは、SIMハイジャックやフィッシング攻撃の影響を受けやすいため、最も安全性が低いと言われています。認証アプリは、SIMハイジャックのリスクを回避することができますが、フィッシング攻撃を受ける可能性があります。セキュリティキーは、フィッシング攻撃に対する防御機能が組み込まれているため、最新かつ最も安全な2FAの形態です」とTwitter社は述べています。
Twitterユーザーの多くは、認証要素としてSMSで送られてくる認証コードを好んでいました。

これは、2FA を有効にしているアカウントの 79% 以上が選択している方法です。セキュリティキーに基づく最も安全な2FA方式を利用しているのは、わずか0.5%です。

「これらの数字は、2FAの普及を促進すると同時に、アカウントが2FAを使用する際の利便性を向上させる必要性があることを示しています。2FAの方法をよりシンプルで使いやすいものにすることで、Twitterでの導入を促進し、セキュリティを高めることができます」とTwitter社は述べています。

そうは言っても、2FA認証を実装しているサービスはすべて有効にすることをお勧めします。また、複数の選択肢がある場合には、ソフトウェアベースの2FA認証を利用することで、高いレベルのセキュリティを確保することができます。

ランサムウェアギャングが発表した被害者リスト（2021年８月版）

2021年8月は7社が被害にあっている模様。

レジストリエクスプローラーは、すべてのWindowsユーザーが必要とするレジストリ編集ツールです / Registry Explorer is the registry editor every Windows user needs（転載）

Registry Explorer is the registry editor every Windows user needs:

先日、新しいオープンソースのレジストリエディターがリリースされました。このエディターは、多数の高度な機能をサポートし、レジストリの編集をこれまで以上に簡単にすることで、Windows Regeditソフトウェアに恥じないものとなっています。

Windows レジストリは、オペレーティングシステムがシステム設定、ハードウェア設定、ユーザー設定を保存するために使用する、一元化された階層型データベースです。

Windows管理者やパワーユーザーであれば、バグの修正や設定の微調整のために、Windows内蔵のレジストリエディタ（regedit.exe）を使ってレジストリを変更したことがあるはずです。

しかし、Microsoft社は長年にわたりレジストリエディタを近代化するための変更をあまり行ってこなかったため、人々が求めるような便利な機能が多く欠けています。

Enter Registry Explorer

先日、Windows InternalsのエキスパートであるPavel Yosifovich氏は、レジストリエディタを近代化することを目的としたプログラム「Registry Explorer」をリリースしました。

Registry Explorer」は、GitHubのオープンソースプロジェクトとして公開されました。しかし、プログラムをコンパイルしたくない人のために、Yosifovich氏は、ダウンロードしてすぐに起動できるコンパイル済みのベータ版も公開しています。

Registry Explorerを起動すると、すべてのレジストリハイブが表示され、ユーザーは標準のWindowsレジストリエディタと同様に、これらを展開してサブキーや値を確認することができます。

しかし、このプログラムが優れているのは、付属のダークモード、キーや値を別の場所にコピー＆ペーストする機能、変更を取り消すボタン、そして高度な検索機能です。

Registry Explorerの検索機能はregeditよりもはるかに高度で、以下のように検索結果をすべて1つのダイアログボックスに表示することができます。そして、検索結果に目を通し、エントリをダブルクリックすることで、そのレジストリキーや値を自動的に開くことができます。

レジストリエクスプローラーは、「読み取り専用モード」で起動し、モードがオフになるまで変更を加えることができません。

レジストリエクスプローラーの機能一覧を以下に示します。

本物のレジストリを表示（標準のものだけではない）
任意の列でリストビューをソート
ハイブ、アクセスできないキー、リンクのキーアイコン
キーの詳細：最終書き込み時刻、キー/値の数
MUI および REG_EXPAND_SZ 拡張値の表示
完全な検索 (すべてを検索 / Ctrl+Shift+F)
バイナリ値用に強化された16進数エディタ
アンドゥ/リドゥ
キー/値のコピー/ペースト

さらに、Registry Explorer を気に入った場合は、Windows レジストリエディタを自動的に置き換え、.reg ファイルのデフォルトのファイルハンドラになるように設定することもできます。

Windows レジストリの編集、値の検索、設定の .reg ファイルへのエクスポートを頻繁に行っている場合は、Registry Explorer を試してみることを強くお勧めします。

Registry Explorerを試すには、プロジェクトのGitHubページにアクセスしてください。

ランサムオペレーターのMarketoは、富士通の情報盗取に成功したと主張 / [ALERT] Marketo gang has announced Fujitsu on the victim list.

[ALERT] Marketo gang has announced Fujitsu on the victim list.:

五輪期間中のサイバー攻撃の可能性（転載）

五輪期間中のサイバー攻撃の可能性

現在、コロナ禍の影響でテレワークを含め自宅で過ごす機会が増え、非常事態宣言下の東京オリンピック・パラリンピックが開催され、期間中はさらに多くの人たちがネットにアクセスすることになろう。

ほぼ無観客でのオリンピック開催であることから、オリンピック・パラリンピック観戦視聴媒体はテレビ、ラジオ、インターネット中継となる。ライブでの視聴に加え、試合の動画配信、再視聴などを勧誘するＵＲＬにも要注意だ。

また、オリンピック期間中、開催後は関連グッズのオンラインショッピングも見込まれる。くれぐれもネット上の被害に遭わないよう各個人で意識してほしい。

２０２１年７月２２日、オリンピック・パラリンピックのチケット購入者、ボランティアポータルを利用した人たちのログインＩＤとパスワードがインターネット上に流出したと、政府関係者が発表した。彼らのユーザー名とパスワードは、パソコンやスマートフォンへの不正アクセスによって盗まれた可能性が高く、個人情報を公開しているウェブサイトに掲載されていた。

これらが使用された場合、紐付けされている購入者やボランティアの氏名、住所をはじめ、登録銀行口座など、より多くの個人情報にアクセスできる可能性が高い。

最近は郵便物や宅急便の置き配サービスに便乗し、宅配不在連絡の偽ショートメッセージと共に、記載されているＵＲＬをクリックすると相手方にアカウント情報を抜き取るケースが多発している（この春は特に各通信企業の携帯電話の価格競争で、攻撃側がその事情に便乗して、宅配の不在連絡のメッセージを開けさせ、ＮＴＴドコモのアカウントを乗っ取り、ショッピング被害に繋がった事例は記憶に新しい）。

攻撃者に高額の買い物を許すことになり、貯めていたポイントも抜き取られてしまう。いったん（注文していないはずの）荷物が配達されてしまうと買い物が成立してしまい、返金は困難だ。

各企業もこの対応には慣れていないため、窓口でたらい回しにされ、余計な手数、時間がかかり、心理的な苦労を強いられ、諦めて泣き寝入りするケースが多い。

特に、モバイルユーザーを狙う傾向が強く、モバイル上でオンラインショッピングをしたことがある人は全員被害者になり得ると思ってほしい。攻撃者は最近のトレンドを調べており、例えば利用者が多いアマゾンでのショッピングの配送に伴う国際宅配業者（一度でも利用した業者であればＵＲＬをクリックしてしまう可能性が高い）、国内の宅急便業者、各航空会社を名乗り、ショートメッセージ、時にはメールで不在配信などを知らせて来る。利用者が多いＧｍａｉｌアカウントは特に狙われやすい。

今年の夏、旅行や帰省をせず自宅で過ごすことが多い中、あまりＩＴに詳しくない家族や身近の人たちに、こういった悪質なサイバー犯罪の被害に遭わないよう、また、彼らが被害に遭いそうにないか状況を尋ねるなどして気に掛けていただきたい。

今回の東京オリンピック・パラリンピックは、何が何でもやるという政府ならびに国際オリンピック委員会（ＩＯＣ）の思惑が動いているだけに、当イベントの中止や運営の邪魔をする動きに攻撃者が狙いを定めている。

そのため、ランサムウエア（身代金ウイルス）集団は、試合の放送を止め、再開するために多額の支払いを要求する可能性に目を付けているはずだ。つまりオリンピックのイベント自体を人質に取り、解決させるまでの時間に対するプレッシャーを与え、影響を受けたネットワーク事業者が、手動でオペレーションを復旧させるよりも、身代金要求に迅速に対応したいと思う心理を突いてくるであろう。

金を儲け、混乱を招き、知名度を上げ、敵の信用を落とし、イデオロギー的な目標の推進を目的とする名高い中露の国家的な攻撃者の絶好の出番だ。

不動産投資におけるリスク～事故物件化リスクに備える～

不動産投資には様々なリスクがあるが、不動産自体はある程度の歴史があるため、見方を変えれば、リスクパターンはある程度で尽くしているともいえる。

その主なリスクとは下記のとおりである。

空室リスク
家賃下落リスク
家賃滞納リスク
老朽化リスク
原状回復/修繕費に関するリスク
不良入居者リスク
金利上昇リスク
災害リスク
事故物件化リスク
訴訟リスク

自分は区分所有権でやっているが、空室リスク、家賃下落リスク、金利上昇リスク、災害リスクなどは購入前にヘッジしておくべき様な項目である。

空室リスクや家賃下落リスクは購入物件のエリアを気にする必要があり、基本的には人口が多い東京都内の駅近(徒歩１０分以内)とする必要がある

人口が増えているという観点では沖縄や大阪の一部があるが、投資環境や投資可能エリアが特殊だったりするので、触れない。

金利上昇リスクは、リスクとしてはあるものの、現時点特に手を打っておらず、事実上リスクを受容している状況となっている。

災害リスクについては火災保険や地震保険等の保険を付けてリスク移転を行う。

前置きが長くなったが、今回考えるのは事故物件化リスクについてである。

我が大日本帝国は年間自殺者数２万人以上、年間孤独死者数は３万人以上と言われている。

大日本帝国民が1億人だとして、単純計算で0.5%だが、それでも自分が所有する物件でその0.5%が発生したら正直パにくって何をしたらよいか分からなくなる。

ちなみにそんな0.5%が発生した時にことを聞くことができた。

とある1棟もののオーナーさんのある１室での出来事

（事件が発生した部屋の）隣の部屋に住んでいる入居者から大家に入電「隣の部屋から異臭がする」

　↓

大家から事件が発生した部屋の入居者に何度も連絡するがつながらない（ちなみに家賃滞納はなかった）

　↓

大家は事件性を感じ警察に安否確認依頼（異臭とのことで、警察と消防が迅速に立ち会い）

　↓

警察と消防立ち会いのもとドアを開けると強烈な腐敗臭。奥を覗くと、ロフトから吊られた首つり自殺を確認。

　↓

警察による現場検証（６時間以上は事件現場の部屋への立ち入りが制限される）

　↓

（現場は警察に任せるしかないので）大家は保険、保証、相続人、他の入居者対応を行う。

　↓

相続人確認の結果、「相続放棄」を選択されると、損害賠償先はなくなる（自殺は連帯保証人や相続人に原状回復費用と逸失利益について損害賠償請求ができる）

　↓

特殊清掃代やリフォーム代は大家が泣き寝入りすることに・・・。

では、この0.5％のリスクに対してどう対応するか。

方法としてはリスクファイナンスとなる。

今回教えてもらったのはアソシア保険の「大家の味方」という保険である。

他にもAIUやアーク家賃保証、東京海上日動も類似の保険を用意しているようだが、管理会社等で聞いてみると、紹介してくれるのではなかろうか？

ちなみに上記の保険は物件オーナーが入る保険だが、入居者が入る保険もある。

アマゾン創業者ジェフ・ベゾス氏の「後悔最小化フレームワーク」から学ぶべきこと（転載）～やるかやらないか悩んだら、とりあえずやってみることが重要～

アマゾン創業者ジェフ・ベゾス氏の「後悔最小化フレームワーク」から学ぶべきこと:

アマゾン創業者ジェフ・ベゾス氏が自ら設立したブルーオリジン社のロケットで、宇宙旅行に挑戦し無事に帰還しました。

アマゾンをゼロから立ち上げて、世界一の会社に育て上げたベゾス氏ですが、起業する前も投資銀行で上級副社長になるほどの成功を収めていました。そのポジションを敢えて捨てて、アマゾンを起業しようと決意したことは驚きです。

その際の意思決定には「後悔最小化フレームワーク（Regret Minimization Framework）」という考え方を使ったそうです。

自分が80歳になったと想像して「本当に後悔しないか」と問いかけることで、その後悔を最小化するという観点から、何をすべきか何をすべきではないかを決めるという方法です。

しかし、多くの人にとって、はるか先の未来から現在を俯瞰（ふかん）して判断をするというのは、理屈はわかったとしても、現実的には簡単ではありません。

そこで思い出したのが、大津秀一さんの「死ぬ時に後悔すること25」という古典的名著です。人生の終末を意識した人たちが何を後悔しているかをホスピスでの経験を基にまとめたものです。

それを見ると、「故郷に帰らなかったこと」「会いたい人に会っておかなかったこと」「自分の生きた証を残さなかったこと」「趣味に時間を割かなかったこと」「他人にやさしくなれなかったこと」というように「やったこと」よりも「やらなかったこと」の方が後悔の数が多いのです。

やって、後悔したこととして挙げられているのは「悪事に手を染めたこと」など、あまりありません。

つまり、「後悔最小化フレームワーク」の判断基準で重要なポイントは、やるかやらないか悩んだら、とりあえずやってみることです。もし、やって失敗したとしても、後悔のない方法であれば納得できるはずです。ただし、悪事には手を染めてはいけません。

私も人生の経験上、多くの事はやって後悔するよりやらないで後悔することの方が多いと感じます。

確かに、このやり方は多くの失敗も生み出しますが、良いと思ってやったことは、例え結果がどうであれ納得でき、後悔しない意思決定になるのだと思います。

ワクチン打って100万円！？簡単作業で一発逆転のキャンペーン（転載）

【ONE】ワクチン打って100万円！？簡単作業で一発逆転のキャンペーン:

オリンピック開催が盛り上がる中容赦無く侵攻を止めないウイルス。

頼りとなるのは“ワクチン接種”の一択しかない小さな希望の日本で困窮世帯を救えるであろう兆しが。

現在、レシート買取でもお馴染みのアプリ“ONE”では、“ワクチン”接種後に発行できる“接種証明書”をアップロードするだけで、何と“100万円”が当たるかも知れない大規模キャンペーンを開催中です。

ONE

本キャンペーンは”7月21日”から“9月30日”までとなり、その間に“ワクチン接種証明書”を撮影してアップロードすれば参加可能です。

当選内容の詳細は以下の通りです。

1名：100万円
200名：1万円

“証明書”には個人情報も記載しているため、キャンペーン終了後はデータをすべて消去するとのこと。

さらにキャンペーンの対象となる“証明書”は自治体が発行するものに限られていますが、職域接種で利用する“接種記録書”も対応予定。

また、キャンペーンは”9月30日”で一旦終了とはなりますが、継続して”2022年3月”まで“合計3回”を開催する予定とのことですので若い世代に順番が回ってきた際も参加できる可能性は高いでしょう。

巷では”ワクチン”による二次被害や将来的な副作用も噂されており“敢えて打たない選択肢”もある中やはり唯一の希望に変わりは無し。

打楽器専門ECサイトでカード情報漏えい　最大1667件（転載）～想定賠償損害額は4,300万円程度か？～

【限定記事】コマキ楽器WEBサイトからのカード情報漏えい:

打楽器専門ECサイトでカード情報漏えい　最大1667件、セキュリティコードも流出　悪用の可能性

【重要】個人情報漏えいに関するお詫びとお知らせ

2021年8月23日

お客様各位

株式会社コマキ楽器

弊社が運営する「コマキ楽器WEBサイト」への不正アクセスによる

個人情報漏えいに関するお詫びとお知らせ

このたび、弊社が運営する「コマキ楽器WEBサイト」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報1,667件が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

記

1.経緯

2021年2月19日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2021年2月19日弊社が運営する「コマキ楽器　WEBサイト」でのクレジットカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2021年5月31日、調査機関による調査が完了し、2019年11月27日～2021年2月19日の期間に　「コマキ楽器 WEBサイト」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

　弊社が運営する「コマキ楽器　WEBサイト」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2019年11月27日～2021年2月19日の期間中に「コマキ楽器WEBサイト」においてクレジットカード決済をされたお客様1513名で、漏洩した可能性のある情報は以下のとおりです。

クレジットカード名義人名
クレジットカード番号
有効期限
セキュリティコード

上記に該当する1,513名のお客様については、別途、電子メールにて　個別にご連絡申し上げます。

3.お客様へのお願い

　既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

　なお、お客様がクレジットカードの差し替えをご希望される場合、クレジットカード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2021年2月19日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、決済代行会社と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受け、発表は調査会社の調査結果、およびクレジットカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、「コマキ楽器　WEBサイト」で使用していたサーバー、システムは全て破棄いたしました。今後は調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「コマキ楽器　WEBサイト」におけるクレジットカード決済の再開日につきましては、決定次第、改めてWEBサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2021年6月24日に報告済みであり、また、所轄蔵前警察署にも2021年6月24日被害申告しており、今後捜査にも全面的に協力してまいります。

POLY Networkの”太陽的(融和的)"解決策 / Hacker gets 500K reward for returning stolen cryptocurrency（転載）～こういう対応は日本企業じゃ無理だろうなぁ～

Hacker gets 500K reward for returning stolen cryptocurrency
POLY Networkの「太陽」手法

Poly Networkが2週間前に失った6億1,000万ドル以上の暗号通貨資産を取り戻し、ハッカーが資金返還のために50万ドルの懸賞金を受け取ったことで、分散型金融の世界で最大のハッキングと呼ばれてきた武勇伝は終わったように見えます。

本日、Mr.White Hatと呼ばれるハッカーは、Poly Networkに対し、ウォレット内の盗まれたデジタル資産の最後のトランシェ（約1億4100万ドル相当）へのアクセスを許可しました。

Poly Networkは現在、すべてのサービスを再開する前に、被ったセキュリティ侵害から立ち直るための2番目の最終段階である「資産回収」作業に移行しています。

この事件は2021年8月10日に発生したもので、何者かが自分のウォレットにBinance Chain、Ethereum（ETH）、そして分散型クロスチェーンプロトコルおよびネットワークであるPolygon NetworkのPolygonの資産を移しました。

イーサリアムトークン：～2億7300万ドル
Binanceスマートチェーン：～2億5300万ドル
ポリゴンネットワーク（USDC）：～8500万ドル

このニュースは瞬く間にブロックチェーン上に広まり、攻撃者が使用した3つのウォレットアドレスはPolyNetwork Exploiterと表示され、取引所に資産が盗まれたことを知らせ、いかなる取引も処理しないようになっていました。

同日、Poly Networkはハッカーにハッキングされた資産の返還を促し、解決のために話し合う意思があると述べました。

このメッセージがハッカーの決断に影響を与えたのか、あるいはブロックチェーンセキュリティ企業のSlowMist社が攻撃者の電子メールアドレスやIPアドレス、デバイスの指紋を追跡したと主張したのかは不明ですが、Mr.White Hatはまさにその翌日に、盗んだ資産をすべて返還すると発表しました。

Mr.White Hatは、約2億6000万ドル相当のデジタル資産を持ってスタートしましたが、3/4マルチシグネチャウォレットの秘密鍵をPoly Network社に引き渡し、戦利品の最後の部分である約1億4100万ドル相当の28,953ETHと1,032ラッピングビットコイン（WBTC）を放出しました。

Poly Network社の「お礼」は、約50万ドル（160ETH）と、Mr.White Hatを同社のチーフ・セキュリティ・アドバイザーに「招待」するという形で行われました。同社はまた、ハッカーに法的責任を負わせるつもりはないと述べました。

Poly Networkはその約束を守り、2021年8月19日に160ETHをハッカーが公開したウォレットのアドレスに送金しました。

しかし、Mr.White Hatから仕事の依頼についての返事は来なかった。また、バグバウンティに関する返事もありませんでした。

Poly Network社は、8月14日より、攻撃を受けてからの進捗状況を、パブリッシングプラットフォーム「Medium」上の一連のアップデートで記録し始めました[1, 2, 3, 4, 5, 6]。同社は、資産の完全な復元プロセスを開始したことを発表しました。

Poly Network社は、約2週間で5億米ドル以上を失った状態から、史上最大の暗号通貨強盗の被害者となっただけでなく、すべての資産を回収したことで、世界的に有名になりました。

さらに、同社は過去を水に流し、ハッカーに対して法的措置を取らず、トップセキュリティの仕事と50万ドルを提供することを決めました。

この報酬は、盗まれた資産の価値と比べると小さく見えるかもしれませんが、ハッカーが戦利品から一銭も使うことができなかったかもしれないことを考えると、多額の賞金となります。

マイクソの設定ミスにより3800万件の記録が流出 / 38 Million Records Exposed Due to Microsoft Misconfiguration（転載）～クラウド利用時にこういうリスクも覚悟しなければならない～

38 Million Records Exposed Due to Microsoft Misconfiguration:

専門家によると、マイクロソフト社（マイクソ）のポータルプラットフォーム「Power Apps」を使用した1000以上のウェブアプリから約3800万件の記録がオンラインでアクセス可能な状態で放置されていたとのことです。武漢ウイルス（COVID-19）の連絡先追跡業務、ワクチン登録、従業員データベースなどのデータ（自宅の住所、電話番号、社会保障番号、ワクチン接種状況など）が記録に含まれていたと考えられます。

今回の事件では、アメリカン航空、フォード、J.B.ハント、メリーランド州保健局、ニューヨーク市都市交通局、ニューヨーク市公立学校など、大手企業・団体が影響を受けました。これらのデータ流出事件はすでに修正されていますが、広く使われているプラットフォームでのたった一つの誤った構成設定が、いかに広範囲に影響を及ぼすかを示しています。

ユーザーはPower Appsのサービスを利用して、独自のウェブアプリやモバイルアプリを簡単に作成することができます。Power Appsは、収集したデータを使用するためのアプリケーション・プログラミング・インターフェース（API）を開発者に提供します。しかし、セキュリティ企業のUpguard社は、これらのAPIにアクセスすると、Power Appsポータルで受信したデータがデフォルトで公開され、情報を非公開にするためには手動で再設定する必要があることを発見しました。

Upguard社は、2021年5月にこの問題の調査を開始し、秘密にされていた複数のPower Appsポータルのデータが、誰にでもアクセス可能であることを発見しました。Upguard社によると、2021年6月24日にMicrosoft Security Resource Centerに脆弱性レポートを提供し、その中には機密データが公開されているPower Appsポータルアカウントへのリンクや、匿名でのデータアクセスを可能にするAPIを発見する方法が含まれていました。

「しかし、機密情報を公開しているアカウントの数を見ると、この機能のリスク、つまり設定ミスの可能性と影響が十分に認識されていないことがわかります。「複数の政府機関が、アプリのセキュリティレビューを行ったが、この問題を発見できなかったと報告しています。これは、データセキュリティ上の懸念事項として十分に公表されたことがなかったためと思われます。

マイクソの担当者は、同社が影響を受けたユーザーと直接協力して、データが非公開であることを保証し、データが公開された場合には消費者に通知したと述べ、同製品のセキュリティを擁護しました。マイクソの広報担当者は声明の中で、「当社の製品は、顧客に柔軟性とプライバシー機能を提供し、多様なニーズを満たす拡張可能なソリューションを設計することができます」と述べています。

BloggerにはページのURLが2つある問題（?m=1問題）の解消方法

Bloggerを使っているのだが、モバイル表示時の　?m=1　というやつが気に入らない。

モバイル表示にするかどうかを数文字で変更できるという点では便利ですが、反面、バズりの数がスマホとPCで分散されてしまうという致命的な欠点があります。

日本語サイトで解消策をあたってみたものの、いい方法が見つからず、英語サイトで解消策を見つけたのでメモ。

出典：How to remove ? m=1 or ?m=0 from blogger post URL

ブロガーの皆さんがよく検索する言葉に「ブロガーの記事のURLから?m=1または?m=0にする方法」があります。シンプル・イズ・ビューティ」という言葉があるように、パーマリンクをきれいにしたいと思うことがあります。そこで今回は、ブロガーのURLから「?m=1」を取り除き、シンプルでプロフェッショナルなURLにする方法をご紹介します。

ステップ1：まず、ブロガーのダッシュボードにログインし、ブログを選択します。

Step 2 : Theme（テーマ）をクリックします。

Step 3 : customise（カスタマイズ）をクリックします。

Step 4 : Edit HTML（HTMLを編集）をクリックします。

Step 5 : キーボードから(CTRL + F)を押し、「/head」と入力して検索します。(よくわからない場合は、以下の写真をご覧ください。)

Step 6 : </head>タグのすぐ上に以下のコードを貼り付けます。

【貼り付けるコード】

➤ Code : mycode.js;

<script type='text/javascript' >
    //<![CDATA[
var uri = window.location.toString();
if (uri.indexOf("%3D","%3D") > 0) {
var clean_uri = uri.substring(0, uri.indexOf("%3D"));
window.history.replaceState({}, document.title, clean_uri);
}
var uri = window.location.toString();
if (uri.indexOf("%3D%3D","%3D%3D") > 0) {
var clean_uri = uri.substring(0, uri.indexOf("%3D%3D"));
window.history.replaceState({}, document.title, clean_uri);
}
var uri = window.location.toString();
if (uri.indexOf("&m=1","&m=1") > 0) {
var clean_uri = uri.substring(0, uri.indexOf("&m=1"));
window.history.replaceState({}, document.title, clean_uri);
}
var uri = window.location.toString();
if (uri.indexOf("?m=1","?m=1") > 0) {
var clean_uri = uri.substring(0, uri.indexOf("?m=1"));
window.history.replaceState({}, document.title, clean_uri);
}
//]]>
</script>

ステップ7 : 最後にSave（保存）アイコンをクリックして、設定とコードを保存します。