乙Py先生のプログラミング教室
初学者のためのプログラミング学習サイト

ニュース

今回はニトリの不正アクセス事件で
使われた可能性のある
リスト型攻撃についてです


解説動画はこちら






事件の概要

日用品大手の「ニトリホールディングス」は
13万件余りの会員アカウントが不正アクセスを受け
登録されている氏名や住所、購入履歴などの
情報が漏えいした恐れがあると判明

ニトリ側は会員に対して
パスワードの再設定を呼びかけている
とのことです



攻撃の手口

ニトリ側が詳しく調べたところ
大量の不正アクセスは
「リスト型攻撃」と呼ばれる
手口によるとみられ何者かが
会員IDとパスワードのリストを
悪用してアクセスを行った
可能性があるとコメントした


リスト型攻撃とは


オンラインサービスへの不正アクセス攻撃の一種

不正ログインのためにIDとパスワードがセットとなった
アカウント情報リストを利用する

従来からある攻撃手法である
「ブルートフォース攻撃」や
「辞書攻撃」と区別するための呼称となる

 なおこのリスト自体は
「他社サービス」からも漏れる可能性がある


ブルートフォースアタック

nitori05

逆(リバース)ブルートフォースアタック

nitori06

リスト型攻撃

nitori07

リスト型攻撃はブルートフォースアタックなどと違い
IDとパスワードのリストを事前に入手して行われる

他社で使われていたIDとパスワードのリストになるが
パスワードなどが使い回されている場合は
すぐに突破されてしまう


対策方法

ユーザーやサービス、双方で対策することが重要です

ユーザー側:
・複数サービスで同じパスワードを使い回さない
・アカウント管理ソフトなどの導入を検討

サービス側:
・IPアドレスや機種のログイン履歴に合わないものの通知
・同一IPや機種からの複数回ログイン試行の監視
・2段階認証の導入




まとめ

「リスト型攻撃」に使われたリストは
他社から漏れたリストが使用された可能性が
高いと思われます

なので複数サービスで
ユーザーID、パスワードの使い回しには
気をつける必要があります


またサービス側には
「リスト型攻撃」への対策が不足していた可能性があり
この辺についてはしっかりとした対応が
求められることになるだろうと思われます

特に二段階認証などを導入すれば
被害は格段に減ると思うので
まだであれば早速検討していただきたい所です


今回は不正アクセス事件の
手口についてお伝えしました

日頃から気をつけておく必要があるものなので
心の片隅にでも置いていただければと

それでは

10月からフリーランスになるので
会社を作ってみました。


解説動画はこちら





さて、まずは会社設立の経緯ですが
・仕事の区切りが良かったのと、元々副業をしている
・今までの仕事の内容を継続するため(就業先と直接契約を結ぶ)
・就業先との取引には法人契約が必須なため(個人事業主はx)
・今までの仕事以外の仕事も行うことができる

っていう事です。

現在エンジニアとして
機械学習とかを使ったプロダクト開発
POCをなどをしたりしてます。

今以上に受けられる仕事が増えることと
稼げるんじゃ無いかという淡い期待で
法人化することとしました。


会社設立の流れ

法人が出来上がるまでの流れはこんな感じです。
1.会社概要の決定(1営業日)
2.法人印の作成(1-3営業日)
3.資本金の払い込み(1営業日)
4.定款の作成・認証(2-5営業日)
5.登記申請書類の作成(1-5営業日)
6.会社設立登記(1営業日)
7.法人番号指定通知書の通知(2-5営業日)

1-5は並行して出来るので
書類が揃えば登記は出来ますね。

最短で、登記までに1週間
登記後1週間ほどで法人設立は
完了すると思います。


会社を作る方法


次に会社を作る方法ですが
次の3通りの方法かと思います。

1.全部自分
2.書類作成を代行業者に依頼し自分で登記
3.書類作成も登記も代行業者に頼む

登記には「定款」が必要で
これを作成するのに「司法書士」が必要です

なので「定款」とまとめて「必要書類」の作成や
登記自体を司法書士に代行で依頼が出来たりします。

自分は登記も代行で依頼しました。


会社設立の費用

次に会社設立の費用ですが
株式会社と合同会社で違います。

自分は合同会社を設立したので
登録免許税が6万円
代行手数料が3万円
その他諸経費込みで10万円ほどでした。

株式会社になるとその倍くらいは
最低でも掛かりそうです。


会社設立までに最低必要なもの

登記代行したとしても
最低限自分で用意しないとダメなものがあります。


1.代表者の身分証明書
2.代表者の実印
3.代表者の印鑑証明書
4.資本金の払い込み(写し)
5.定款作成に必要な事項のまとめ
6.登記場所(事務所を借りるか自宅)

これだけあれば後は代行業者に依頼出来ます。

無い場合は、ここから取る必要があるので
さらに費用や時間が加わることでしょう。

特に登記場所は事務所登記になる場合は
先に個人で登記場所としての事務所等を
借りないといけません。


法人の登記が終わると
法人番号指定通知書の通知書が届きます

あとは会社の印鑑カードを使って
印鑑証明書の取得や、登記事項証明書を
取得することができます。

これも代行で取得してもらいました。


会社の登記が終わったら

法人の設立が終わると
役所などに届け出ないといけないものが
山積みです。

自分も全部は終わっていません
最低でもこれだけあります。
スクリーンショット 2022-09-03 17.54.08


しっかし、同じ法人設立届出書を3箇所に出すの
ほんとうに意味がないですねーーー

法人の設立が終わったら
届け出は1箇所にして
国が全部横に展開してくれればいいのに

現在の自治体の仕組みは
非常に非効率で税金の無駄が多いです。


法人化のメリット、デメリット

メリット
・個人よりも信用が上がる?
・個人よりも経費化がしやすい


デメリット
・法人を作るのが面倒臭い
・決算が大変そう
・赤字でも均等割の住民性が発生

やはり、法人化のメリットは
「お金」ですね。

残せるお金が個人事業主よりも多くなるので
ある程度稼げている人は
法人化する方が良さそうですね

その分、面倒臭いことも増えるので
稼げてないと意味がないかもです。


今後フリーランスを目指す方で
結構稼ぐよっている方は法人化した方が
メリットを享受できるかもしれないので

会社作るの有りだと思います。

今後も法人化して
どうなったかについては
お伝えしていきたいと思います

それでは。






とあるデータの捏造が酷いと
話題になっていたので動画にしてみました

解説動画はこちら


 
元になったデータは厚生労働省が出している
資料の中にあるもので、リンクはこちらです。

接種歴別の新規陽性者数


接種歴別の新規陽性者数 4/4データ

とあるデータの捏造が酷い.003
とあるデータの捏造が酷い.004

とあるデータの捏造が酷い.005

とあるデータの捏造が酷い.006


2022/4の初旬と2022/4/11以降では
10万人あたりの未接種者の新規陽性者数に
大きな違いが出ています。


どうやら、新規陽性者数の
集計方法が変わっているそうです。


なんと、4/4集計分までは
接種した感染者であっても
打った日付が分からなければ
未接種者としてカウントする集計を行なっていたようです。

何ということでしょう・・・・

そんなの調べれば直ぐに分かるような
内容だと思いますが
データベースの不備なのか
職員の怠慢なのか
誰かの指示なのか・・・・

分かりませんが、4/11以降の集計分は
未接種から、接種不明扱いに変わったようです

これにより、10万人あたりの未接種者の新規陽性者数が
大きく減る形になりました。

このような命に関わる統計の不正は
有ってはならない事です。

それがまかり通ってしまっている事自体が
組織として腐敗している
状況であるということが分かります。

そしてもっと大きな問題が見つかりました。


とあるデータの捏造が酷い.009

4/11以降のデータ上では
10万人あたりの
未接種者の新規陽性者数よりも
2回接種者の新規陽性者数が
上回っている年代が有るということです。

40代以降ではかなり逆転してます。

予防効果があるのであれば
このようなことにはならないはずで有るので
そもそも予防効果が無いということと

免疫力の低下を
引き起こしているのではないかという
危惧が有ります。

帯状疱疹
自己免疫性疾患の悪化
原因不明の体調不良
このあたりは免疫力の低下に
よるものと考えられるでしょう。

加えて脳梗塞が増えているという話であれば
接種すると、体に深刻な影響を及ぼすことは
明らかでしょう。

この辺りがデータとしてまとまれば
もっとハッキリしたことが言えるんですけどね

二次被害のデータが無いので
データが出てくるのを待ちたいと思います。

それでは。

今回は2021年に起きた
IT関連の10大ニュースです。

解説動画はこちら




私的に今年起きたIT関連の事件事故的な
ランキングをつけてみました。


10位は
2021年俺的IT関連10大ニュース.002


9位は
2021年俺的IT関連10大ニュース.003


8位は
2021年俺的IT関連10大ニュース.004


7位は
2021年俺的IT関連10大ニュース.005


6位は
2021年俺的IT関連10大ニュース.006


5位は
2021年俺的IT関連10大ニュース.007


4位は
2021年俺的IT関連10大ニュース.008


3位は
2021年俺的IT関連10大ニュース.009


2位は
2021年俺的IT関連10大ニュース.010


1位は
2021年俺的IT関連10大ニュース.011


こんな感じになっております。
細かい説明はぜひ動画を見てみてくださいね。

それでは。




今回はOmiaiの会員情報流出事件についてです


解説動画はこちら



会員情報流出事件

さて
マッチングアプリ「Omiai」は会員数が延べ
600万人と国内有数のマッチングアプリです。


そんな恋活・婚活マッチングアプリ
「Omiai」を管理するサーバーに対し
外部からの不正アクセスを受け
会員情報の一部が流出した可能性が
高い事が判明したそうです。

今のところ、不正利用などの
被害は確認されていないそうですが・・・



流出対象の会員情報

対象:2018年1月31日
~2021年4月20日の期間(3年分ちょい)
171万1千756件分の年齢確認書類の画像データ

年齢確認審査書類の主な種別:
運転免許証、健康保険証、パスポート
マイナンバーカード(表面)等
そのうち、全体の過半数となる約6割を
運転免許証画像データが占める

マイナンバーは取っていなかったんだけど
会員さんがマイナンバーを含む画像を
誤って送って来てしまったので
それが流出しちゃった(ゴメンね)

結構エグいですよねーーーー
免許証のデータが流出しちゃうとか
管理方法はどうなっているんだって
思いますよね。


事件の経緯

2021年4月28日15時頃:
「Omiai」サービスの会員情報を
管理するサーバーにおいて
意図されていない挙動が観測

画像データに対する不正アクセスの痕跡を発見

特定可能な不正アクセス者のIPを速やかに遮断
ネットワーク制限を強化するなどの対処を行う

外部専門会社の協力の下
フォレンジック調査および
更なる監視体制の強化を図り
システム全般面の第三者検証も同時に開始

サービス内で利用されている
他の情報についてもアクセス制限を強化



流出の原因は?

恐らくですが
・アクセスポイントやID、PASSが流出していた
・第三者がアクセスできる状態にあったこと

こういうことなんだろうと思いますね。
一応運営側の言い分がありました。

「これは言い訳になってしまうかもしれませんが
この不正アクセスの痕跡を確認したのが
ゴールデンウィークの直前で

さらには当社では新型コロナウイルス感染症の影響で
リモートワークを進めていたことなどもあり
結果的に発表までに時間を要してしまいました」


対策

やはり
個人情報を扱う場合は
外部との接触ポイントを極力抑える

個人情報取り扱い業者のリモートワークは
そもそも危険なのではないかということ

定期的にID,PASSの管理、チェックを行う
最低限の努力はしないといけないですね。



そもそもなんで本人確認が必要なのか

インターネット異性紹介事業を利用して
児童を誘引する行為の規制等に関する法律
通称「出会い系サイト規制法」

異性と出会うことを目的とした
マッチングアプリなどのサービスの運営を
開始する際には、インターネット異性紹介事業の
届出を行うことを法律で義務付けられているからです

そしてマッチングアプリの運営は
「インターネット異性紹介事業」にあたり

インターネット異性紹介事業者には
18歳未満の児童の利用を確実に阻止するための
厳格な年齢確認の義務が課されています

運転免許証や国民健康保険被保険者証など
生年月日と年齢が記載された
公的な本人確認書類を受け取る、か

クレジットカードなど一般的に18歳未満の児童が
利用できない方法でのみ支払いを可能にする

という対策をしないといけないようです。



マッチングアプリを開発・運営するなら

インターネット異性紹介事業者の
登録を行わないといけない

公的な本人確認書類をユーザーから
受け取って確認しないといけない

売春防止法違反の幇助の疑いでも逮捕される

セキュリティー面や法律面の問題を
全てクリアしながら開発しないといけないので
かなりハードルが高い!!!!!!
(非出会い系アプリでも判断されるとアウト)


いやーー婚活したいので
マッチングアプリでも使ってみるかーとか
思っていたらこの事件ですよーー

くーーー
二の足を踏んでしまいますねえ
 
安心安全を求めるなら
自分たちで作るしかないのか
マッチングアプリ!!!


今回はこれまでです
それでは

このページのトップヘ