Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

レスターシティのカード情報漏洩

レスターシティと言えば英プレミアムリーグの強豪チームの1つで、岡崎選手が在籍している(もうすぐ退団しそうですが)チームですが、ここのWebサイトも侵害を受けた様です。

www.leicestermercury.co.uk

 

Leicester Cityによると、オンラインストアのユーザーはセキュリティ違反のために個人情報と財務情報が侵害されています。同クラブは、この違反は4月23日から5月4日の間に一部のユーザーに影響を及ぼしたと述べている。

本日発表された声明の中で、彼らは詳細が危うくされた支持者はすぐに連絡されそして何をすべきかを言われたと言います。

声明は続けます:「違反が発見されると、当社の小売プラットフォームのセキュリティは直ちに回復し、他のすべてのオンライン資産のセキュリティを確保するために適切な措置が取られました

GDPRの責務に沿って、クラブは、影響を受ける可能性のあるユーザー、警察、ICO(Information Commissioners Office)を含むすべての必要な当事者に通知し、違反の原因について直ちに調査を開始しました。

「調査は現在進行中です。
「クラブは、この違反の影響を受ける可能性のあるすべてのユーザーと直接接触しています。」

(Leicestermercury記事より引用)※機械翻訳

 

◆キタきつねの所感

密かに親近感を覚えていた、レスターシティ。実はチームマークが「きつね」だったりします。

f:id:foxcafelate:20190615105534p:plain

こちらのWebサイト(グッツ通販サイト)が侵害を受けて、どうやらクレジットカード情報が漏洩した様です。レスターシティ側の発表には細かい情報が調査中という事で出てないのですが、関連ソースを追いかけてみると、

Leicester City FC fans’ financial details stolen in cyber attack - IT Governance Blog

 

この違反は2019年4月23日から5月4日の間に発生し、shop.lcfc.comを通じて購入した人に影響を与える可能性があります。

カード会員名、カード番号、有効期限、CVV番号はすべて侵害されました。

(Itgovernance blog記事より引用)※機械翻訳

 

カード情報、それもセキュリティコード(CVV)まで漏洩してしまった事が伺えます。調査中という事であまり情報は無いのですが、海外専門家の推測を見ていると、レスターシティが決済後にセキュリティコードを残していたのではないか(PCI DSS違反)といった意見も出ていました。

 

私は日本のECサイトが最近多く侵害を受けているのと同じで、決済ページ周りが侵害を受けて意図せずカード情報がJavaScript等でハッカー側に飛ばされたのかな思います。

 

1つ気になるのが、既にカード情報が不正購買(悪用)されているとのファンの声もあるようで、だとすると、侵害を受けてすぐにレスターシティ側が「対策済」としてカード決済を復活させている部分が、腑に落ちません。

 

一般的には

 

カード情報漏洩事件発覚

フォレンジック調査(1カ月以上かかる事が多い)

>セキュリティ対策

PCI DSS監査 

 

という形で侵害を受けてから、カード決済を復活させるまでには、カードブランドあるいはアクワイヤラー(カード会社)から強制的な指示を受けるはずなのですが、侵害を受けたのが5月上旬で、既にグッツ販売のECサイトは復活している様なのは、どうしてなのかな、、、と疑問に思う所です。

 

とは言え、これ以上は情報が出てないので、続報を待つしかないようです。

 

因みに、まだ英国はEC加盟でもあるという事も影響しますが、この事件がGDPR違反を問われる可能性がある、場合によっては高額な罰金を課される可能性がある(=クラブの資金計画に影響が出る)、、、そうしたレスターシティファンの不安な声も出ていました。

 

 

f:id:foxcafelate:20190615105708p:plain

更新履歴

  • 2019年6月15日AM(予約投稿)

CSVファイルはメモ帳で開こう

APT10が関与すると疑われるフィッシング攻撃は、フィッシングメールの添付ファイルは誰かが開いてしまうのが当たり前と考えるべきだとの認識を強くさせます。

www.security-next.com

 

中国の関与が指摘されるサイバー攻撃グループ「APT10」のあらたな活動が観測された。従来見られなかったダウンローダーを攻撃に用いていたという。

「APT10」は、「menuPass」「StonePanda」「Red Apollo」「CVNX」「POTASSIUM」「ChessMaster」などといった別名でも知られる攻撃グループ。国内を標的とした攻撃では、CSVファイル」を用いた攻撃なども観測されている。

(Security Next記事より引用)

 

◆キタきつねの所感

国が関与すると見なされるハッカー集団(※APT10は中国政府が関与していると言われています)ですから、ホワイトの分析側が特徴としていて把握している部分は当然の様に認識しており、違ったパターンの攻撃を試行するのは当然と言えるかも知れません。

 

しかし気になるのが、CSVファイルですね。ついにそこまで攻撃が・・という思いがありますが、マクロなどが入り込みずらい(と誰もが思っている)CSVファイルの特徴、つまり人の脆弱性をうまう突いた攻撃と言えるかも知れません。

www.security-next.com

 

CSVファイルだから安全だ、とフィッシングメールを受けた人が油断してクリックしてしまうと、エクセル起動に合わせて悪意があるコードが意図せずダウンロードされてしまうという攻撃の様ですが・・・よく考えられています。

 

この点だけならば、利便性を犠牲にすれば各端末の設定で防げなくはありません。例えばCSVファイルをメモ帳を開くアプリケーションとして紐づけておけば、異常なファイルになっている事がメモ帳に出てくるテキストですぐ把握できますCSVファイルを用いた攻撃は、CSVファイルがメモ帳ではなく、標準的にはExcelと紐づく事を想定して偽装ファイル(悪意のあるコード含む)が添付ファイルとして飛んでくる事に特徴があるのだとすれば、この対処は(私にとっては)そう難しくはありません。

※似た様な考え方でメール本文の表示をHTML形式ではなく、テキスト形式にした方が諸々のひっかけ部分に気づきやすいかと思います。

 

しかし多くの従業員の端末1台1台にこの設定をするというのは恐らく、無理です。なので攻撃はどこかで成立してしまうと考え方を変える必要があるかと思います。

 

CSVファイルは日本でも多くのユーザが使っているので、警戒すべき攻撃ですが、(防御は失敗して)誰かが感染してしまう率が高いとして、意識を強く持つ必要があるかも知れません。

 

 

参考:APT攻撃グループ(FireEye)の詳細

APT10 別名:Menupass Team

関与が疑われる国家/組織:中国

標的とされる業種:米国、ヨーロッパ、日本の建設/エンジニアリング、航空宇宙、通信業界の企業と官公庁

概要:APT10は、FireEyeが2009年から追跡している中国のサイバー・スパイ・グループです。これまでに、米国、ヨーロッパ、日本の建設/エンジニアリング、航空宇宙、通信業界の企業と官公庁を攻撃しています。これらの業種を標的にした同グループの活動は、中国の国家安全保障上の目的達成(重要な軍事情報や秘密情報の入手、中国企業にとって有益なビジネス上の機密情報の窃取など)を支援するために実施されていると、FireEyeでは考えています。

 

 

 

 

 

f:id:foxcafelate:20190601093621p:plain

 

更新履歴

  • 2019年6月1日AM(予約投稿)

熊本ワインショップのカード情報漏えい

またカード情報漏えい事件が報じられていました。

www2.uccard.co.jp

 

■公式発表 「熊本ワインショッピングサイト」における情報流出に関するご報告とお詫び

 

2019 年 1 月 22 日、本サービスにおいてアプリケーションの機能を悪用した不正アクセスにより、本サービスの決済情報入力画面が書き換えられ、クレジット決済情報入力にて購入者様が入力したカード情報を窃取されていることが判明いたしました。

(中略)

(1) 流出したおそれのあるクレジットカード情報: 最大 444 件
カード番号・カードの有効期限・セキュリティコード・カード会員の住所・カード会員の氏名

(2)流出したおそれのある本サービスでの購入期間
   2018 年 12 月 5 日~2019 年 1 月 30 日

(3)流出したおそれのあるクレジットカード情報以外の情報と件数: 最大 7542 件
   住所・氏名・電話番号・メールアドレス・購入履歴・発送先情報・会員 ID・パスワード

(公式発表より引用)

 

 

◆キタきつねの所感

またカード情報漏えい事件が出てきました。何となく毎週慌ててブログ記事を書いている気がしますが、現在調査中のカード情報漏えい事件も含め、やはり現在進行形で、相当数のECサイトが攻撃を受けているのかと推測します。

熊本ワインのサイトを調べてみたのですが、最近よく被害を受けていたEC-CUBEを使用している痕跡は確認できませんでした。

 

しかし、管理者アクセス画面の部分は・・・改善の余地がありそうでした。

f:id:foxcafelate:20190618103605p:plain

 

この辺りは、ECサイト自身も気を付けるべき部分ですが、ECサイトを制作する外注会社は、更に気を付けるべきであると言えるかも知れません。とは言え、熊本ワインは、HP制作を地元の会社に依頼した様ですので・・・実績を見る限りは、セキュリティ知見をあまりお持ちでは無い、デザイン側に特化した会社なのかなと推察します。

mont.jp

 

地元密着でビジネスを拡大していく上では良い事ではあるのでしょうが、セキュリティの観点(攻撃側の視点)では、攻撃を受けるかも知れないという想定の元で、ECサイトを運営(制作)する必要があるかと思います。もしECサイト運営側、あるいはHP制作会社でそうした知見が無いのであれば、例えば第三者Web脆弱性診断などを受ける方が良いのではないかと思います。

 

因みに、海外(日本以外)では、カード情報非保持なる独自ルールは無いので、ECサイトPCI DSS準拠が一般的です。その準拠維持のためには、四半期毎のASVスキャン(脆弱性診断)を受ける事が求められています。

 

カード情報非保持にしたから安全・・・というのは、正しい部分と、間違った部分があります

カード情報非保持の部分(決済代行会社やサービスプロバイダーが提供する非保持サービス)を起因とする国内でのインシデント事例は(まだ)ありません(知りません)が、そこへの繋ぐページはECサイト側の保護対象範囲であり、非保持サービスを提供する会社は守ってくれません。

 

セキュリティ実装にミスがある所が、数多くカード情報漏えいインシデントを発生させている・・・その理解がECサイト側(業界内)で不足しているのであれば、割販法のガイドライン(実行計画)が変わってしまう、言い方を変えれば、もっと強制的にセキュリティ対策が求められる記述になってしまう事が、現実になるかも知れません。

 

(6/19追記)不正利用が70件、1000万円超えているとの事、イオン系の不正が2200万円だった事を考えると結構被害が大きいなという印象です。想像でしかありませんが、ワインを購入される方のクレジットカード限度額が高めだったのかな?と思います。

headlines.yahoo.co.jp


 

 

f:id:foxcafelate:20190618103354p:plain

更新履歴

  • 2019年6月18AM(予約投稿)
  • 2019年6月19日PM 追加記事をうけて加筆

メジカルビューの最終報告

昨年10月に個人情報漏洩が発覚したメジカルビューの最終報告結果についての記事がSecurity Nextに出ていました。

www.security-next.com

 

■公式発表 メールアドレスおよびパスワード情報流出のお詫びとご報告

 

同社では、同社運営サイトが不正アクセスを受け、一部登録会員のメールアドレスとパスワードが流出したとして、2018年10月に事態を公表。その後、外部事業者による調査を進めていた。

その後の調査で、同サイトおよび「動画でチェック! 乳腺エコー/運動器関節エコー」に登録した会員5815件のメールアドレスとパスワードが、海外のウェブサイトで約1カ月にわたり公開されていたことが判明した。

今回外部で確認されたファイルに関しては、氏名や住所などは記載されていなかった。海外サイトで公開が確認されたファイルは、すでに削除されている

(Security Next記事より引用)

 

◆キタきつねの所感

公式発表を見ると、継続的に情報を更新(7回)しているメジカルビュー社のインシデント対応は、他の企業も見習うべきリリース対応であると思いました。

 

さて、どこかで関連記事をみたなと思っていて探してみたら、piyologさんの1月の記事にそのメジカルビューの情報が出ていました。Troy Hunt氏のデータ漏洩情報(Collection#1)の中に、Medicalviewに関する情報が出ていた様です。

piyolog.hatenadiary.jp

 

確認した.jpドメイン18個は次の通り。

easyriders.jp
itms.jp
medicalview.sakura.ne.jp
(以下略)

 

■対応について
不正アクセスを受けた弊社サイトの脆弱性について、専門の調査会社に依頼し調査を行い、改修作業を実施いたしました(2019年5月29日完了)。
・一般社団法人JPCERT コーディネーションセンターを通じ、発見されたファイルの掲載サイトに削除要請を行う予定でございましたが、すでに削除されたことを確認しております。万一、再び掲載されたことが確認された場合は削除要請を行います

(公式発表より引用)

 

漏洩した情報について、外部掲載サイトでのファイルが既に削除済であると書かれていますが、TroyHunt氏のサイトに掲載されているという事は、その前にDarkWeb等で漏洩データが販売されていたという事を示唆しています。

漏洩したデータは加工しなおされたり、別な形で出てくる事も多いかと思いますので、漏洩データは既に拡散されたと考えた方が良いのではないでしょうか。

削除要請についても・・・JPCERT経由での削除依頼対は国内サイトならまだしも、(グレーやブラックな)海外サイトへの削除交渉は、難しいのではないかと思います。(潰せたのはPastebinの様なオープンサイトであって、大元のブラックなサイトでは無いのではないでしょうか?)

 

覆水盆に返らず、という言葉がぴったりなのがこうした情報漏洩事件なのであり、個人情報を漏らさない様に各個人情報を保有するサービス事業者が努力する必要があるかと思います。

 

余談ですが、少し気になったので、piyokango氏がCollection#1で挙げていた18サイトのその後の状況を簡単に調査してみました。

 

結論から言えば、インシデントとしてきちんと発表したのがメジカルビューとポルシェジャパンの2サイト既にサイトが無い(逃げた)のが4サイト。事件を無かった事としていると思われるサイトが12サイトでした。

TroyHunt氏の個人情報が漏洩した、という掲載情報(Collection#1)が正しいという前提に立てば、漏洩した9割以上のサイトはその事実を隠蔽する、あるいは逃げる、こんな残念な簡易調査結果になりました。

 

この結果から、個人情報管理がしっかりとしている企業、あるいは上場企業クラスでないと個人情報を預けるのはリスクが伴うな・・という事を改めて感じました。

 

.JPドメイン データ漏洩報告 業態
easyriders.jp ハーレ等の自動二輪部品の企画・開発・製造・販売サイト。
itms.jp 韓国発券の旅行代理店サイト。
medicalview.sakura.ne.jp メジカルビュー社
mensworker.jp ページにアクセスできず(閉鎖していると思われる)
npb.scforum.jp プロ野球カードフォーラム
oshiete.petst.jp 犬・猫の戸籍とブログコミュニティ
ota-fair.jp ページにアクセスできず(閉鎖していると思われる)
shizuoka-jinjacho.or.jp 静岡県神社庁
sp.acrovision.jp IT求人ナビ
tech-t.co.jp CD/DVD等のプレス・印刷
t.tfn.ne.jp ページにアクセスできず(閉鎖していると思われる)
vch.jp VR映像等の撮影・編集・販売
water-net.co.jp リフォーム等
www.aib-a.jp アーティフィシャルインテリアブーケ協会
www.nabeya.co.jp 工作機械用治具ユニット等の製造
www.okayama-international-circuit.jp 岡山市にあるサーキット
www.porsche.co.jp ポルシェジャパン
www.shizu-toku.jp ページにアクセスできず(閉鎖していると思われる)

 ※個別にユーザに連絡していたりいるサイト事業者も含まれている可能性もありますが、ホームページ上には個人情報が漏洩したという発表が(トップページやリリース部分に)見受けられなかったので、データ漏洩報告は無いという分類にしています。

 

 

参考 

foxsecurity.hatenablog.com

 

 

f:id:foxcafelate:20190609161613p:plain

 

更新履歴

  • 2019年6月9日PM(予約投稿)

イオンカードの不正利用

このニュースを聞いた時に思ったのが、小さなECサイトとは違い一定以上のセキュリティ対策を実装している(であろう)金融系の会社でも結構な被害が出てしまうのか・・・という事でした。

www.nikkei.com

 

 

■公式発表 インターネットサービス「暮らしのマネーサイト」での不正ログイン発生のお知らせおよびパスワード変更のお願いについて

 

イオンマークのカード会員さま向けインターネットサービスの「暮らしのマネーサイト」およびスマートフォンアプリの「イオンウォレット」において、外部で不正に取得したと思われるID・パスワードを使った“なりすまし”による不正ログインが発生し、カード会員さまの情報が第三者によって閲覧された可能性、および一部会員さまの情報が改ざんされていたことが判明しました。今後の調査の進捗により対象件数や状況は変動する可能性がありますが、現時点で判明している事実と対応状況についてご報告いたします。

このたびの不正ログインは、2019年5月28日から6月3日までの間、ID・パスワードを使った“なりすまし”により行われたもので、1,917名のカード会員さまが不正ログインされた可能性があることが確認されました。そのうち、一部のカード会員さまにつきましては、不正ログイン後に登録電話番号が改ざんされ、スマートフォン決済アプリへの登録・認証に使用され、カードが不正利用されていることが確認されております。

(公式発表より引用)

 

◆キタきつねの所感

事件の公式リリースの方を見てみると、

f:id:foxcafelate:20190615065558p:plain

短期間(6日間)に攻撃を受けていた様です。不正ログインが成功した1,917件を6日で割ると、1日あたり320件弱となります。(想像ですが)パスワードリスト攻撃であればログイン失敗がかなり出てくると思うので、検知が出来る可能性もありますが、フィッシングが起因の様なリリースも出ているので、900万以上の会員数を持つ事から考えると、防衛側が気づきにくい攻撃であった事が想像されます。

ここまでであれば、個人情報閲覧(の可能性による個人情報漏洩事件)だけで終わったと思いますが、イオングループの場合、その他のアプリとの連携もスムーズだったので、

 

一部のカード会員さまにつきましては、不正ログイン後に登録電話番号が改ざんされ、スマートフォン決済アプリへの登録・認証に使用され、カードが不正利用されていることが確認されております。

(公式発表より引用)

 

カード不正利用の被害まで達した様です。私の理解では、、、

 

「暮らしのマネーサイト」へ不正アクセス ※IDとパスは外部で漏洩

>「暮らしのマネーサイト」の登録携帯番号を不正変更 

>「イオンウォレット」新規登録 

>「暮らしのマネーサイト」登録携帯電話番号に認証確認 

>「イオンウォレット」ショッピングで不正利用

 

という感じの構図でしょうか。ショッピングは換金性の高い金券か、家電でも買われたのかと思いますが、この構図だとすると、事件規模が大きくなった問題点は2つ考えられると思います。※今回記事は長いです

 

1つはユーザ側のミスです。ほぼ間違いなくフィッシングに引っかかっています。

 

イオンカードのリリースを見ると、今回の不正アクセスについての事件リリース(6/13)と、明らかにそれに関係したと思われる『フィッシング注意』のリリース(6/14)が並んでいます。

f:id:foxcafelate:20190615064600p:plain

 

中を見ると・・・電子メールやSMSで偽画面に誘導され認証情報を窃取されない様にご注意下さい。というフィッシングメールに対するリリースを出すまでの何ががあった事を受けての注意喚起です。

 

f:id:foxcafelate:20190615071552p:plain

 

イオンカードの通常の注意喚起に、今回のフィッシングメールとも類似しているのかと思われる内容(分かりやすい例示)がありましたので引用しますと、

f:id:foxcafelate:20190615072136p:plain

 

イオンクレジットサービスのカード申込画面に酷似したサイトやイオンスクエアメンバーの会員規約を利用しID/PWを入力させるサイトにご注意ください

 

まったく同じフィッシングメールではないかも知れませんが、2019年4月のイオンカードの注意喚起では、フィッシングメールが飛んできて、

f:id:foxcafelate:20190615072521p:plain

 

ひっかかってしまう(カード情報を入力してしまう)方が結構いたのだろうな・・・と推測させる、注意喚起となっていました。

f:id:foxcafelate:20190615072557p:plain

 

1つ目の問題点であるフィッシングにユーザがひっかかる点について、イオン側には恐らく責は無いと思います。ユーザ=お客様でもあるのでイオン側は強く言えないかと思いますが、ユーザ側のレベルがあまり良くなかったので、この手のフィッシングに引っかかったというのが事件の起因である事は間違いない様です。

今回のフィッシング文面はもっとひっかかりやすい内容だったかも知れませんが、会員数が多ければ一定数のユーザがひっかかる場合があるのは仕方が無い事だと(個人的には)思います。

 

2つ目の問題。

イオン側の不正ログインへの検知ですが、総当たりやパスワードリスト攻撃ではなかった様に思えますので、AI検知(リスクベースや振る舞い検知)などが実装されて無ければ、正常のログイン試行とほぼ同じで、ログインエラーも多くなかったとすれば、防げないのは仕方が無いかなと思います。

では何が2つ目の問題かと言うと、携帯電話番号の不正変更部分です。推測になりますが、ここが簡単にできてしまったとすれば、イオン側の対策の甘さが指摘されても仕方が無い気がします。

最近では(私が登録している)多くのサイトでは、携帯番号あるいは登録メールアドレスが変更になった際に、追加認証で携帯番号にSMSが飛んできたり、登録メールアドレスにメールが飛んできます。

重要情報の変更に関してユーザ側に知らせる。もちろんユーザ側が気づかない事は多々あるかも知れませんが、大規模な攻撃を仕掛けられた場合、この対策がしっかりしているだけで、早い段階で攻撃を止められる可能性が高くなります。

登録変更(申請)を一時保留し、登録携帯番号へのSMSや登録メールアドレスからの承認手続きをする、とシステムを変更(本人認証を強く)してもスマホ買い替えなどは頻繁(日常的)には発生しないのでユーザ側の利便性が落ちる事は無いかと思います。

 

問題点という訳ではありませんし、単なる結果論ですが、イオンGとしては、あまりにもグループ内のシステムが連動しすぎていて(便利になりすぎていて)換金性が高い商品にたどり着けるルートの検証(シナリオテスト)がおろそかになっていたのかな、という事も感じます。

IDとパスワードに頼った会員サイトは、破られる危険性があるという前提でシステムを見直しする(追加認証をどこにかけるか、あるいは検知対策を裏で考える等々)事が必要ではないでしょうか。

 

 

余談です。やはり「システムメンテナンス」が掲載されています

 

f:id:foxcafelate:20190615062510p:plain

 

 

しかし、それ以上に気になったのが、今回の事件とは直接の関係性は無いのですが、URLです

f:id:foxcafelate:20190615075551p:plain

 

 

「.do」つまり、公式サポートが2013年に切れているApache Struts1を使っている

と推測されます。

 

 

イオン程の大企業ですので、外部のサポートベンダーにStruts1のサポートをさせている、あるいは内部のIT技術者さんらが安全性を十分に確認しているのだとは思いますが、Struts2でも大きな事件(GMO-PG、ぴあ、Equifax等々)が発生した様に、オープンソースフレームワークは外部から狙われる対象であるだけでなく、脆弱性が頻繁に出てくるものもあります。

 

例えばIPAは、Struts1は『知りません』(※自社のリスクですよ・・・)というスタンスです。

f:id:foxcafelate:20190615075952p:plain

なお、このページで対象とするのは「Apache Struts 2」 です。「Apache Struts 1」は既に2013年4月5日を以ってサポートが終了しているため対象外としています。

 

 

もっと古い記事(2016年)では、もっとはっきりとIPAは言い切っています。

scan.netsecurity.ne.jp

 

また、15件のうちApache Struts 1が影響を受ける脆弱性対策情報は2件であったが、すでに公式サポートが終了しているため、通常は脆弱性対策情報は公開されない。IPAでは、早急にApache Struts 2や他のフレームワークなどに切り替えることを検討する必要があるとしている。

(ScanNetSecurity記事より引用)

 

例えればWindowsXPをずっと使っている様な状態であり、もっと深刻な(0ディ)脆弱性が出た場合に、Apache公式サポートが既に無い訳ですから、かなりの影響が出てしまう可能性があるのではないでしょうか。

 

システム変更には大きな痛みを伴うのかも知れませんが、早期に(サポートが有効な)フレームへの移行が必要ではないかと考えます。

 

f:id:foxcafelate:20190615081339p:plain

 

更新履歴

  • 2019年6月15日AM(予約投稿)

ロンドン#2

記事の水増しロンドン#2です。無理やり時間を取って大英博物館に行ってきました。

 

大英博物館に行く前に一風堂を見かけました。

f:id:foxcafelate:20190609181702j:plain

 

内装が日本のソレとは違っておしゃれでした。(値段も高いのでしょうが)富士山ディスプレイが綺麗でした。

f:id:foxcafelate:20190609182025j:plain

赤丸・白丸の基本も変わらない様でしたが、開店前&残念ながら先を急いでいたので日本との味を差を比較する事はできませんでした。

f:id:foxcafelate:20190609182157j:plain

 

 

到着は9時半、開場は10時なのですが、中に入れてくれます。(入場料無料なのが凄いですが)少し早めだったので、荷物チェックもさっと終わりました。

余談ですが、開場と同時に入るのが大英博物館攻略では良い気がします。スタートダッシュで結構色々と見れました。さっと廻って施設を出るころになると、やはり来場者が多かったので、早めに行って正解だったなと思います。

f:id:foxcafelate:20190609182335j:plain

10時前になると、一番人気の高い入って左側の部屋(※有名な展示物が多い)の前は日本人ツアー率が高くなります。写真は10時オープン直後。だっと人が流れます。

f:id:foxcafelate:20190609182751j:plain

 

お目当て(その1)はこれ。ロゼッタストーンです。お土産コーナー他、腐るほどにコピー品が置いてますが、やはり本物の迫力は違いました。併せて人込みもずっと途切れず、人気の高さを感じます。

f:id:foxcafelate:20190609182931j:plain

 

因みに裏側も見れます。こちらは見放題です。文字こそありませんが何とも言えない石の持つ重みを感じます。

f:id:foxcafelate:20190609183054j:plain

 

エジプト関連(3F)は、発掘隊が残さず強奪してきたんではないかと思う位に充実していました。時間が無かったので駆け足の閲覧でしたが・・・英国が世界の覇権を得ていた事を改めて感じる国宝級ばかりの展示品でした。

f:id:foxcafelate:20190609183433j:plain

 

特別展示で、マンガ展もやってました。

f:id:foxcafelate:20190609184203j:plain

こちらは人も少なかったのですが、鎧兜の展示前にはスケッチする人が何人も居て、日本文化への関心の高さを少し感じました。とは言え1Fの展示に比べるとガラガラでしたが。

f:id:foxcafelate:20190609183722j:plain

マンガ展ですが、資料とマンガとのコラボ展示がいくつかされてましたが・・・知らない漫画家の先生の作品が多かったのか、あまり意図はわからず仕舞でしたが、これは原画の迫力がありました。

f:id:foxcafelate:20190609184337j:plain

 

 

大英博物館のおまけは、トイレの手乾燥機がダイソンだった件。吸引力はとっても高かった事を付け加えておきます。

f:id:foxcafelate:20190609183906j:plain

 

 

展示物の写真はいっぱいあるのですが、本題のセキュリティとは違いすぎる、単なる観光写真になってしまうので・・・この程度にて。


 

 

 

更新履歴

  • 2019年6月9日PM(予約投稿)

 

ロンドン#1

先日、ロンドンを初めて訪問しました。ほぼセキュリティとは関係がありませんが、記事のストックも少なくなってきたので、印象に残った写真を貼ってみます。

 

最初にセキュリティっぽい所で、テロ事件やロンドン五輪の影響を受けて、街中に監視カメラがあるのですが、思ったより高い位置で見張っているのはびっくりしました。この位高い位置だと死角も少ないでしょうし、そもそもカメラへの物理的な妨害(スプレーかける等々)も難しそうです。

f:id:foxcafelate:20190609175215j:plain

 


もう1つ監視カメラ関係で、違う場所の写真。

私有地だから入るな・・というのが上の注意書きなのですが、下は監視カメラに映っているんだから笑って!という道行く人への、英国人らしいウィットを感じます。

f:id:foxcafelate:20190609174948j:plain

 

街中だったからか、自転車を使う人が多いのも感じたのですが、セグウェイ通勤している人を初めて見ました。日本では法律規制でダメだと思いますが、こうした使い方がやはり格好良いなと感じます。

 

f:id:foxcafelate:20190609175928j:plain

 

ロンドンの地下鉄。第二次世界大戦時は防空壕ともなったというのが分かる気がしました。しかし古い施設が多いからか、階段ばかり。エスカレーターやエレベータが少なく、スーツケースを持つ旅行者には厳しい移動手段でもありました。駅の広告が大きいのも日本のソレとの違いを感じますが、待ち時間には目につきやすいので効果はそれなりにありそうです。

f:id:foxcafelate:20190609180144j:plain

 

スーパーにも寄ったのですが、クレジットカードがEMV(ICチップ)しか受け付けないのは知っていましたが、カード専用のレジが非常に多かった印象です。立ち寄ったスーパーでは、有人レジ3~5台に対して、無人(カード専用)セルフレジが10台以上ありました。日本もこの段階を経て、AmazonGoの様な通過清算に向かうのかも知れません。

f:id:foxcafelate:20190609180520j:plain

 

(この記事の)最後は電話ボックスです。落書きを見ると、この電話機大丈夫かな?と思う外見ですが、それ以上に気になったのがWiFiがこんな所にもある所。日本でも無料Wifiを海外旅行客向けに設置していますが、電話機に併設するとうのも合理的な気がしました。

f:id:foxcafelate:20190609180915j:plain

 

 

更新履歴

  • 2019年6月9日PM(予約投稿)