続き→marshmallow-qa.com/messages/aaa64…
.onionアドレスからIPが露呈するケース。
1.onionサイト内のJavaScriptにうっかり記載して漏洩する可能性
2.フォーラムのヘッダから漏えいする可能性
3.サイトのソースコードから漏えいの可能性
4.その他サーバの設定ミスに起因して漏洩する可能性
Apacheの設定ミスで/server-statusにアクセスするとIPアドレスが見えるだとか、ポート開けっぱにしていてshodanやcensysにスキャンされてひっかかるなど、、、
[TOP 10]
1. USA
2. Canada
3. France
4. UK
5. Germany
6. Italy
7. Australia
8. Spain
9. Brazil
10. Japan
いろいろと信ぴょう性が疑わしい「都道府県魅力度ランキング」
その最新版である「都道府県魅力度ランキング2021」が10月9日、発表された。前年まで12年連続1位と圧倒的な強さを誇る北海道は、トップを守りきれるのだろうか。また、前年は7年連続最下位から脱出した茨城県。果たして今年の順位は……。
信ぴょう性が疑わしい本調査を行ったのは、ブランド総合研究所。このランキングは、47都道府県と国内1000の市区町村を対象に、全国の消費者3万5489人から有効回答を得て集計したものである。2006年から毎年実施しており、今年が16回目となる(都道府県の調査は2009年から13回目)。
2021年の都道府県魅力度ランキング1位になったのは北海道(73.4点)。2位が京都府(56.4点)、3位に沖縄県(54.4点)、4位は東京都(47.5点)とここまでは前年と順位は変わっていない。
2009年以来、13年連続の1位となった北海道。魅力度の点数は73.4点で、前年の60.8点から12.6点も伸び、2位以下との差をさらに広げている。北海道を「とても魅力的」と答えた人は57.6%で、前年の40.9%より大幅に増えた。
2位の京都府は、13年連続で2位を獲得。点数は前年の49.9点から56.4点へ上昇した。「とても魅力的」との回答が36.1%と前年の29.4%より増加している。また、大阪府は前年より10点以上上昇しての42.0点で5位に。点数、順位ともに過去最高となった。
点数の伸びでは、北海道の次に大きかったのが、4位の東京都だ。ブランド総合研究所の社長は「本調査直後に開始となった東京オリンピック・パラリンピックの影響の可能性が大きい」と話す。
次に点数の伸びが大かったのは千葉県で、順位も前年の21位から12位へと急上昇した。「とても魅力的」の回答が11.0%で前年の3.9%のおよそ3倍増となっている。特に20代では24.6%と多く、前年の6.3%のおよそ4倍に増えたのが特徴的だ。
長崎県も前年の11位から8位へと上昇し、すべての年代で評価が高まっている。また、同じ九州地方の宮崎県は前年の22位から17位へとランクアップ。「とても魅力的」が9.4%で前年の4.4%から2倍以上に増えている。特に九州や中四国地方の居住者からの評価が目立っている。
一方、下位に目を移すと、前年最下位の栃木県は41位(16.2点)となり、最下位から抜け出した。そしてワースト3位は、45位埼玉県(14.4点)、46位佐賀県(12.8点)、47位茨城県(11.6点)となり、茨城県は1年で最下位へと立ち戻る結果となった。
1年で最下位に戻すあたり、ネタにしか思えないが、茨城県知事はご立腹の模様。
更に44位の群馬県知事はずさんな評価手法と指摘。
前年の42位から再び最下位に転落してしまった茨城県については、「前年の調査では、前前年に行われた茨城国体で史上初めてとなるeスポーツを取り入れた。また、茨城県公式バーチャルYouTuberの茨ひよりが活躍するなど、『デジタル県』としてのイメージが高まったことで、20代など若い世代からの評価が急上昇し、大幅な順位上昇につながったといえる。ところが、今年は、コロナ禍の影響でオンライン化が全国に広がったことにより、こうした茨城県の強さが薄まってしまったのではないだろうか」と分析。
ジャンル的には、働き方、キャリアデザイン、ワークライフマネジメントといったところだろうか?
急に話が飛ぶが、最近拙者は仕事のモチベーションが上がらない。
何故なのかが何となくわかるものの、うまく言葉や文字に表現できていなかった。
それが、今回のセミナーでだいぶ具体化することができた。
セミナー自体はクローズドなものであるため、資料は出せないのだが、類似の情報を調べてみると、初めて知ったつもりのモチベーションの考え方は結構前から存在していた。
それが下の絵。
ようは、「①やるべきこと」「②やりたいこと」「客観的に見て望ましいと思われること≒③できること」の3つの理想が重なり合う部分が『モチベーション ハッピーセット』となり、理想を実現するためのやる気がアップする(=モチベーションがアップする)
逆にここが絡み合っていないとモチベーションは上がらない状態ということになる。
ちなみに「モチベーション」とは何か?
「大辞林第二版」(三省堂)によれば、心理学用語で「Motivation=動機付け=生活体を行動へ駆り立て、目標へ向かわせるような内的過程。行動の原因となる生活体内部の動因と、その目標となる外部の誘因がもととなる」とある。
生活体内部の動因とは、ベースとなる気力・体力の充実度合いや、行動そのものが楽しいかどうか、その行動を起こすことによるメリットをどれほど強く感じているか、などが考えられる。
一方、外部の誘因とは、人事評価制度や社会通念、周囲からのプレッシャーなどに由来する、目標そのものの魅力や、逆に目標が達成できなかったときのデメリットなどが考えられる。
モチベーションにはさまざまな要素が絡み、基本的には、心から楽しいと思える「やりたいこと」に関しては誰でも積極的に取り組める。ゲームに熱中したり、面白い映画を見たり、好きな子とデートしたり、スポーツに興じたりといったときには、食事も忘れるほど没頭することもある。
また、お金が儲かる、社会的にステータスが高い、周囲の期待が高いなど「望ましいこと≒できること」も、モチベーションアップにつながる重要な要素。奥さんと子供が応援してくれるから頑張れる、周りの人がチヤホヤしてくれて気持ちが良い、といった類のもの。
このように、「やりたいこと」や「望ましいこと≒できること」をやるときに発揮できる高い集中力と持続力、そしてそれを支える強いモチベーションを、仕事や勉強など「やるべきこと」に対して発揮できれば、モチベーションも上がり、パフォーマンスも上がるということになる。
で、冒頭の話に戻るが、拙者場合、「やるべきこと」「やりたいこと」「できること」が重なり合わずにバラバラに離れてしまっているのがモチベーションが上がらない原因となる。
3つ重ならずとも、2つは重ね合わせないとまずいな、と思う今日この頃。
サイバークライム。インターネット等のサイバー空間での詐欺、脅迫、ハッキング等の犯罪は、近年増え続けてきており、コロナ禍の中で更に飛躍的に増えて、その額は年間で6兆ドル、日本円で約660兆円になった模様です。その額たるやGDPで比較すると、アメリカ、中国に次ぐ規模で、日本のGDPよりも大きい状況です。いやはやなんとも。驚きです。数字というのは分かりやすい概念で、どんなにサイバークライムが増えたと云われても、日本のGDPよりも大きく、中国に次ぐ経済圏だと説明されると、その実感が違います。もちろんこの数字は推計で、本当のところは分からず、恐らくインフレ(水増し)されているのですが、それでも驚きです。
日本はデジタル庁とかやっと始まったばかりですが、サイバー領域は軍事領域としても、恐らく陸海空に次いで宇宙と並ぶ、或いはそれ以上に重要な領域なので、日本はもっともっとこの領域に注意を払うべきだと思います。日本の海洋資産は膨大で、これは宝の持ち腐れ。サイバー領域は、元来得意そうなのですが、ここも投資というか注意が少なすぎ。情けないですね~。
ベルゴロド・ドニエスター分遣隊の軍人は、日本人がモルドバに密かに情報を持ち込もうとしていたことを発見しました。
バスの乗客である日本国籍の男性は、「パランカ」という検問所を通過していました。
税関職員との合同検査で、所持品からスパイ機器が発見されました。隠しカメラとマイクロUSBコネクタが付いたメガネ2個、ペン2本、腕時計です。
この事実は所轄官庁に報告されています。この「スパイ」は国境を越えることができず、技術装置は定められた手順に従って没収されました。
意外に知らないセキュリティ用語が増えていたので、ちょっと整理を試みる。
ブロックチェーン(分散型台帳)技術を使い「唯一無二の本物」と証明可能にしたデジタル資産のこと。非代替性トークンとも呼ばれる。デジタルで作成した音楽や絵画などのデータは一般にコピー可能だが、NFTにひも付けることで所有者の情報を明示できる。イーサリアム、ビットコインキャッシュ、Flowなどの一般的なブロックチェーンは、それぞれ独自のトークン規格を持ち、NFTの仕様を定義している。
2.Portmap
Unix系システムで動作するデーモン。2020年第4四半期のDDoS攻撃においてもっとも用いられたプロトコル
3.SSDP(Simple Service Discovery Protocol)
ネットワーク上の機器を自動的に発見し接続するUPnP(Universal Plug and Play)に用いられる、UDP サービスの一種である。DDoS攻撃にも用いられる。
4.IAM(Identity & Access Management)
アカウント管理・認証の統合基盤で利用者の本人認証を行う、ゼロトラストの構成要素の一つ。あらゆるシステムの認証機能を統合的に行うことで、不正アクセスに対する対処が行いやすくなります。例えば、同じ時間帯に遠く離れた場所から同一ユーザーでログインが行われた場合には警告もしくはアカウントを凍結するなど、リスクベース認証が可能になります。
※マイクソ(Microsoft)のプロダクトでいうと、Azure Active Directory
ユーザーとアプリケーションの間に入って通信を仲介するプロキシ。オンプレミスに「コネクター」と呼ぶサーバーを設置すると、コネクターとIAPが連携して、オンプレミスにあるアプリケーションがインターネット経由で利用可能になる。通信はIAPが暗号化するため、インターネット経由でも安全にアプリケーションを利用できる。セキュリティー強化と同時に、脱VPN(仮想私設網)も図れる技術。
「アイデンティティー認識型」と呼ばれるのは、ユーザーがアプリケーションにアクセスするたびに、アイデンティティー&アクセス管理(IAM)と連携して認可をやり直すためだ。不正アクセスが疑われる場合は多要素認証などもやり直す。
※マイクソのプロダクトでいうと、Azure AD Application Proxy
6.SASE(Secure Access Service Edge)
IT環境におけるセキュリティ機能とネットワーク機能を1つのクラウドサービスに統合させるという、新たなセキュリティフレームワークの考え方。
トランスポート層では従来、高速だが信頼性の低いUDP(User Datagram Protocol)、信頼性が高いが接続確立時の遅延などが大きいTCP(Transmission Control Protocol)のいずれかが用いられ、Webなどの用途ではTCPに重ねて暗号化のためにTLS/SSLが利用されてきた。
QUICではUDPをベースに高速伝送を実現する一方、TCPの輻輳制御や再送制御の要素を取り込んで信頼性を高め、TLS相当の暗号化メカニズムを組み込み安全性も担保している。主にWeb通信の高速化を主眼に開発され、現在Web上で主流となっているTCP+TLSの組み合わせを置き換え、HTTP/2と合わせて高速で安全な通信を実現することを目指している。
・ActiveDirectoryと通信できるようにする必要がある
・二要素認証が利用できない
9.LOTL(Living on the Land)攻撃(環境寄生型攻撃/自給自足型攻撃)
標的型攻撃において、侵入後の痕跡が見つかりにくくなるよう、一旦侵入した後に標的ユーザーのコンピュータにあるツール(WMI、Powershell, VBScript)を利用する手法
概要
シームレスモードのWin-KeXは、Windowsデスクトップの画面上部にKali Linuxパネルを起動します。
このパネルから起動したアプリケーションは、Microsoft Windowsアプリケーションとデスクトップを共有します。
シームレスモードでは、LinuxアプリケーションとWindowsアプリケーションの間の視覚的な分離がなくなり、Kali Linuxでペネトレーションテストを実行し、その結果をそのままWindowsアプリケーションにコピーして最終報告を行うための素晴らしいプラットフォームを提供します。
Win-KeXは、VcXsrv Windows X Serverを利用して、シームレスなデスクトップ統合を実現しています。
スタート
シームレスモードのWin-KeXを一般ユーザーで起動するには、kex --slを実行します。
Win-KeX SLを初めて起動する際には、Windows Defenderのファイアウォールを経由したトラフィックを許可するための認証を求められます。必ず「パブリックネットワーク」を選択してください。
これにより、Win-KeXがシームレスモードで起動します。
画面の上部にKaliパネル、下部にWindowsのスタートメニューが配置されています。
ヒント: Kali パネルは、最大化されたウィンドウのタイトルバーを覆ってしまうことがあります。邪魔にならないようにするには、パネルの環境設定で「自動的に隠す」に設定するとよいでしょう。
サウンド対応
kex --win -sWindows Defenderのファイアウォールを通したトラフィックを許可するための認証を求められたら"パブリックネットワーク"を選択します。
マルチスクリーン対応
Win-KeXは、マルチスクリーンに対応しています。
「パネルの環境設定」を開き、パネルの長さを短くし、「パネルのロック」のチェックを外し、パネルを任意の画面に移動させます。
停止
kex --sl --stop と入力します。
ノーベル物理学賞を受賞される米国プリンストン大上級研究員の真鍋淑郎さん。なんと御年90歳ですが、とても快活にスピーチされている姿を見て感動しました。受賞の知らせを受けた英語でのスピーチで、キュリオシティ(curiosity=好奇心)が大切だと説かれていました。好奇心。これは私(=マネックスの松本大さん)が社会人になり、外資系証券に勤めてから知った、とても大切な概念です。
ジョン・メリウェザー氏は私が最初に就職した会社、ソロモン・ブラザーズの黄金期を築いた人で、今では仲良く友人のように付き合わせてもらっていますが、元来はキャピタル・マーケットの殿上人、超スーパー・スターで、畏れ多い人でありました。このジョン・メリウェザー氏、仲間内ではJMと呼ぶことが多いのですが、JMはとにかく色んなことを知っていて、極東のオフィスで起きた小さな出来事まで知っていて、そして森羅万象全てに情報網を張っているようで、本当にその中身がスーパー・マンだと思いました。
そんなJMのことを、私の先輩は、「JMが他人と違うのは、そのキュリオシティの高さと量なんだよ」と云いました。そうか!好奇心って人を前進させる、大きくさせるのに、とっても大切なことなんだ。と、その時感じたことを今でも強く覚えています。真鍋先生もそう仰った。私は元々好奇心旺盛な人間でしたが、その時から好奇心を伸ばすことには一切制限を付けずに、せっせせっせと好奇心を更に拡げて、そして強く持つように努めてきたのでした。真鍋先生は強調されて、「きゅりおぉーしてぃ」みたいな感じに仰ってましたが、これからもキュリオシティを大切にしていきたいと思います!
マリオットのポイント購入セールが開始。
マリオットは増量セールと割引セールがあり、今回は増量セールで、55%のボーナス。
過去のセールでの最高増量率は60%だが、今回のセールは増量率としては高い部類に入ると思う。
今回1万ポイント分調達するとした際の費用感は下記となる。
日本円に換算すると↓の感じ
前回は10,500ポイント購入で87.5USDだったのに対し、今回は10,850ポイント購入で同額の87.5USDなので、微妙に得と言えば得かも。。。
ただ、現時点、武漢ウイルス蔓延の影響が継続しており、マイル消化の目途が立たないことから、ポイント失効防止の観点で、下限で買う感じになりそう。。。
尚、TopCashback経由で購入すると若干のキャッシュバックが受けられます(キャッシュバックはpaypalでの受け取りだけど。)
1.現在のバージョン確認
【コマンド】
lsb_release -a
【実行例】
kali@kali:~$ lsb_release -a
Release: 2021.2
┌──(kali㉿kali)-[~]
└─$ grep VERSION /etc/os-release
VERSION="2021.2"
VERSION_ID="2021.2"
VERSION_CODENAME="kali-rolling"
2./etc/apt/sources.list が正しく入力されていることを確認。
https://www.kali.org/docs/general-use/updating-kali/
【コマンド】
echo "deb http://http.kali.org/kali kali-rolling main non-free contrib" | sudo tee /etc/apt/sources.list
【実行例】
┌──(kali㉿kali)-[~] └─$ echo "deb http://http.kali.org/kali kali-rolling main non-free contrib" | sudo tee /etc/apt/sources.list
3.アップグレード実施
【コマンド】
sudo apt update
sudo apt full-upgrade -y
【実行例】
kali@kali:~$ sudo apt update
kali@kali:~$
kali@kali:~$ sudo apt full-upgrade -y
kali@kali:~$
3.5.OS再起動実施
【コマンド】
[ -f /var/run/reboot-required ] && sudo reboot -f
【実行例】
┌──(kali㉿kali)-[~]
└─$ [ -f /var/run/reboot-required ] && sudo reboot -f
4.アップグレード後のバージョン確認
【コマンド】
lsb_release -a
【実行例】
kali@kali:~$ lsb_release -a
Release: 2021.3
┌──(kali㉿kali)-[~]
└─$ grep VERSION /etc/os-release
VERSION="2021.3"
VERSION_ID="2021.3"
VERSION_CODENAME="kali-rolling"
┌──(kali㉿kali)-[~]
└─$ uname -v
#1 SMP Debian 5.10.46-4kali1 (2021-08-09)
┌──(kali㉿kali)-[~]
└─$ uname -r
5.10.0-kali9-amd64
金融庁は、システムトラブルを繰り返す「大手メガバンク」に業務改善命令を出し、システムを実質管理するそうです。これは、今まで発生した障害に対して、抜本的な対策が取られておらず、金融機関任せでは今後も同様の事態が発生する懸念が払しょくできないと当局が判断したことを意味します。
金融システムの安定は、資産運用の中でも特に不動産取引において極めて重要です。
今月また東京23区の不動産を購入することにし、追加で1億円近い借り入れをすることにしました。
実は、日本の不動産の売買は、いまだに極めてアナログな方法で行っています。
通常は購入する物件に前の所有者の抵当権が設定されており、当日その抵当権を解除します。その上で、買い手の新たな抵当権を銀行が設定し、融資を実行するという流れになっています。
しかし、抵当権を解除して借りていた銀行に返済をしてもらい、その後抵当権を設定してから購入代金を支払うと言う流れでは、売り手への支払いができません。
そこで、関係者が金融機関の応接室などに一堂に会し、まず司法書士がすべての書類をチェックし問題ないことを確認する。終わったら登記に持ち込む前に融資をして、司法書士がすべての登記を同日で行うようにしているのです。
その際に、書類が足りなかったり、押印が漏れていたり、1つでもエラーが発生すると、取引全体が滞ってしまいます。毎回、極めて神経質なやりとりになります。
このような不動産取引に際し、もし決済日当日に銀行のシステムエラー等が発生すれば、決済が遅れてしまい登記手続きができなくなるリスクが出てきます。
決済の手続きは平日の午前中に始めることが多いのですが、支障が出れば、午後まで全員が足止めになったり、最悪決済が中止になる事態まで想定されます。
システムリスクのある金融機関を不動産決済に使うのは、最悪の事態を想定すると、私には怖くてできません。今回も安心して使えるりそな銀行さんでお願いしています。
システムトラブルを繰り返している銀行は、そのうち不動産会社から取引に使わないように要請されるかもしれません。
何でもハラスメントにしてしまう日本社会ですが、最近聞いた言葉に「ワクハラ」というのがあります。
新型コロナ(武漢ウイルス)ワクチンを接種したかどうかを聞く事は「ワクチンハラスメント」になるそうです。接種が終わった人が、接種をしていない人に「えー、ワクチン打ってないんだ。どうして?」などと突っ込みを入れるのは避けるべきだとアドバイスされました。
ワクチンを打つのも打たないのも個人の自由です。問題は、打たないことが自分だけの問題ではなく、感染や重症化によって周囲にも影響することです。
海外ではワクチン接種を事実上義務化するような動きが進んでいます。
例えば、イタリアは、すべての労働者に対し、ワクチンを接種したことやウイルス検査での陰性を証明する「グリーンパス」の提示を義務付けることを発表しました。
また、ニューヨーク市では、先週から12歳以上の屋内の飲食店、スポーツジム、映画館、劇場、美術館などの利用客に、ワクチン接種の証明書の提示を求めることが義務づけられ、違反した場合、最大5000ドルの罰金が科せられるそうです。
海外ではこのようにワクチン接種証明が無いと日常生活に支障が出るような流れが広がっています。
もし、日本でこれをやろうとしたらどうなるでしょうか?ワクハラとして、一部の人たちから激しい反発がありそうです。
ワクチン接種の自由や個人の選択の自由という人権に配慮。その一方で、感染拡大防止策は、緊急事態宣言をダラダラと延長して、自粛を呼びかけるだけ。
その結果、経済活動の再開が遅れ、経済的に追い詰められたり、精神的に鬱状態になって自ら命を絶つ人が増えていく。
そんな状態に耐え切れず、東京では、緊急事態宣言下にも関わらず、経営者の判断で飲食店がアルコール提供を再開するケースも増えています。真面目にルールを守る正直者が馬鹿を見る不公平感な状態が広がっています。
Kali Linuxの最新版である2021.3(quarter #3)をリリースし、ダウンロードやアップデートが可能になりました。
6月にリリースした2021.2からの変更点の概要は以下の通りです。
新しいランサムウェアギャングであるSpookは、ダークウェブ上にリークサイトを開設しました。被害者リストには11社の社名が掲載されており、日本企業も被害にあっている模様。
多国籍企業であるJVCケンウッドは、ヨーロッパの一部の事業に影響を及ぼすセキュリティ事件が発生したことを認めました。同社はまた、このサイバー攻撃で機密情報が流出した可能性があることも認めています。しかし、現在のところ、顧客のデータが流出した形跡はありません。複数のセキュリティ専門家は、このセキュリティ事件の背後に「Conti Ransomware」グループが存在すると考えています。
日本に拠点を置くJVCケンウッドは、JVC、ケンウッド、ビクターのブランドで知られ、自動車や医療機関に機器を提供しています。
JVCケンウッドは、「2021年9月22日に、JVCケンウッドグループの欧州の販売会社の一部が運用するサーバーへの不正アクセスを検知しました。不正アクセスを行った第三者による情報漏洩の可能性があることが判明しました」と公式発表している。
JVCケンウッドは、この事件の詳細を調査していますが、複数の報道によると、Contiランサムウェアの攻撃者が重要なネットワークを侵害し、1.7TB以上のデータを盗み出したとのことです。攻撃者は、重要なファイルを解読するために、700万ドルの身代金を要求したと報じられています。
Contiはロシア語圏のランサムウェアグループで、世界中で400以上の組織が被害に遭い、そのうち米国だけで290の組織が被害に遭ったと報告されています。Contiの攻撃者は、フィッシングメール(悪意のあるリンクや添付ファイル)や、盗んだりクラックしたりしたリモートデスクトッププロトコル(RDP)の認証情報を使って、被害者のネットワークに侵入します。被害者のネットワークに侵入するまでの平均滞在時間は、4日から3週間です。ランサムウェア「Conti」の最高入札額は2,500万ドルに達しています。
CISA(Cybersecurity and Infrastructure Security Agency)、NSA(National Security Agency)、FBIは、ランサムウェア「Conti」の攻撃が増加していることについて、ユーザーや組織に注意を促しました。
組織の重要なシステムをContiランサムウェアから保護するために、多要素認証の有効化、ネットワークセグメンテーションの実施、オペレーティングシステムやソフトウェアの最新化など、特定のセキュリティ対策を推奨しています。
ガンは早期発見・早期治療が大切と言われます。
早期発見の1つの方法として「線虫」を使ったガンの一次スクリーニング検査というのを紹介してもらい、早速「リアル人体実験」をはじめました。
検査といっても自宅で採尿して、それを届けるだけの簡単なものです。
線虫でガン診断と聞くと、怪しげなイメージがありますが、医療機関や大学との研究を行って、臨床研究でも定量的な評価を得ている科学的な方法です。線虫は、犬の1.5倍の嗅覚を持ち、ガン患者の尿に集まり、健康な人の尿からは逃げるという性質があり、それを利用した検査です。
特に、健康診断で見つかりにくい部位のガンや、ステージ0~1のような早期ガンを見つけるのに強みがあるとされています。
検査費用は12,500円で、線虫が見分ける感度は86.8%。ほとんどのガンに対して線虫は反応するという実績があります。価格と検査の負荷を考えれば、特に中高年の健康診断に取り入れても良いのではないかと思いました。
今回は単体の検査で、依頼をしてから6週間くらいで、結果が届くそうです。
胃カメラと大腸内視鏡検査は毎年やっていますが、それに加えてこの線虫の検査も定期的に受けてみるのは果たして有効なのでしょうか。
信頼はチーム間の多くの関係の基礎であり、有意義な情報交換が⾏われる前に必要とされることが多い。FIRST のコミュニティはこの信頼関係の上に成り⽴っており、チーム間に妥当なレベルの信頼関係があるからこそ、このように機能し続けることができるのである。
信頼性とはチームメンバーが 1) 守れる約束をする、2) 他のチームに対して予測可能な⾏動を取る(例:TLP 基準を尊重する)、3) 他のチームとの信頼関係を維持する、といったことを意味する。
信頼関係は仮定から始まり、推移的に醸成されるべきである。すなわち、Trust on First Use(=TOFU=豆腐?)であり、他のチームから信頼されているチームに対する信頼を可能にする。
脆弱性を認知したチームメンバーは、利害関係者と協⼒してセキュリティ脆弱性を修正し、開⽰に伴う損害を最⼩限に抑えることで、協調的な脆弱性開⽰(Coordinated Vulnerability Disclosure)に従うべきである。利害関係者には脆弱性の報告者、影響を受けるベンダー、コーディネーター、ディフェンダー、およびダウンストリームの顧客、パートナー、ユーザーが含まれるが、これらに限定されない。
チームメンバーは適切な利害関係者と調整して、情報公開の明確なスケジュールと期待される結果に合意し、ユーザーがリスクを評価して実⾏可能な防御策をとれるような⼗分な詳細情報を提供すべきである。
チームメンバーには必要に応じて機密性を保持する義務がある。特定の情報を機密にしておきたいという要求は、Traffic Light Protocol(TLP)などで明⽰されることがある。チームメンバーは可能な限りそのような要求を尊重すべきである。しかし、例えば現地の法律や契約、通知義務などの要件と⽭盾するために情報を機密にしておくことができない場合、チームメンバーは情報の所有者にこの⽭盾について直ちに知らせるべきである。
守秘義務の中には法律、規則、慣習に基づくものもある。インシデント対応中に⼀部の当事者がそのような考慮事項に基づいて守秘義務に拘束されたり、守秘義務を期待したりする場合には、これらの期待を事前に明⽰するように最善を尽くすべきである。そして、可能な限り情報を機密にしておくようにとの明⽰的な要求を維持するために、すべての当事者は上記の期待に従うべきである。
受領確認を返信する義務
チームは、研究者、顧客、他のチーム、政府機関など、さまざまなソースから情報を受け取る。チームメンバーは、たとえリクエストを受け取ったことを確認するだけであっても、問い合わせに対してタイムリーに返答すべきである。可能であれば、チームメンバーは次の情報更新の⾒込みを設定すべきである。
認可についての義務
チームメンバーには⾃分の責任範囲を理解し、アクセスを許可されたシステムでのみ⾏動する正当な必要性と権利がある。チームメンバーは⾃分たちの⾏動がコンスティチュエンシーにどのような影響を与えるかを認識し、職務の遂⾏中にさらなる損害を与えないようにする必要がある。可能であれば、コンスティチュエンシーのシステムに変更を加える前に、コンスティチュエンシーに意⾒を聞くべきである。
情報を提供する義務
チームメンバーは現在のセキュリティ上の脅威やリスクについてコンスティチュエンシーに情報を提供し続けることを義務と考えるべきである。チームメンバーは安全性やセキュリティに悪影響を与える、または改善する可能性のある情報を持っている場合、守秘義務、プライバシーに関する法律や規則、その他の義務を正しく考慮しながら、適切な努⼒をもって関係者や協⼒してくれる⼈々に知らせる義務がある。
⼈権を尊重する義務
チームメンバーは、情報共有や潜在的な偏⾒、財産権の侵害を通じて、⾃分たちの⾏動が他者の⼈権に影響を与える可能性があることを認識すべきである。チームメンバーはインシデントに対処する過程で広範囲の個⼈情報、機密情報、および秘密情報にアクセスすることになる。これらの情報は、⼈権を守る⽅法で取り扱われるべきである。
インシデント対応中に、対応者は偏った⾏動をとってはならず、対応者が⾏う場合もアルゴリズムに組み込まれている場合も、プロセスや意思決定から偏りを排除するために最⼤限の努⼒をすべきである。
この原則においては、「財産(property)」の概念(国連の世界⼈権宣⾔7第17条)には、法的に保護されているかどうか(特許取得の有無など)にかかわらず、知的財産などの無形財産、およびアイデアやコンセプト全般が含まれている。
チームの健康に対する義務
チームにはコンスティチュエンシーに約束したサービスを継続して提供する責任がある。この責任にはチームの⾝体的・精神的な健康も含まれる。
チームを構成するメンバーを個⼈として尊重し、かつ適切なレベルのサービスの維持を⻑期的に実⾏可能にするために、チームは(すべての)メンバーの⾝体的・精神的な健康を⽀える、健康的で安全かつ前向きな職場環境を維持するよう努めるべきである。危機に対応するためには、「通常」の業務で精神的な健康とストレスの軽減をサポートする必要がある。
チームの能⼒に対する義務
インシデント管理はチームメンバーが継続して研究すべき発展的課題である。チームはメンバーが⾃らの責任範囲内で技術的かつ科学的知識を学び、適⽤し、そして発展させるためのリソースを提供すべきである。トレーニングまたは教育のための CPE/CEUクレジットは⼀助となるかもしれないが、単なるコンプライアンス演習ではこの義務を果たすには不⼗分である。チームはそのサービスを可能にするために⼗分な技術的インフラを維持すべきであり、これには外部による⼲渉からそのインフラを保護するための適切な⼿段をとることも含まれる。
責任ある収集の義務
データ収集はインシデント対応に必要だが、インシデント対応の⽬的とデータの利害関係者を尊重することとの間でバランスを取るべきである。
調査中に、収集が必要な情報の量が変わることがある。インシデントへの対応を進める⼀⽅で、チームメンバーは必要性の変化に応じて収集する対象を調整すべきである。インシデントとその復旧に直接関係のないデータは報告から除外すべきである。
収集および抽出したデータは、適⽤される法律に従い、ユーザーのプライバシーを尊重して取り扱わなければならない。データ所有者の管理下にあるデータを収集および処理する際には事前に許可を得るべきである。データの取り扱いにおいて適⽤される法律および規則を順守すべきである。
他のインシデントに関連して他の対応チームの活動に役⽴つかもしれないデータは、場合によっては編集された形で、その対応チームに提供すべきである。機密情報および所有権のある情報の提供は、適切な保護措置が講じられている場合に限るべきである。
インシデントの被害軽減のために第三者とデータを共有する際には、事前にリスクと利益を⽐較検討すべきである。データの共有は利益がリスクを明らかに上回る場合に限るべきである。機密データはインシデントがクローズした後に容易に破棄できる⽅法で保存すべきである。収集したデータはデータ保持ポリシーに則って安全に破棄すべきである。
管轄区域の境界を認識する義務
チームメンバーはインシデント対応に関連する活動に関与する当事者の管轄区域の境界、法的権利、規則、および権限を認識し、かつ尊重すべきである。
プライバシー保護やデータ侵害の通知に関連するものなど、法律、規則、その他の法的問題は、関係する管轄区域によって異なる場合がある。管轄区域の境界は、関係者の国や居住地などの物理的な場所や、関係者に関するその他の要因によって決定される場合がある。
⼀つの国の中であっても、政治的な地域間(例:⽶国の各州間)や、国内の異なるビジネス、産業、セクター間(例:ヘルスケア、⾦融サービス、政府機関)で、法律や規則が異なる場合がある。ナショナル CSIRTは、⾃らの管轄区域内のコンスティチュエンシーが関与する活動に対して指定された責任や権限を有する場合があり、また境界を越えた管轄区域に対して権限を有する他の組織と協⼒したり、その組織に情報や活動を「引き渡し」たりする場合もある。
チームメンバーは、プライバシー規則やデータ侵害通知の要件をはじめ、関係する管轄区域に影響を与える重要な問題を認識しておくべきである。サイバーセキュリティやプライバシーに関する法律や規則は世界中で進化し、かつ更新され続けているため、複数の管轄区域の境界に関わる問題が発⽣した場合には⼗分な知識を持った弁護⼠に相談して指針を得ることが望ましい。
根拠のある推論の義務
チームは検証可能な事実に基づいて活動すべきである。侵害の指標(indicators of compromise:IOC)やインシデントの説明などの情報を共有する場合、チームメンバーは根拠とスコープを透明性のある形で提供すべきである。それが不可能な場合は、その根拠とスコープを共有しない理由を情報とともに提供すべきである。
チームメンバーは、噂を広めたり共有したりすることを控えるべきである。いかなる仮説もそれが仮説であることを明確に⽰すべきである。
透明性のある根拠と推論のプロセスは、例えば⼤量の情報を⾃動的に共有するような場合でも重要である。この場合、データマイニングプロセスの説明は分かりやすいレベルの詳しさで伝えるべきである。
EthicsfIRST インシデント対応およびセキュリティチームのための倫理規範(バックアップ)
サプリ通販サイトでカード情報9000人分が漏えいか 一部は不正利用された可能性も
サプリメントの製造販売を手掛けるスピック(神奈川県鎌倉市)は9月29日、同社が運営するECサイト「リポカプセルビタミンC公式通販サイト」のサーバが不正アクセスを受け、9515人分のクレジットカード情報や1万5674人分の会員情報が漏えいした可能性があると発表した。一部のカード情報は不正利用された可能性もあるという。
漏えいした可能性があるのは、2020年11月6日から2021年2月24日の間にカード決済をした9515人のクレジットカード番号、カード名義人名、有効期限、セキュリティコードと、サイトにログインし、会員情報を入力した1万5674人のメールアドレスやパスワード。
スピックによればサイトの脆弱性を突かれ、サーバ内部に不正なプログラムを設置されていたという。すでにサイトはシステムを一新した上で、サービスの提供を再開している。今後はセキュリティや不正アクセスへの監視体制を強化し、再発防止に務めるとしている。
不正アクセスが発覚したのは2月16日。情報セキュリティに関する業務の委託先から連絡を受けて調査したところ、サーバ内部に不正なプログラムを発見した。以降は不正なプログラムの削除を削除した他、24日に同サイトのクレジットカード決済機能を一時停止。3月4日にサイトを閉鎖し、その後新しい環境でサービスを再開した。ただし一部ブランドのクレジットカードは利用を制限しているという。
個人情報保護員会や警察には相談済み。発表が遅れた理由については、調査やカード会社との連携に時間がかかったためと説明している。
最初に取り組むべきは「体制の構築」だ。プライバシーやセキュリティ、IT、デジタル、法務、ビジネスの観点を踏まえた高度な意思決定を可能にする体制を整える。
その上で「内外のポリシーを“People Centricな視点”からアップデート」し、「アウェアネストレーニングを実施」して、「プロセス上の対応」を見直す。ここでの見直しには、データ主体の権利のリクエスト(SRR)対応、プライバシーインパクトアセスメント(PIA)、漏えい時の対応なども含まれる。
さらに「システム/技術的な対応」についても検討する必要がある。改正個人情報保護法では、「個人関連情報」「仮名加工情報」が新たに定義されており、それらへの対応やSRR対応、漏えい時の対応の取り組みを強化する中で、技術/システム的な対応が課題になる可能性があると指摘している。
ガートナーは「プライバシーの議論は今後10年では収束せず、発展途上の状態が続く」と予測する。既存のテクノロジーに加え、プライバシーを強化する新しいテクノロジー(プライバシー強化コンピュテーション)なども出現していることから、企業はそうしたテクノロジーのトレンドにも目を向けつつ、“People Centricな取り組み”を強化し、成熟度を高め、規制コンプライアンスの先を行く必要があると説明している。
Burp Suiteは、社内外のテスト用に自動化された脆弱性スキャンツールを提供します。14,000以上の組織が、Webの脆弱性スキャンを自動化するためにBurp Suiteを積極的に利用しています。
[長所]
[短所]
Nessusは、脆弱性を徹底的にスキャンするソフトウェアで、サブスクリプションベースのサービスを提供しています。ハッカーはNessusを利用して、設定ミスの発見、デフォルトパスワードの発見、脆弱性の評価などを行います。
[長所]
[短所]
OpenVASは、オープンソースの脆弱性スキャナーです。このプラットフォームには、ネットワークスキャン、ウェブサーバースキャン、データベーススキャンなど、さまざまなスキャンオプションが用意されています。
[長所]
[短所]
Intruder.ioは、ペネトレーションテストと脆弱性スキャンを組み合わせたツールを提供しています。企業はIntruder.ioを使用して、単一の評価を実行したり、環境の脅威を継続的に監視したりすることができます。
[長所]
[短所]
w3af(Web Application Attack and Audit Framework)は、アプリケーション層の脆弱性を発見し、倫理的なハッカーがその脆弱性を利用できるようにするための無料のオープンソース・フレームワークです。このフレームワークは、すべてPythonで記述されており、その直感的なインターフェースのおかげで、使いやすい脆弱性診断ツールの1つとなっています。
[長所]
[短所]
オープンソースのネットワークスキャンツールとして人気の高いNetwork Mapper(Nmap)は、新米ハッカーにもベテランハッカーにも定番のツールだ。Nmapは、複数のプロービングおよびスキャン技術を駆使して、ターゲットネットワーク上のホストやサービスを発見する。
[長所]
[短所]
7.OPENSCAP
OpenSCAPは、Linuxプラットフォーム用のサイバーセキュリティツールを提供するオープンソースのフレームワークです。OpenSCAPは、Webアプリケーション、ネットワークインフラ、データベース、およびホストマシンのスキャンをサポートする広範なツール群を提供しています。
[長所]
[短所]
8.RECON-NG
Recon-ngは、攻撃の偵察段階に焦点を当てています。このフレームワークは無料のオープンソースで、バナーの取得、ポートスキャン、DNSルックアップなどの機能をサポートしています。また、Recon-ngは、Shodan検索エンジンへのアクセスも提供しています。
[長所]
[短所]
共同通信社のウェブサイトに掲載された記事によると、日本のリソナホールディングスやパナソニックなど4社がこのほど、顔認証技術を使ったシステムを共同開発し、これらのサービスを提供することを発表した。 このシステムが適用されると、事前に顔写真を登録しておけば、手ぶらで銀行の窓口でお金を出し入れしたり、小売店で買い物をしたりすることができるようになります。
また、ホテルやレンタカーのチェックイン時の本人確認にも利用できるとのことで、幅広い分野での利便性向上が期待できます。
リソナ、顔認証技術を持つパナソニックに加え、デジタル技術を用いた本人確認に強みを持つ大日本印刷、決済サービスを行うJCBの4社が参加。
この技術は、今年はリソナ内の部屋の入退室管理に使用され、来年は顔認証を利用して、通帳やキャッシュカードを使わずに、リソナ銀行の一部の店舗でお金の引き出しや送金、投信の購入などができるように実験していく予定です。 将来的には、自社での開発が困難な地方銀行などへの展開も検討しています。
JCBでは、クレジットカードショップのネットワークを活用したサービスを展開し、顔写真を事前に登録したお客様が来店した際に、瞬時に本人確認と決済を完了できる仕組みを検討しています。
顔写真の登録はお客様の同意が前提となりますが、プライバシー保護の観点から、いかにセキュリティを確保するかがサービス普及の鍵となるかもしれません。
本サービスでは、ユーザーの顔写真データは、外部からアクセスできないリソナ社が管理するサーバーに保管されます。 パナソニックの取締役は、"人工知能の発達により、顔認証の精度が飛躍的に向上しており、不正なアクセスは難しい "と述べています。
