- ネットワークおよびコンテンツセキュリティ機器(Identity Services Engine、Firepower Threat Defense、Advanced Web Security Reporting Application)
- コラボレーションとソーシャルメディア(Cisco Webex Meetings Server)
- ネットワーク管理およびプロビジョニング(Cisco CloudCenter Suite Admin、Data Center Network Manager、IoT Control Center、Network Services Orchestrator、WAN Automation Engine)
- エンタープライズ ルーティングとスイッチング(Cisco Network Assurance Engine、Cisco SD-WAN vManage)
雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
Javaのログ出力ライブラリ「Apache Log4j」に存在するリモートから悪用可能な脆弱性(CVE-2021-44228)
AWSで障害、多数のウェブサイトやアプリに影響(転載)~クラウドを採用するということは、障害発生時に指をくわえて見守るしかないことを覚悟せよ~
障害に関するデータを収集するDown Detectorには、7日の米国東部時間正午前の時間帯に、AWSを利用するサイトの障害報告が1万1000件以上まで急増している様子が示されている。
システムアクティビティーをモニタリングするためのAWSのステータスページには、同社のバージニアにある施設で発生した問題がUS-EAST-1リージョンに影響を与えていると記載されている。その問題は、企業がウェブサイトやアプリを運用するために使用する、複数のAWS製品に影響を与えたようだ。
「根本原因を特定済みで、復旧に向けて鋭意対応している」と更新情報には記されている。
Down Detectorには、数十件のサービスの障害報告も示されているが、そのすべてがAWSの障害が始まった時間から発生している。Amazonそのものに加えて、傘下のサービスである「Ring」「Prime Music」「Alexa」「Chime」や、TicketMaster、Google、McDonald's、Venmo、Cash App、そして米社会保障局のオンラインアカウント用ポータルであるMy Social Securityなども、7日の午前11時頃から障害に見舞われている。
ー2021/12/15追記ー
AWS、12月7日の大規模障害について詳細を報告(アーカイブ)
みずほFG システム障害頻発で首脳陣一新・・・(転載)~ITを理解できない人が会社を経営するとこうなる~
みずほFG システム障害頻発で首脳陣一新…ついに消滅した「興銀の栄光」
官界通(以下=官):みずほフィナンシャルグループ(FG)の佐藤康博会長(69)と坂井辰史社長(62)が、度重なるシステム障害で利用者に不便と不安を与えた責任で、ようやく辞任を決めたな。2人はみずほの母体の一つ、旧・日本興業銀行の出身。ある興銀OBが「これで、栄光の興銀の歴史は終わる」と嘆いていた。
政界通(同=政):責任は明確だったのに、なぜ体制一新が遅れたの?
財界通(同=財):2人に「辞任は当然」とする一般の感覚が欠けていたからだろう。
官:興銀出身という点が、関係しているのか?
財:そうだと思う。興銀は明治時代に産業振興のために設立された国策銀行で、債券を発行して得た資金で融資を拡大。とくに鉄鋼、造船、化学、電力など巨大な装置を必要とする重工業の発展に貢献した。戦後も金融債の「ワリコー」「リッキー」が富裕層の人気を集め、2002年4月に経営統合でみずほコーポレート銀行に衣替えするまで存在感を維持した。
官:そう、「財界の鞍馬天狗」の異名を持つ中山素平氏をはじめ歴代頭取は、海外や財界でも活躍した。
政:それに比べ、佐藤氏や坂井氏は小粒で、巨大銀行の舵取りを誤ったということか。
■リテールのあるメガのトップは無理だった
財:そこまでは言わないが、大企業金融の世界で育った人が膨大な個人や中小零細の業者をお客に持つメガバンクグループのトップを務めることに、無理があった。数字優先で、統合の相手だった富士銀行系や第一勧業銀行系の支店を減らし、システム要員らの削減へ猛進した。
政:それが、障害頻発の遠因か。
官:金融庁が出した業務改善命令にも、その視点がある。
財:辞任は2人だけでなく、傘下のみずほ銀行の藤原弘治頭取(60)も辞める。ただ、藤原氏の後任は富士出身の加藤勝彦副頭取(56)に決まったが、FGトップは未定だ。
官:金融庁の雰囲気では、興銀出身者が3代続けて就任する可能性はないな。
財:当然だ。今回だけでなく、もう二度とないかもしれない。
【参考】
みずほ銀行及びみずほフィナンシャルグループに対する行政処分について (バックアップ)
CSIRTマテリアル(構想フェーズ・構築フェーズ・運用フェーズ)リニューアル
CSIRT(シーサート: Computer Security Incident Response Team) とは、組織内の情報セキュリティ問題を専門に扱う、インシデント対応チームです。
近年の組織 (企業) の IT 利用の拡大に伴い、情報セキュリティ対策は組織にとって重要な問題となってきています。高度に複雑化し、かつインターネットを介して大容量のデータを瞬時に、しかも容易に世界中とやり取りできる IT システムの利用が一般的になったことで、単に「現場 = システム管理者」の頑張りだけで済む問題ではなくなってきています。例えば、情報システムがコンピューターウイルスに感染してしまったために、顧客の個人情報が世界中にばら撒かれてしまったといった事態を考えてみれば、情報セキュリティの問題が、もはやシステム管理者だけの問題ではなく、経営層が積極的に関与しなければならない問題であることは容易に想像できると思います。このような中で、組織の情報セキュリティ対策として注目されているのが、情報セキュリティの問題を専門に、ただし組織全体の視点から取り扱うCSIRTの構築です。
NHK子会社社員を懲戒解雇 2,800万円分チケット換金、私的流用(転載)~経理担当が裏切らないとは限らない。内部不正対策の観点からもゼロトラストの発想が必要~
NHK子会社社員を懲戒解雇 2800万円分チケット換金、私的流用
仕事で使うと装って旅行会社から新幹線のチケット約2,800万円分をだまし取り、現金化して私的に使ったとして、NHKの子会社NHKグローバルメディアサービスは2021年12月10日、40代の男性社員を懲戒解雇にし、発表した。
同社によると、社員は2021年7月~10月、取引先プロダクションの架空の出張名目で85件約2800万円分のチケットを旅行会社から受け取り、JRの窓口で払い戻して、自身のローンの返済などにあてていたという。代金は未払いで、グローバル社が弁済した。
2017年から今年7月までに同様の方法で購入、現金化したチケットは計約1億5千万円分にのぼり、代金は新たなチケットの払い戻しなどで支払ってきたといい、今回の未払い分も「いずれは返すつもりだった」と話しているという。
同社は告発などについて警察と相談しているといい「あるまじき行為であり、深くおわびいたします。再発防止に向けて全社的な取り組みを徹底してまいります」とのコメントを出した。
スイパラ通販利用者がクレカ不正利用被害に 運営元は「因果関係を調査中」(転載)
「スイーツパラダイスの公式通販サイトを利用した後、クレジットカードが不正利用された」——そんな報告がTwitter上で相次いでいる。スイーツバイキングチェーン店「スイーツパラダイス」を運営する井上商事は報告を受け、2021年12月9日に公式通販サイトを一時閉鎖。取材に対し「事態は認識しており、原因がどこにあるのか確認中」としている。
Twitterでは9日午後8時ごろ、11月下旬に開催されたオンラインゲーム「原神」のコラボカフェイベントなどの際に同サイトでクレジットカード決済を行った人々から、上記のような報告が上がり始めた。海外のショッピングサイトやAppleなどの名義で身に覚えのない引き落としがあったという。
井上商事に問い合わせたところ「Twitterでの報告を見て気付き、被害が拡大しないよう公式通販サイトをメンテナンス中とした」と説明。「問題の原因が当社にあるのか、別のところにあるかを含めて現在調査中」としている。
日本の政府機関が富士通のツールを足掛かりにデータ漏洩の被害を受ける / Japanese government agencies suffer data breaches after Fujitsu hack(転載)~ソリトンの次は富士通かぁ~
攻撃者は、少なくとも76,000件のメールアドレスにアクセス
富士通、オンラインポータル「ProjectWEB」を一時停止
ランサムウエアギャングLV-BLOGがwww.kobebussan.co.jpのデータをハッキングしたと主張
LV-BLOG
https://darkfeed.io/2021/12/11/lv-blog-27/
週刊OSINT 2021-44号 / WEEK IN OSINT #2021-44(転載)
今号もたくさんのテーマで素敵なアップデートが行われました。プライバシーからニュースサイトまで、そして盗まれた美術品からShodanの問い合わせまで。
- ID-Art Mobile App
- Craig Silverman Newsletter
- 360Cities
- Browser Privacy
- Google Mobile Friendly Test
- AllYouCanRead
- Dark Web Queries for Shodan
Sylvain Hajriさんから、インターポール(国際刑事警察機構)が提供する、盗まれた美術品を特定するための新しいアプリを教えていただきました。このアプリは、データベースにアクセスして、種類、名前、アーティスト、国別に検索することができます。作品の写真を比較した後、作品そのものを通報することもできます。もう一つの機能は、他のオブジェクトやサイトにタグを付けることで、例えば破壊行為に対してタグを付けることができます。ご興味のある方は、アプリの紹介ビデオをご覧いただくか、AndroidまたはiOSでダウンロードしてください。
小技: Craig Silverman Newsletter
クレイグ・シルバーマンがニュースレターを再開することになりました。第1号では、Facebookについての長文のパートがあります。次にosintmeのブログ記事があり、続いてAmazonがウェブストアで自社製品を競合他社よりも押し出していることが紹介されています。そして、最後の項目は再びFacebookについてで、詐欺師たちに素晴らしいプラットフォームを提供しているというものです。次号がどんな内容になるのか楽しみですが、すでに素晴らしいスタートを切っていますね。
サイト: 360Cities
Ritu Gillは絶好調で、自身のTwitterアカウントで素晴らしいリンクを共有し続けています。今回は、360°の画像や動画を集めたサイト「360cities」です。このサイトには、さまざまな視点、豊富なキュレーションセット、そしてギガピクセルギャラリーなどの優れた機能があります。ギガピクセル・ギャラリーといえば、こちらのサイトもお忘れなく。
小技: Browser Privacy
Ritu Gillがシェアしたもう一つのリンク、今回はブラウザのプライバシーについてです。Braveは、スタート画面の肥大化や暗号の自動入力問題など、ここ2、3年でニュースになった話題にもかかわらず、高い評価を得ています。また、Braveにはたくさんの設定項目があるという問題がありますが、これは非常にタイトなもので、真にプライベートなオプションとなりますし、オープンソースです。Chrome、Safari、Edgeなどの標準的なブラウザが苦手な方も、この概要を読めば、他のブラウザやあなたのプライバシーの取り扱いについて十分な情報が得られるでしょう。
小技: Google Mobile Friendly Test
TOCPの10分Tipsのひとつに、LinkedInのプロフィールを匿名で見る方法がありました。また、Googleのモバイルフレンドリーテストが少し見直されたようです。スクリーンショットやHTMLコードを見るには、まず、フレンドリー度の評価の下にあるview tested pageをクリックします。また、サーバーから送られてきたレスポンスヘッダーなど、技術的な情報も掲載されています。
サイト: AllYouCanRead
Nico 'Dutch OSINT Guy' Dekens氏は先日、「AllYouCanRead.com」というとてもクールなサイトを紹介してくれました。このサイトには、新聞、雑誌のほか、クラシファイド、ジョブ、ソーシャルネットワークなどのサイトへのリンクが多数掲載されています。外国で何か情報源を探す必要があるなら、絶対にここを利用すべきだと思います。この素晴らしいサイトに感謝します。
メディア: Dark Web Queries for Shodan
Sinwindieさんが、Shodanを使ってTorサーバーの匿名性を解除するための基本的なテクニックを紹介する動画をアップしました。このビデオでは、オニオンリンクの検索方法、ファビコンを使ったサーバーの検索方法、サーバーからのリクエストとレスポンスのヘッダーがどのようにマッチするかを特定する方法などを紹介しています。これらの基本的なテクニックは、Torサイトの所有者がサーバーを正しく設定していない場合に結果を出すことができ、実際のIPアドレスを見つけることができます。
SplunkをRSSリーダーに仕立てる。。。のメモ(転載)
github.com/LukeMurphey/sp…
CIS Controls v8日本語訳をリリース(転載)~ポイントは「リスク管理」から「情報管理」へ~
米国CIS(Center for Internet Security)が発行しているCIS Controls(シーアイエス コントロール)は、あらゆる規模の組織が活用できる、サイバーセキュリティ対策の具体的なガイドラインです。IT環境の変化や攻撃の高度化に伴い、クラウドコンピューティングやモビリティ、サプライチェーン、テレワーク環境などに対する、新しい攻撃手法への対応を加えたバージョン8が2021年5月18日にリリースされました。
このCIS Controls バージョン8の日本語版が米国CISのWebサイトからダウンロードできます。この記事では、CIS Controlsのコンセプトと活用方法についてご紹介します。
CIS Controls Version 8(日本語版)のダウンロード
CIS Controlsとは何か
CIS Controlsは、米国のセキュリティ非営利団体であるCISが、企業がサイバーセキュリティ対策として取り組むべきことをまとめたガイドラインです。もともとは2008年にアメリカ国防総省(DoD)とアメリカ国家安全保障局(NSA)が外部脅威による情報漏洩を防ぐガイドラインとして策定を開始したのが始まりです。その後、SANS InstituteやCCSのもとで改訂を重ね、2015年からはCISが管理しています。
CISでは、CIS Controls以外にも様々なフレームワークやツールを提供しています。その中でもサイバーセキュリティ対策に取り組む企業が最初に参照すべきリソースがCIS Controlsです。CIS Controlsは、サイバー攻撃対策に焦点を当て、具体的に何をするべきかを、あらゆる規模の組織が利用できるように書かれています。現状の自社対策レベルを評価し、不足しているところや強化すべき箇所を整理できます。
具体的な実装のベストプラクティスについてはCISの他のドキュメントが参考になります。例えばCIS Benchmarks(ベンチマーク)はOSやミドルウエアの安全な設定に関するベストプラクティス集です。日々、CISとコミュニティがレビューを重ねているので対象となるソフトウエアも増加し、最新バージョンに適合するように更新されています。
CIS Controlsの構成と主なコンセプト
CIS Controlsには、「18のコントロール」と「153の具体的なセーフガード(保護手段)」が記載されています。ITの複雑化と攻撃手法の高度化に伴い、セキュリティソリューションも複雑化しています。CIS Controlsでは、あらゆる規模の組織が適切な優先順位でセキュリティ対策を実施できるよう、対象となる企業を3つのグループに分けています。
最初のグループ(IG1)は、IT資産や人員を保護するためのITおよび、サイバーセキュリティのリソースが限られている中小企業です。次のグループ(IG2)は、システムが取り扱うデータの機密性やサービスのクリティカル度はIG1に属する企業群より高くなり、自社内にITインフラの運用管理とITセキュリティを担当する部署を持つ大企業が該当します。最後のグループ(IG3)ではデータの機密性やサービスのクリティカル度は非常に高くなり、高度なセキュリティ専門部門が必要となります。IG3は公的サービスを提供する企業や業界規制遵守が求められる企業が該当します。
※ IG(Implementation Group):実装グループ
18のコントロールにある「153の具体的なセーフガード(保護手段)」には、IG1からIG3のそれぞれのグループにおいて、その対策が推奨かどうか示されています。企業はこのマトリクスを利用することで、自社のセキュリティ対策が必要な水準に達しているかどうか、現状の対策レベルをアセスメントできます。そして不十分なセキュリティ対策については、対応の優先順位を決めて計画立案できるようになります。
CIS Controlsから感じ取った3つのメッセージ
個々のコントロールと具体的なセーフガード(保護手段)については資料をご覧いただくとして、ここではCIS Controlsのメッセージを3つご紹介します。
平時のIT衛生管理(ハイジーン)の重要性
まず、最初に挙げるのはサイバーセキュリティ対策における「平時の衛生管理の重要性」です。サイバーセキュリティ対策において「平時の衛生管理」とは、「(PCなどの)アセットの把握と管理」、「(利用している)ソフトウエアの把握と管理」、「(保持している)データの把握と管理」、「(ソフトウエアやサービスの)安全な設定」、「アカウントの把握と管理」、「アクセス権の把握と管理」などです。このような当たり前の基本的なことをシッカリと着実に実施することが重要です。
先ほどの実装グループのうち、IG1は「基本的なサイバーハイジーン」であり、「すべての組織が適用すべきサイバー防御の基本的な保護手段のセット」と定義されています。「ハイジーン(Hygiene)」とは「衛生」という意味の英単語です。コロナ禍の感染予防策として「手洗い・うがい」、「マスク着用」、「ソーシャル・ディスタンス」などの平時の衛生管理をキチンと行うことの重要性を多くの方が認識したと思います。サイバーセキュリティ対策においても平時からの衛生管理が重要です。
CISの調査によると、IG1の対策を実装することで、マルウェア、ランサムウェア、Webアプリケーションハッキング、内部特権者の不正と過失、標的型攻撃などの主要なサイバーセキュリティリスクの70%以上を回避できるとされています。詳細については以下のレポートを参照ください。
CIS Introduces v2.0 of the CIS Community Defense Model
サイバーセキュリティ対策の自動化
次に挙げるのは、サイバーセキュリティ対策の「自動化」です。CIS Controlsでは各コントロールの「手順と対策」において、サイバーセキュリティ対策の実装と自動化を可能にするプロセスとテクノロジーについて説明が記載されています。
ここでCIS Controlsが意図している「自動化」はオートメーションというより、ツールなどを使うことで正確な情報を収集し、再現可能性を担保することを意識しているようです。先に記載した平時のIT衛生管理で必要な事(PC、ソフトウエア、アカウント、アクセス権の把握と管理)を着実に繰り返し実施していくためには何らかの自動化ツールが不可欠でしょう。
最新の話題と安定性のバランス
最後に挙げるのは「最新の話題と安定性のバランス」です。IT環境の複雑化と攻撃手法の高度化に伴い、セキュリティソリューションも複雑化してきています。CIS Controlsでは新しい防御技術に目を向ける一方で、あまりに複雑で新しすぎるソリューションについては「真新しいおもちゃ」として除外すると宣言しています。こうした「最新と安定のバランス」がCIS Controlsが支持される理由の1つではないかと考えます。
サイバーセキュリティ対策に関する最新の話題として、「ゼロトラストセキュリティ」に関心が集まっています。バージョン8では「ゼロトラスト」という明確な表現は出てきませんがクラウドの活用やリモートワークを意識した内容になっています。バージョン6(またはそれ以前)のCIS Controlsを使用している場合は、可能な限り早くバージョン8への移行計画を開始することが推奨されています。クラウド活用が進んでいる今こそ、スタンダードをバージョン8に切り替えるべきではないかと考えます。
ー2021/12/12追記ー
■CIS Controls v8で見直されたコンセプトの変更
①「リスク管理」ではなく「情報保護」
v7.1までは「Sub Controls」という表現が使われていたが、v8では「Safeguards」という表現に変わっている。Safeguardsとすることで、より情報を保護する意味合いが強調され、リスクをコントロールするための管理策のままでは、情報保護の実効性が得られないと考えたのではと推察できる。これまでは、管理策としてこういう活動が必要だという記載であったのを「どのように物事を管理していくのか」と踏み込んだ記述になっているのもガイドとしての価値が向上したと考えられる。
②管理策を統合し、抽象度を上げて保護策のカテゴリ数や項目数を減少
カテゴリ数は20から18に減少している。より重要なものが分かるように、また、使いやすいように見直された。
保護策の項目数も171→153に減少、要求事項が少なくなったというより、冗長な記述となっていた個所は統合されており、やや抽象的な表現となっている。例えば、v7.1の「特権IDのログイン失敗ログの検知」や「特権アカウントの追加の通知」という項目は、v8ではまとめて「詳細なログを集める」のような記載となっている。そのため、活用にあたっては、保護策の実施や適用状況の評価に際して自ら評価環境を理解するとともにリスクを特定する必要がある。抽象度が高い保護策は、組織内で行われるべき具体的な対策を自ら考え、その妥当性を評価することになる。この点は、これまでより正しく活用するための難易度を上げたとも考えられる。
③Basic ControlsからBasic Cyber Hygieneに
v7.1ではトップレベルの#1から#6をBasic Controls(基礎的対策)とし、基礎的対策を行うことがサイバー攻撃による侵害のリスクを85%低減されるとされていた。
v8ではBasic Cyber Hygiene(サイバーセキュリティ確保のための基本となる事前対策)として、18のカテゴリそれぞれに、どんな組織も必ず、先行して取り組むべきという推奨保護策が記述されている。53と限定的でより簡単に組織が具体的なセキュリティ対策のための活動に取り組みやすくなっている。
④ネットワークの内と外を区別しない
ゼロトラストアーキテクチャでも強調されていることではあるが、CIS Controls v8においても、インターネットと社内LANを区別する境界防御の表現はなくし、"Network Monitoring and Defense"に変更されている
⑤単なる自動化では不十分、保護策が連携され機能している状態が必要
CIS Controls v8では、2017年に米調査会社フォレスター・リサーチ社により再定義されたZero Trust extended(ZTX)の7つの項目のうち、「Automation and Orchestration(自動化と調和)」を発展させ、Align(連携)という概念が強調されている。CIS Controlsでは、ツールを使ってシステム的にリスク対応策を実装し、常時繰り返し可能、かつ、抜け漏れなくリアルタイムにサイバー攻撃から組織を保護することを推奨してきた。自動化と調和を強調した保護策連携について、最新の事例を挙げると、ネットワーク上のサンドボックスのアラート情報をAPI連携してエンドポイントの管理センターに送り、端末の状態を修復するところまでを自動対応できるように構築する等のテクニックがある。
2021年版 脆弱なパスワードランキング / Top 200 Most Common Password List 2021(転載)
日本人パスワードは「数字」「キーボード配列」「日本人名」に加えて「繰り返し語」
Top 200 Most Common Password List 2021
NordPass版の”最悪なパスワード2021”が公開されました。従来のグローバル統計に加えて、今年は国別データも開示されたので、日本人のよく使う”パスワード”について分析してみます。
今回はNordPassの調査データですが、例年ですと12月にSplashDataが”最悪なパスワード”として同様な調査データを公開していますが、正直な話、多少の違いはあれ、上位ランキングに掲載される脆弱なパスワードは大きくは変わらない事を確認する行事と化しています。
(おそらく今回の調査結果から登場した)日本のデータを見ていくと、過去のグローバル統計データには無い、日本人ならではと思える特徴が見えてきました。
NordPassのサイトでは、各国を選択し上位200位までのパスワードリストを見る事ができます。
グローバルデータと同じ様に、「数字」や「英語辞書単語」「キーボード配列」は多い印象です。
おそらく10年以上、こうした脆弱なパスワードは使ってはいけないと、こうした調査データを元に、ユーザーは何度もセキュリティ教育を受けてきたと思うのですが、結論から言えば、ユーザーは自身の脆弱なパスワードを「変える気が無い」事を証明し続けています。
その全てが無駄という訳ではありませんが、システム管理者(セキュリティ担当)は、ユーザーが「脆弱な状態を好む」という事をしっかりと頭に置き、過度にユーザーのセキュリティ意識(IDパスワード)に期待せずに、多要素認証など、多層防御に軸足を移す事が必要なのかと思います。
東証一部の医薬品メーカーに不正アクセス 株主の個人情報など延べ22万件が流出か(転載)
同社の発表によると、2015年3月31日から21年6月30日の間、名簿上に記載があった個人株主の情報が約2万1000件、2009年3月31日から14年12月31日までの情報が約6万件(延べ件数)流出したとしている。
この他にも日本での採用応募者の個人情報が約1万4000件、取引先の社員の個人情報が約3万件、臨床試験の責任医師・分担医師の個人情報が約3万5000件、臨床試験のコーディネーター・協力者などの個人情報が約6万件などが流出した可能性があると説明している。
同社は、10月3日に日本本社と台湾拠点のサーバに、22日に欧州拠点で不正アクセスを受けたという。26日にはサーバ攻撃を行った犯行グループから身代金を要求する脅迫メッセージを確認。警察や調査会社と連携し、被害状況の確認を進める中、11月3日までに日本と台湾サーバから情報の窃取を示唆する痕跡を見つけたとしている。
その後も流出範囲の特定のため調査を続けたが、サーバ保存情報の暗号化やアクセスログの抹消を伴っていたため、物理的、技術的困難から調査は難航。二次被害を防ぐために、復元したサーバから流出した可能性のある情報の最大数を12月3日時点で見積もり、6日の発表に至ったと説明する。
同社によると、製薬会社などが委託した臨床試験の被験者データは、不正アクセスを受けたサーバとは別環境にあるため影響はなし。不正アクセスを受けた社内サーバも、起点となったVPN装置の脆弱性を修正し、多重認証を強化するなどセキュリティ対策を実施した上ですでに復旧済みであるという。
本当に食べるものに困ったときの最終手段~緊急一時食品提供~
数多くの金策手段も使い果たしてどうにもならない状況もあります。
借金などの支払い関係はともかく生活費、特に食事代は絶対に確保しないと生きることもできません。
今回、そんな方のために、本当に食べ物に困ったときの最終手段の助け舟を共有させていただきます。
以前に”緊急小口資金”の貸付でも話題となった“社会福祉協議会”で食品を提供していただけるのです。
ですので、恥ずかしがらず出向き正直に“食べるものがありません”と窓口の担当に伝えてみましょう。
“緊急一時食品提供”があるのです。
これは、生活が困難な方や世帯に対しての食品提供で、趣旨に賛同してくれた企業や団体、市民から提供品を貰い食い繋ぐというもの。
当然、提供品ですので、そのときの状況により無い場合もあります。
しかし、運が良ければ、”お米”や“乾パン”、”レトルト食品”などを1週間分ほど受け取ることが可能。
金策することも勿論、大事ですが日々の食品も絶対に欲しいところ。
一度、お住いの“社会福祉協議会”に聞いてみてはいかがでしょうか。
【悲報】NHKアナウンサーがきんに君でツボって放送事故!?(転載)
IIJ が PPAP 根絶へ(転載)
2022年1月25日以前 | 従来通り、パスワード付きzipファイルが添付されたメールを受信する |
---|---|
2022年1月26日以降 | パスワード付きzipファイルをフィルタにより削除し、メール本文のみ受信する |
変更に至った背景
メールにパスワード付きのzipファイルを添付して送信し、そのパスワードを後送する「PPAP」は、日本において多く見られる情報セキュリティ対策の一つですが、効果が薄いだけでなく、ウィルススキャンをすり抜けてしまうことから、米国のサイバーセキュリティ・インフラセキュリティ庁においてもブロックすることが推奨されています。
この仕組みを悪用したマルウェアは今後も発生することが予想されることから、当社だけでなく、お客様、お取引先様よりお預かりする情報を守るためにも、対応が必要との考えに至りました。
読書感想文「FIRE 最強の早期リタイア術」
ちょっと気になったFIRE本を読んでみた。
結果として、いろいろ参考になる知見を頂くことができた。
読書感想文と称して気になったメモを残しておく。
■第1章:お金のためなら血を流す
・お金に執着する「欠乏マインド」は重要
■第2章:桃のシロップ、段ボール箱、コカ・コーラの缶
・貧困は4つの重要なスキル「CRAP(うんこ)」を与えてくれる
-Creativity(想像力):バービーハウスを買うお金がないので段ボールで自作する想像力
-Resilience(回復力):他人は他人、自分は自分と割り切れる力
-Adaptability(適応力):住めば都
-Perseverance(忍耐力):大学は成績1番でなくても学位をとれればよい
■第3章:(まだ)自らの情熱に従うな
・キャリアを選ぶのに自らの情熱に従うのは良くない
・POTスコアを基準にキャリアを選ぶ
-POTスコア=(給与の中央値-最低賃金の差額)÷学位に掛かった総費用
役者の例:(36,380USD-15,000USD)÷40,920USD=0.52
芸術家の例:(48,780USD-15,000USD)÷40,920USD=0.83
↑の場合、学位取得のコストを踏まえると、POTスコアが高い芸術家の方が、役者よりため、役者よりトータルの収入が上になることを示す。
■第4章:あなたは私のものだ
・消費者ローンは最悪の借金
・学生ローンは2番目に最悪な借金
■第5章:誰も助けにきてはくれない
・失敗は選択肢の一つ
・自分自身のセーフティネットを構築する
-食べるものに起きるものにも困らない、会社や政府にも頼らないセーフティネット
■第6章:ドーパミンについてわかったこと
・モノの所有と幸福度の比例関係には上限がある(モノの増加はストレス因子にもなる)
・経験(≒旅行)と幸福度の比例関係には上限がない
・すべての節約に痛みが伴うわけではない。
-メインバンクをオワコンの都市銀行からネットバンクに変えてATM手数料を節約
-携帯電話を情弱者向けのメガキャリアからMVMO(格安SIM)に切り替えて月額費用を節約
-固定電話の廃止
-車を所有しない(カーシェアリングの活用)
-自分へのご褒美(コンサート、旅行、スキューバダイビング、etc)はケチらない
■第7章:マイホームは投資ではない
・持ち家か賃貸かの判断に使える「150の法則」
-米国で標準的な30年ローンの場合、最初の9年間は返済額の5割が利息の支払いになる
-持ち家に伴う追加費用(登記費用、固定資産税、仲介手数料、保険、etc)
※米国の制度に則った考え方になるが、一応計算してみると下記になり、持ち家は割に合わないことになる。
・現在の賃貸の家賃が6万円/月
・もし毎月6万円のローン支払いで家を買うことができた場合、実際のコスト負担は9万円となる
・貧しい人はモノを買う。中産階級は家を買う。お金持ちは投資資産を買う。
■第8章:本物の銀行強盗
・アクティブファンドはインデックスファンドに勝てない
・インデックスファンドは手数料が安い
■第9章:株式市場の暴落をいかに乗り切るか
・株式はボラティリティよりも複利効果の方が重要
・人気のあるETF:VTI、ZCN、VEA、BND、ZAG
・下落時に売って回復期に利益を逃すことがお金を失い続ける唯一のパターン(→リバランシングでこれを回避。安く売って高く買うを継続)
・書籍でのポートフォリオは株式6割、債券4割
■第10章:私を救ってくれた魔法の数字
・4パーセントルール
もし1年間の生活費が投資ポートフォリオの4パーセントと等しい金額であれば、リタイアしても95%の確率で30年以上にわたり老後資金が底をつかないという法則
1年間の生活費が投資ポートフォリオの4パーセントというのは1年間の生活費の25倍と同数となる
1年間の生活費が400万円の場合、400万円×25=1億円の投資ポートフォリオがあれば、FIRE可能ということになる
4%ルールは投資ポートフォリオのインカムゲインとキャピタルゲインが平均4%以上の場合にのみ成り立つルールとなり、日本株では実現不可となり、米国株ETFでの運用が唯一の選択肢となる
1億円の投資ポートフォリオを積み立てだけで形成するのはほぼ不可能。実物の不動産投資等レバレッジをかけた資産形成が現実的。
・リタイアできるタイミングを決める唯一最大の要因は貯蓄率。年収は関係ない。
■第11章:現金クッションと利回りシールド
・4パーセントルールに従っても、シークエンス・オブ・リターン・リスク(リタイアとともに不運にも下落相場が始まり、資産の取り崩しを余儀なくされる状況)によって、5%の確率で途中で資金をつく可能性がある。
・シークエンス・オブ・リターン・リスクに、利回りシールドと現金クッションで対応する
・利回りシールド
ETFが支払う分配金のことで、資産を売却することなく現金として手に入る
・現金クッション
預金口座に入れておく緊急時の準備金。これを用意することで、下落相場の時にポートフォリオを崩さずに済む 。
・資産の一部を高利回り資産に置き換えることで、利回りシールドの強化が可能
-優先株:XPF、PFF、PGX
-不動産投資信託(REIT):XRE,USRT
-社債:VTC、XCB
-高配当株:VYM、XDV、IDV
・現金クッションの必要金額は計算可能
現金クッション=(年間支出-年間利回り)×現金クッションの必要年数
年間生活費が400万円、ETF分配金利回りが2.5%、ポートフォリオの規模が1億円、現金クッションの必要年数(最悪のケースである世界恐慌で5年なので、5年で試算)の場合、必要な現金クッションは下記となる
(400万円-(1億円×2.5%))×5=750万円
■第12章:お金を浮かすために旅行する
・西欧など物価の高い地域と、東欧や東南アジアなど物価の安い地域をうまく組み合わせることで、旅の予算を「デザイン」することが可能
・Airbnbを活用することで、ホテルよりも安く民間施設に泊まれ、キッチン付きが多いため自炊もでき、旅行者ではなく、地元民の目線で生活が可能。
・旅行保険には必ず加入しておく
・著書の経験では1年間の旅行を4万USDで実現
■第13章:バケツアンドバックアップ
・リタイア後の資金を管理すために3つのバケツを用意する
-ポートフォリオ:リタイア後の生活を支える投資ポートフォリオ用のバケツ
-ことしの支出:その年に使う予定の資金を入れておくバケツ
-現金クッション:普通預金口座に準備金を入れておくバケツ
■第14章:インフレ、保険も恐るるに足らず
・旅行をすることでインフレの影響を回避することが可能。インフレは一国の経済現象のため、国を変えることで回避できる。
・車が無ければ自動車保険は不要
・リタイア後は生命保険も不要(構築したポートフォリオが家族の生活費の面倒を見てくれる)
■第15章:子供はどうする
・旅をしながら子育てをする「ワールドスクーラー」が存在
■第6章:早期リタイアの負の側面
・お金が底をつく:利回りシールドや現金クッションの戦略で対応。お金が底をつく恐怖心を過剰に持つ必要はない
・コミュニティの喪失:人とは違う道を歩むことで離れていく友人は、つづける価値のない友人である。代わりに世界中の新たな真の友人と出会うことができる。
・アイデンティティの喪失:これまでのアイデンティティを捨て、新しいアイデンティティをを確立する。
■第17章:自由になるのに100万ドルは必要ない
・サイドFIRE:リタイア後も副業を持つことで100%経済的に自立していなくてもOK
・地理的アービトラージ:弱い通貨の国でリタイア後の生活を送る
■第18章:我が道を行け
・お金持ちになるカギは自分に最も合ったやり方(ハスラー型、投資家型、オプティマイザー型)を選ぶこと
練馬区で「我が家のSNSルール」にパスワード記載し提出を依頼(転載)~区民への啓蒙の前に職員への教育を徹底せよ!!~
練馬区で「我が家のSNSルール」にパスワード記載し提出を依頼
東京都練馬区は2021年12月3日、区立中学校における個人情報の不適切な取扱いについて発表した。
練馬区教育委員会では、児童生徒の情報モラル向上と情報端末に係る事故の防止に向けて、家庭でのSNSルールづくりを啓発・促進するために、SNS練馬区ルール・リーフレットを作成し各家庭に配布、各校に対してもルールづくりの状況を確認するために各家庭で作成した、パスワードを記載しない状態でのリーフレット提出を求めるよう通知していた。
練馬区によると、練馬区立中学校1校で11月19日に、12月実施の三者面談で生徒のSNS利用に関する注意喚起を行うため、各家庭にSNS練馬区ルール・リーフレットの「我が家のSNSルール」を提出するよう依頼したが、その際にSNSのパスワード記載は不要との説明を失念したため、提出した生徒のパスワードを学校が知り得る事態であったことが11月30日に保護者からの連絡で判明した。パスワードを「未記載」または「削除・マスキングした状態」で提出する旨の説明を失念したことが原因という。
同校では12月2日時点で、276名からのリーフレットの提出を受け付けていた。なお、受け付けたリーフレットは学校の施錠できる場所で保管しており、順次各家庭に返却を行っているため、パスワード漏えいは発生していない。
同校では12月3日に、各家庭に謝罪文を送付している。
教育委員会では12月1日に、区内の全校に注意喚起を促すとともに、12月2日に他の学校で同様の事態が発生していないことを確認済み。
同区では今後、改めて各学校に通知を行うとともに、今後発行する同リーフレットではパスワード記載箇所を削除するとのこと。
パナソニックの機密データがハッカーに盗まれる / Хакеры скомпрометировали конфиденциальные данные Panasonic(転載)
ドレス通販サイトに不正アクセス - クレカやログイン情報流出の可能性(転載)
「魚がし鮨お持ち帰り予約サイト」におけるお客様情報流出について
骨盤ベルト通販サイトに不正アクセス - クレカ情報など流出した可能性(転載)
骨盤ベルトの通信販売を手がける「トコちゃんドットコムECサイト」が不正アクセスを受け、顧客のアカウント情報やクレジットカード情報が流出し、一部が不正利用された可能性があることがわかった。
同サイトを運営するトコちゃんドットコムによれば、システムの脆弱性を突く不正アクセスにより、決済アプリケーションを改ざんされ、6月17日から7月2日にかけて同サイトを利用し、商品を購入した顧客情報507件を窃取された可能性があることが判明したもの。
ログインID、パスワードのほか、名義、番号、有効期限、セキュリティコードなどクレジットカード情報を窃取され、不正に利用された可能性があるという。
7月6日に不正なファイルを発見。「クロスサイトスクリプティング(XSS)」の記載を含む不審な注文が行われていたことなども確認したことから同日サイトを停止し、外部事業者による調査を行っていた。
調査は9月28日に完了。10月6日に警察へ申告し、翌7日に個人情報保護委員会へ報告した。同社では、対象となる顧客に対し11月15日より書面による報告と謝罪を行っている。たけy同社では、システムのセキュリティ対策および監視体制の強化を行ったうえで、サイトを再開する予定。
ー2021年11月15日追記ー
弊社が運営する「トコちゃんドットコムECサイト」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ(バックアップ)
通販サイトへの不正アクセス、クレカ流出の調査結果が判明 - グラントマト(転載)
グラントマトオンラインショップからのカード情報漏えい(オムニEC)
通販サイトへの不正アクセス、クレカ流出の調査結果が判明 - グラントマト
福島県を中心に東北地方や関東北部で店舗を展開するグラントマトは、同社通信販売サイト「グラントマトオンラインショップ」のシステムが不正アクセスを受けた問題で、調査結果を明らかにした。
同サイトの運用で利用していたジーアールのECサービス「オムニECシステム」が不正アクセスを受けたもの。同システムを利用する他事業者において情報が流出した可能性があることが9月4日に判明。同社においても9月17日に事態を公表するとともに、東芝テックやジーアールと連携し、詳細について調査を進めていた。
判明当初、本誌の取材に対してオンラインストアの顧客情報約5000件やクレジットカード情報約250件を窃取された可能性があるとの見解を示していたが、外部事業者の実施した調査でクレジットカードに関しては、4月7日から8月19日にかけて利用された349件が流出した可能性があることが明らかになったという。
流出内容には、クレジットカードの名義、番号、有効期限、セキュリティコードなどが含まれる。11月15日の時点で不正利用の被害などは確認されていない。
ー2021年11月15日追記ー
Trip.com、ホテル予約でPontaポイントが貯まるサービスを開始(転載)
Trip.comでは、2021年11月19日(金)より、ホテル予約でPontaポイントが貯まるサービスを開始した。
11月19日(金)以降、Trip.comで国内および海外のホテルを予約し、宿泊すると、宿泊料100円(税抜)につき1 Pontaポイント貯まる。予約時にPonta会員用のwebページを利用することでホテル宿泊の2ヵ月後にPontaポイントが加算される。
また、Trip.comの会員プログラム「Trip Coins」とPontaポイントをダブルで貯める事は可能だ。
群馬大が不正アクセスを受け、57万件の迷惑メールが送信される(転載)
tokyo-np.co.jp/article/142728