List of Cms - text.Baldanders.info
tag:text.Baldanders.info,2017-06-28:/tags
2017-06-28T22:25:32+09:00
帰ってきた「しっぽのさきっちょ」
https://text.baldanders.info/images/avatar.jpg
https://text.baldanders.info/images/avatar.jpg
「さよならはてなダイアリー」 ― 黒 Web 2.0 の終焉
tag:text.Baldanders.info,2017-06-28:/remark/2017/06/goodbye-hatena-diary/
2017-06-28T13:25:32+00:00
2022-05-04T05:22:29+00:00
今から見れば中二病全開のサービスだったわけ。
Spiegel
https://baldanders.info/profile/
<p>ぶちウケた!</p>
<ul>
<li><a href="http://orangestar.hatenadiary.jp/entry/2017/06/25/213731">さよならはてなダイアリー - orangestarの雑記</a></li>
</ul>
<p>この「日本でほぼ初めてのブログサービス」って強烈な皮肉だな。
おぢさん, “blog" 輸入当時の(ネット限定の)大狂騒を思い出してしまったよ。</p>
<p>ほんでもってこれが登場するわけだ。</p>
<ul>
<li><a href="https://japan.cnet.com/article/20053530/">「日本人にはBlogより日記」、はてなの人気に迫る - CNET Japan</a></li>
</ul>
<p>つまり「はてなダイアリー」は “blog" に対するアンチテーゼだったんですよ,当時は<sup id="fnref:1"><a href="#fn:1" class="footnote-ref" role="doc-noteref">1</a></sup>。
今から見れば中二病全開のサービスだったとも言えるけど。
みんな若かったんだねぇ。</p>
<p>まぁそんな「日本における Web 2.0 の黒歴史」の代表とも言える「はてなダイアリー」も7月で<a href="http://d.hatena.ne.jp/hatenadiary/20170605/1496643809" title="はてなダイアリーの新規開設受付を2017年7月3日をもって終了します - はてなダイアリー日記">新規受付終了</a>なんだとか<sup id="fnref:2"><a href="#fn:2" class="footnote-ref" role="doc-noteref">2</a></sup>。
あと数年もすれば,きっとなかったことになるんだろうね。
君の机の引き出しにあるポエム・ノートのように(笑)</p>
<p>そして「すべては歴史の闇の中」ですな。</p>
<h2>ブックマーク</h2>
<ul>
<li><a href="http://www.itmedia.co.jp/business/articles/1709/26/news092.html">はてな創業者・近藤会長、代表取締役を退任へ - ITmedia ビジネスオンライン</a></li>
</ul>
<div class="footnotes" role="doc-endnotes">
<hr>
<ol>
<li id="fn:1">
<p>ちなみに米国で一部の大学生を対象に Facebook がサービスを開始したのが翌2004年である。日本の mixi も同じく2004年からサービス開始。これ以降,日本では「日記」は SNS や「プロフ」へ急速に移行していく。「<a href="http://psychodoc.eek.jp/abare/200406a.html#10_t2" title="読冊日記 2004年 6月上旬">ぱど厨</a>」なる言葉が登場したのも2004年頃か。更に Twitter が2006年,Tumblr が2007年にサービスを開始し,ユーザがサービス間を渡り歩いたりするのが当たり前になる。 <a href="#fnref:1" class="footnote-backref" role="doc-backlink">↩︎</a></p>
</li>
<li id="fn:2">
<p>はてなブログは継続。しかし,SNS が主流になり「ブログ」が完全に下火なった2013年からようやくブログサービスを始めたはてなは流石としか言いようがない(笑) ちなみに <a href="https://techcrunch.com/2012/04/09/facebook-to-acquire-instagram-for-1-billion/" title="Facebook、Instagramを10億ドルで買収 | TechCrunch Japan">Facebook が Instagram 買収を発表した</a>のはそれより前の2012年である(当時 Android 版のアプリが出たばかりでショックを受けたのを覚えている)。 <a href="#fnref:2" class="footnote-backref" role="doc-backlink">↩︎</a></p>
</li>
</ol>
</div>
WordPress 4.7 における REST API の脆弱性
tag:text.Baldanders.info,2017-02-06:/remark/2017/02/rest-api-vulnerability-in-wordpress/
2017-02-06T12:46:26+00:00
2020-01-15T11:57:05+00:00
国内の複数のサイトが改ざん被害を受けているとの報告があり速やかに対策を実施する必要がある。
Spiegel
https://baldanders.info/profile/
<p><a href="https://wordpress.org/" title="Blog Tool, Publishing Platform, and CMS — WordPress">WordPress</a> は仕事でも私用でも使ってないのでスルーしてたのだが IPA と JPCERT/CC から注意喚起が出てたので紹介しておく。</p>
<ul>
<li><a href="https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/">WordPress 4.7.2 Security Release</a></li>
<li><a href="http://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html">WordPress の脆弱性対策について:IPA 独立行政法人 情報処理推進機構</a></li>
<li><a href="https://www.jpcert.or.jp/at/2017/at170006.html">WordPress の脆弱性に関する注意喚起</a></li>
</ul>
<p><a href="https://wordpress.org/" title="Blog Tool, Publishing Platform, and CMS — WordPress">WordPress</a> 4.7.2 は1月末にリリースされ,この時に3つの脆弱性が公表されたが,それとは別に重大な脆弱性があったようだ。
<a href="https://wordpress.org/" title="Blog Tool, Publishing Platform, and CMS — WordPress">WordPress</a> 側は安全確保のため最新版がユーザに行き渡ったタイミングで発表を行ったと言っている<sup id="fnref:1"><a href="#fn:1" class="footnote-ref" role="doc-noteref">1</a></sup>。</p>
<figure>
<blockquote>
<q>この間にSucuriをはじめとするセキュリティ企業と連携し、攻撃が発生した場合でも各社のファイアウォールで防御できる態勢を確立。自動更新を通じてWordPressの更新版が行き渡り、できるだけ多くのユーザーが保護されるのを待ってから、情報を公開したという。</q>
</blockquote>
<figcaption><div><q><a href="http://www.itmedia.co.jp/enterprise/articles/1702/03/news063.html">WordPress、更新版で深刻な脆弱性を修正 安全確保のため情報公開を先送り - ITmedia エンタープライズ</a></q>より</div></figcaption>
</figure>
<p>今回は,この4つ目の脆弱性に絞って紹介する。
他の3つについては以下を参照のこと。
(このうち <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5611">CVE-2017-5611</a> のみ CVSSv3 基本評価値が7を大幅に超えている)</p>
<ul>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5610">CVE-2017-5610</a></li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5611">CVE-2017-5611</a></li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5612">CVE-2017-5612</a></li>
</ul>
<h2>脆弱性の内容</h2>
<p>バージョン 4.7 から REST API が <a href="https://wordpress.org/" title="Blog Tool, Publishing Platform, and CMS — WordPress">WordPress</a> Core に組み込まれたらしいのだが,そこに脆弱性があったようだ。
この脆弱性を利用すると REST API を使って認証を回避してコンテンツを書き換えることができる。
詳しくは以下の記事を参照のこと。</p>
<ul>
<li><a href="http://blog.tokumaru.org/2017/02/wordpress-4.7.1-Privilege-Escalation.html">WordPress 4.7.1 の権限昇格脆弱性について検証した | 徳丸浩の日記</a></li>
</ul>
<h2>影響度(CVSS)</h2>
<p><a href="https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5487">CVE-2015-7547</a> より</p>
<p><strong>CVSSv3 基本評価値 5.3 ( CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)</strong></p>
<table>
<thead>
<tr>
<th style="text-align:right">基本評価基準</th>
<th style="text-align:left">評価値</th>
</tr>
</thead>
<tbody>
<tr>
<td style="text-align:right">攻撃元区分(AV)</td>
<td style="text-align:left">ネットワーク(N)</td>
</tr>
<tr>
<td style="text-align:right">攻撃条件の複雑さ(AC)</td>
<td style="text-align:left">低(L)</td>
</tr>
<tr>
<td style="text-align:right">必要な特権レベル(PR)</td>
<td style="text-align:left">不要(N)</td>
</tr>
<tr>
<td style="text-align:right">ユーザ関与レベル(UI)</td>
<td style="text-align:left">不要(N)</td>
</tr>
<tr>
<td style="text-align:right">スコープ(S)</td>
<td style="text-align:left">変更なし(U)</td>
</tr>
<tr>
<td style="text-align:right">情報漏えいの可能性(機密性への影響, C)</td>
<td style="text-align:left">低(L)</td>
</tr>
<tr>
<td style="text-align:right">情報改ざんの可能性(完全性への影響, I)</td>
<td style="text-align:left">なし(N)</td>
</tr>
<tr>
<td style="text-align:right">業務停止の可能性(可用性への影響, A)</td>
<td style="text-align:left">なし(N)</td>
</tr>
</tbody>
</table>
<p>んー。
「情報改ざんの可能性」が「なし(N)」なわけないと思うのだが…
ちなみに「情報改ざんの可能性」が「高(H)」なら基本評価値は 8.2 になる。</p>
<p>CVSS については<a href="https://text.baldanders.info/remark/2015/cvss-v3-metrics-in-jvn/">解説ページ</a>を参照のこと。</p>
<h2>影響を受ける製品</h2>
<p><a href="https://wordpress.org/" title="Blog Tool, Publishing Platform, and CMS — WordPress">WordPress</a> 4.7 および 4.7.1</p>
<h2>対策・回避策</h2>
<p>バージョン 4.7.2 にアップデートすること。
すぐにアップデートが難しい場合は REST API を無効化すること(Web サーバ側の設定変更等が必要)。</p>
<p>JPCERT/CC では</p>
<figure>
<blockquote>
<q>すでに、本脆弱性を悪用する実証コードが公開されており、JPCERT/CC にて実証コードを用いて検証した結果、WordPress のコンテンツが改ざんできることを確認しました。また、対象となる WordPress を利用していると思われる国内の複数のサイトが改ざん被害を受けています。また、本脆弱性を悪用した改ざん事例も確認されています。</q>
</blockquote>
<figcaption><div><q><a href="https://www.jpcert.or.jp/at/2017/at170006.html">WordPress の脆弱性に関する注意喚起</a></q>より</div></figcaption>
</figure>
<p>と注意喚起を行っており,速やかに対策を実施する必要がある。</p>
<h2>ブックマーク</h2>
<ul>
<li><a href="http://d.hatena.ne.jp/Kango/20170205/1486314605">2月初めの複数の国内サイトの改ざんについてまとめてみた - piyolog</a></li>
<li><a href="https://blog.sucuri.net/2017/02/wordpress-rest-api-vulnerability-abused-in-defacement-campaigns.html">WordPress REST API Vulnerability Abused in Defacement Campaigns</a></li>
<li><a href="https://www.sakura.ad.jp/news/sakurainfo/newsentry.php?id=1524">【重要】WordPressの脆弱性についての注意喚起 | さくらインターネット</a></li>
<li><a href="http://www.atmarkit.co.jp/ait/articles/1702/09/news048.html">既に10万以上のサイトで改ざん被害 背景と対処方法を解説:WordPress脆弱性発覚、その後の状況 4.7.2リリース時に脆弱性が公開されなかった理由 - @IT</a></li>
</ul>
<h3>CMS の管理について</h3>
<ul>
<li><a href="http://o-way.net/automatic-updating-of-wordpress/">WordPressで全ての自動更新を有効にする方法 | 気ままにマイウェイ</a></li>
<li><a href="http://qiita.com/miya0001/items/25f49762283043a4fb4e">GitHub 上にホストした WordPress プラグインを自動アップデートに対応させる - Qiita</a></li>
<li><a href="https://www.sakura.ad.jp/news/sakurainfo/newsentry.php?id=1528">WordPressをご利用のお客様へWAF設定のご案内 | さくらインターネット</a></li>
<li><a href="https://text.baldanders.info/remark/2016/07/cms/">「自分で面倒見られる子」だけが CMS を導入しなさい</a></li>
</ul>
<h2>参考図書</h2>
<div class="hreview">
<div class="photo"><a href="https://www.amazon.co.jp/dp/B07TSZZPWN?tag=baldandersinf-22&linkCode=ogi&th=1&psc=1"><img src="https://m.media-amazon.com/images/I/51H+4kUhbFL._SL160_.jpg" width="121" alt="photo"></a></div>
<dl>
<dt class="item"><a class="fn url" href="https://www.amazon.co.jp/dp/B07TSZZPWN?tag=baldandersinf-22&linkCode=ogi&th=1&psc=1">フルスクラッチから1日でCMSを作る_シェルスクリプト高速開発手法入門 改訂2版 (アスキードワンゴ)</a></dt>
<dd>上田 隆一 (著), 後藤 大地 (著), USP研究所 (監修)</dd>
<dd>ドワンゴ 2019-07-05 (Release 2019-07-05)</dd>
<dd>Kindle版</dd>
<dd>B07TSZZPWN (ASIN)</dd>
<dd>評価<abbr class="rating fa-sm" title="4"> <i class="fas fa-star"></i> <i class="fas fa-star"></i> <i class="fas fa-star"></i> <i class="fas fa-star"></i> <i class="far fa-star"></i></abbr></dd>
</dl>
<p class="description">既存の常識に凝り固まったソフトウェア・エンジニアに「痛恨の一撃」を加える快書もしくは怪書。</p>
<p class="powered-by">reviewed by <a href='#maker' class='reviewer'>Spiegel</a> on <abbr class="dtreviewed" title="2014-09-21">2014-09-21</abbr> (powered by <a href="https://affiliate.amazon.co.jp/assoc_credentials/home">PA-APIv5</a>)</p>
</div> <!-- フルスクラッチから1日でCMSを作る_シェルスクリプト高速開発手法入門 -->
<div class="footnotes" role="doc-endnotes">
<hr>
<ol>
<li id="fn:1">
<p>こういう特定のセキュリティ企業と契約している企業ユーザが優遇される仕組みというのは良し悪しだと思うんだけどねぇ。まぁ最近の <a href="https://wordpress.org/" title="Blog Tool, Publishing Platform, and CMS — WordPress">WordPress</a> は自動更新機能を備えているらしいので,あまり深刻に考えないほうがいいのかもしれないが。 <a href="#fnref:1" class="footnote-backref" role="doc-backlink">↩︎</a></p>
</li>
</ol>
</div>
「自分で面倒見られる子」だけが CMS を導入しなさい
tag:text.Baldanders.info,2016-07-17:/remark/2016/07/cms/
2016-07-16T23:26:43+00:00
2020-01-15T11:57:05+00:00
そもそもセキュリティ以前に「自分で面倒をみる」ことのできない人は自前で CMS を導入するのはやめたほうがいい。ペットを飼うのと同じ(笑)
Spiegel
https://baldanders.info/profile/
<p>私の場合,それまで使っていた<a href="https://www.movabletype.jp/opensource/" title="Movable Type Open Source | MovableType.jp - CMSプラットフォーム Movable Type -">オープンソース版 Movable Type (MTOS)</a> を捨ててローカルでサイト管理するようにした<sup id="fnref:1"><a href="#fn:1" class="footnote-ref" role="doc-noteref">1</a></sup>。
直接のきっかけは開発元が <a href="https://www.movabletype.jp/opensource/" title="Movable Type Open Source | MovableType.jp - CMSプラットフォーム Movable Type -">MTOS</a> のサポートを打ち切ったことだが,自前でサーバ・サイドの CMS (Content Management System) を導入・運用することが高コストになり,それを個人レベルで運用することに意義を見いだせなくなってきたというのが大きい。</p>
<p>というわけで以下の話題。
いつもは「セキュリティクラスタ」の話題はまるっと無視しているのだが,今回は気になる点があったので。</p>
<ul>
<li><a href="http://www.atmarkit.co.jp/ait/articles/1607/15/news015.html">セキュリティクラスタ まとめのまとめ 2016年6月版:初心者でも気軽にWordPressサイト作成! して大丈夫なの? (1/3) - @IT</a></li>
</ul>
<p>そもそもセキュリティ以前に「自分で面倒をみる」ことのできない人は自前でサーバ・サイド CMS を導入するのはやめたほうがいい。
ペットを飼うのと同じ<sup id="fnref:2"><a href="#fn:2" class="footnote-ref" role="doc-noteref">2</a></sup>(笑) 「初心者」かどうかはさしたる問題ではない。
誰だって最初は初心者だし,分からなければ訊くなり調べるなりすればいいからだ。</p>
<p>プログラムは家電製品とは違う。
導入すればそれで終わり,とはいかない。
多くの人に使われる製品こそ常に不具合や脆弱性の改修が行われているし<sup id="fnref:3"><a href="#fn:3" class="footnote-ref" role="doc-noteref">3</a></sup>,もちろん機能改善も行われる。
「プログラムは常にベータ版」という名言は一般の方も覚えておいたほうがいいだろう<sup id="fnref:4"><a href="#fn:4" class="footnote-ref" role="doc-noteref">4</a></sup>。</p>
<p>面倒を見る気はないが気軽にブログをやりたい,って程度なら SaaS (Software as a Service) 型のサービスがいくらでもある。
さすがに ameblo みたいなのはデザインが古すぎてアレだが, <a href="https://wordpress.com/">WordPress</a> も <a href="https://movabletype.net/">Movable Type</a> も SaaS を提供している。
最近なら <a href="https://medium.com/">Medium</a> や 日本の <a href="https://note.mu/">note</a> みたいに気軽にオン書きできるものもある。
<a href="https://www.tumblr.com/">Tumblr</a> でブログサイトを運用している人は日本語圏にも結構いる<sup id="fnref:5"><a href="#fn:5" class="footnote-ref" role="doc-noteref">5</a></sup>。
最近では <a href="https://esa.io/" title="esa.io - Expertise Sharing Archives for motivated teams.">esa.io</a> のようにチームで使えるものが流行りらしい。
あるいは私のようにサーバ・サイドの CMS を捨てて <a href="https://pages.github.com/" title="GitHub Pages - Websites for you and your projects, hosted directly from your GitHub repository. Just edit, push, and your changes are live.">GitHub Pages</a> + <a href="https://gohugo.io/" title="Hugo :: A fast and modern static website engine">Hugo</a> で静的なページとして運用すればセキュリティ上の煩わしさから解放される。
やり方なんていくらでもあるのだ。</p>
<p>今でこそ「セキュリティは投資」とみなされ PDCA サイクルで回されるようになってきたが<sup id="fnref:6"><a href="#fn:6" class="footnote-ref" role="doc-noteref">6</a></sup>,ちょっと前まではセキュリティ管理は典型的なコストセンターだったのだ。
JTB の情報漏えい騒ぎに関する今回の事後の振る舞いには批判が多いが,結局のところ「セキュリティ」を経営レベルでどう捉えるかということに尽きる。
セキュリティ管理をコストとみなすうちは<a href="https://baldanders.info/blog/000850/">昨年の日本年機構</a>や今回の JTB のような失敗は必ずまた繰り返される。</p>
<p>しかし企業や組織はそれでいいとしても個人レベルでそれを求めるのは酷な話である。
セキュリティと利便性はトレードオフにならない。
利便性を犠牲にしてセキュリティを強化してもユーザはただそこを迂回するだけだ(日本年金機構の事例はまさにこれと言える)。</p>
<p>WordPress のようなサーバ・サイド CMS がセキュリティ的に高コストに見えるのは,製品デザインとセキュリティ管理が齟齬を起こしていて,そこを運用で強引にカバーしようという駄目プロジェクトの典型みたいになっているからである。
あるいは「<a href="http://0xcc.net/misc/bad-knowhow.html" title="バッドノウハウと「奥が深い症候群」">奥が深い症候群</a>」の末期症状と言うべきか。
SaaS ならそうした面倒をサービス・プロバイダに押しつけることが出来るという意味で次善の策になる。</p>
<p>もう一度繰り返そう。</p>
<p>「自分で面倒見られる子」だけが CMS を導入しなさい。</p>
<h2>参考図書</h2>
<div class="hreview">
<div class="photo"><a href="https://www.amazon.co.jp/dp/B07TSZZPWN?tag=baldandersinf-22&linkCode=ogi&th=1&psc=1"><img src="https://m.media-amazon.com/images/I/51H+4kUhbFL._SL160_.jpg" width="121" alt="photo"></a></div>
<dl>
<dt class="item"><a class="fn url" href="https://www.amazon.co.jp/dp/B07TSZZPWN?tag=baldandersinf-22&linkCode=ogi&th=1&psc=1">フルスクラッチから1日でCMSを作る_シェルスクリプト高速開発手法入門 改訂2版 (アスキードワンゴ)</a></dt>
<dd>上田 隆一 (著), 後藤 大地 (著), USP研究所 (監修)</dd>
<dd>ドワンゴ 2019-07-05 (Release 2019-07-05)</dd>
<dd>Kindle版</dd>
<dd>B07TSZZPWN (ASIN)</dd>
<dd>評価<abbr class="rating fa-sm" title="4"> <i class="fas fa-star"></i> <i class="fas fa-star"></i> <i class="fas fa-star"></i> <i class="fas fa-star"></i> <i class="far fa-star"></i></abbr></dd>
</dl>
<p class="description">既存の常識に凝り固まったソフトウェア・エンジニアに「痛恨の一撃」を加える快書もしくは怪書。</p>
<p class="powered-by">reviewed by <a href='#maker' class='reviewer'>Spiegel</a> on <abbr class="dtreviewed" title="2014-09-21">2014-09-21</abbr> (powered by <a href="https://affiliate.amazon.co.jp/assoc_credentials/home">PA-APIv5</a>)</p>
</div> <!-- フルスクラッチから1日でCMSを作る_シェルスクリプト高速開発手法入門 -->
<div class="footnotes" role="doc-endnotes">
<hr>
<ol>
<li id="fn:1">
<p>経緯については本家サイトの「<a href="https://baldanders.info/blog/000870/">ブログ移転準備中または Take the Hugo!</a>」を参照のこと。 <a href="#fnref:1" class="footnote-backref" role="doc-backlink">↩︎</a></p>
</li>
<li id="fn:2">
<p>でも,好きでペットを飼ってる人はそれをコストだと思わないだろうけど。コンピュータ・オタクやセキュリティ・オタクには変態が多いので,そういう「面倒」をわざわざ引き受けて楽しんでいるフシがある。仕事で使うツールを自分のフィールドでも使い倒すってのはあるけど。 <a href="#fnref:2" class="footnote-backref" role="doc-backlink">↩︎</a></p>
</li>
<li id="fn:3">
<p>不具合や脆弱性の報告が全くない製品ってのは誰も使ってないか製品の提供者が怠慢かのどちらかである。 <a href="#fnref:3" class="footnote-backref" role="doc-backlink">↩︎</a></p>
</li>
<li id="fn:4">
<p>とはいえ IoT の時代になれば家電製品も「自分で面倒をみる」ことが必要になってくるかもしれない。本当に面倒な時代になったものである。 <a href="#fnref:4" class="footnote-backref" role="doc-backlink">↩︎</a></p>
</li>
<li id="fn:5">
<p><a href="https://www.tumblr.com/">Tumblr</a> は<a href="http://whitehouse.tumblr.com/" title="The Official White House Tumblr">ホワイトハウスの公式サイトがある</a>ことで有名である。 <a href="#fnref:5" class="footnote-backref" role="doc-backlink">↩︎</a></p>
</li>
<li id="fn:6">
<p>そしてセキュリティへの投資につけ入る「輩」も増えてきた。 <a href="#fnref:6" class="footnote-backref" role="doc-backlink">↩︎</a></p>
</li>
</ol>
</div>
週末スペシャル: 3月9日は皆既日食(日本では部分日食)
tag:text.Baldanders.info,2016-02-27:/remark/2016/02/27-stories/
2016-02-27T13:31:08+00:00
2019-07-01T13:48:09+00:00
3月9日は皆既日食(日本では部分日食) / サーバサイド CMS はリスクか / 「中高生が知っておきたいサイバーセキュリティ」とは
Spiegel
https://baldanders.info/profile/
<ol>
<li><a href="#eclipse">3月9日は皆既日食(日本では部分日食)</a></li>
<li><a href="#cms">サーバサイド CMS はリスクか</a></li>
<li><a href="#security">「中高生が知っておきたいサイバーセキュリティ」とは</a></li>
</ol>
<h2 id="eclipse">3月9日は皆既日食(日本では部分日食)</h2>
<ul>
<li><a href="http://www.nao.ac.jp/news/topics/2016/20160224-eclipse.html">3月9日は部分日食 | 国立天文台(NAOJ)</a></li>
</ul>
<p>来月3月9日は東南アジアやオーストラリアを中心に皆既日食がある。
残念ながら日本は皆既食帯から完全に外れているため部分日食となる。
父島でも食分 0.48 程度らしいので,期待せず楽しみましょう。</p>
<p>ちなみに,当然のことながら太陽を直接見ないこと。
レンズ越しとかもっての外。
文房具の下敷き越しもダメだよ。</p>
<p>オススメは木漏れ日とかかな。</p>
<figure style='margin:0 auto;text-align:center;'><a href="https://www.flickr.com/photos/8106459@N07/7239249856/"><img src="https://farm8.staticflickr.com/7072/7239249856_bda0f91b27.jpg" srcset="https://farm8.staticflickr.com/7072/7239249856_bda0f91b27.jpg 500w" sizes="(min-width:600px) 500px, 80vw" alt="Eclipse Shadows" loading="lazy"></a><figcaption><div><a href="https://www.flickr.com/photos/8106459@N07/7239249856/">Eclipse Shadows</a></div></figcaption>
</figure>
<h2 id="cms">サーバサイド CMS はリスクか</h2>
<p>JPCERT/CC からアラートが出ている。</p>
<ul>
<li><a href="https://www.jpcert.or.jp/magazine/acreport-cms.html">改ざんの標的となるCMS内のPHPファイル(2016-02-25)</a></li>
</ul>
<p>改竄された PHP ファイルにより不正コードが挿入されるらしい。
これ自体は別に珍しいことではないが, WordPress をはじめ主要な複数の CMS (Content Management System) がターゲットになっているのが特徴である。</p>
<p>JPCERT/CC でも PHP ファイルの改竄手法は掴んではいないらしい。
割と無差別な感じだし脆弱性のあるサーバを機械的に攻めているのかもしれない(そう見せかけている可能性もあるが)。
そうなら簡単なんだけどねぇ。</p>
<p>EC サイトのようにサーバサイドに機能を乗せざるを得ない場合は別だが,たかがブログ程度でサーバサイドに CMS を設置するのはリスクしかないんじゃないだろうか。
問題は「改竄されたファイル」の検出が難しいことなので, CI (Continuous Integration) を使ったデプロイ・プロセスでそれを検出・排除できれば,かなりいけるんじゃないかと思うんだけど,どうだろう。</p>
<h3>追記</h3>
<ul>
<li><a href="http://www.sixapart.jp/business/u-can.html">ユーキャンが Movable Type クラウド版を使う理由 - 導入事例 | シックス・アパート - CMSソフトウェア、サービスを提供</a></li>
</ul>
<p>株式会社ユーキャンでは本番環境にサーバサイドプログラムを置かないポリシーなんだそうだ。
そこでクラウド版 Movable Type のサーバー配信機能を使い,ステージング環境と本番環境を分離して運用しているらしい。
これはこれで賢い選択である。</p>
<h2 id="security">「中高生が知っておきたいサイバーセキュリティ」とは</h2>
<p>いや,これダメなんじゃないかなぁ。
脅威を煽るだけで中途半端な対策しか示さない。
これじゃあただの FUD (Fear, Uncertainty and Doubt) だよ。</p>
<ul>
<li><a href="http://internet.watch.impress.co.jp/docs/news/20160225_745252.html">有料アプリがなぜか無料で落とせる、ウイルスだった――中高生が知っておきたいサイバーセキュリティのマンガ、NISCが公開 -INTERNET Watch</a></li>
<li><span><a href="http://www.nisc.go.jp/security-site/files/CSmanga_JPN.pdf">マンガで学ぶサイバーセキュリティ <sup><i class="far fa-file-pdf"></i></sup></a></span></li>
</ul>
<h3>スマートフォンのセキュリティ</h3>
<p>例示としてはいわゆる ransomware に引っかかり「身代金」を払ったものの事態は改善しなかったという,まぁ今時ありがちな話。
対処としては「ウイルス対策ソフトの導入」「信頼できるサイトからのアプリの導入」「OS やアプリを最新バージョンに保つ」というもの。</p>
<p>しかし相手は「中高生」である。
PC 用では個人向けに無料のものもあるが,携帯端末用の「ウイルス対策ソフト」の多くは有料(ランニング・コストがかかる)で「中高生」は手を出しづらいだろう。
その上,現時点ではウイルス対策ソフトの導入は「やらないよりマシ」程度のもので優先順位としては低いといえる<sup id="fnref:1"><a href="#fn:1" class="footnote-ref" role="doc-noteref">1</a></sup>。</p>
<p>また「信頼できるサイトからのアプリの導入」というのは表現としては手ぬるい。
何を持って信頼できるのか客観的な指標はない。
したがって現時点では Google Play や App Store といった<strong>公式</strong>のストア以外からは導入しない,とすべき。
Malware は Phishing メールなどから「うっかり」導入してしまうことが多いからだ。
もちろん Andorid 端末では「提供元不明アプリのインストールを許可しない」設定を有効にすることを忘れないこと。</p>
<p>結局一番有効なのは「OS やアプリを最新バージョンに保つ」ことであるが,ここでも問題がある。</p>
<p>まず iOS は基本的に機能追加のついででしかセキュリティ・アップデートを行わない。
しかも機能追加によって端末に不具合が起きることも少なくないためアップデートそのものをユーザが忌避することも多い。
少なくとも通常のアップデートとセキュリティ・アップデートは別サイクルで行うべきで,可能であれば iOS のバージョン別で行うのが望ましい。</p>
<p>Android の場合は更に酷い。
OS のアップデートは端末メーカの裁量に任されているため,特に古い機種ではアップデートそのものをオミットするケースが多いのだ。
Google 直轄の Nexus シリーズがほぼ毎月セキュリティ・アップデートを行っているのに対してその他の端末メーカではそういったものが殆ど見られない。
これは明らかに怠慢である。</p>
<ul>
<li><a href="http://blog.f-secure.jp/archives/50763657.html">エフセキュアブログ : Androidのセキュリティ上の大問題の1つを示す2つのグラフ</a></li>
</ul>
<p>そういった状況を無視して脳天気に「OS やアプリを最新バージョンに保つ」と言ってしまうのはいかがのものかと思ってしまう。</p>
<p>あといい加減に「ウイルス」って言うの止めない? 誤解しか生まないよ,それ。</p>
<h3>無線 LAN のセキュリティ</h3>
<p>無防備な公衆無線 LAN を使ったために通信内容が漏れてしまった,という例。</p>
<p>無線 LAN の暗号化は端末とアクセスポイントの間の通信経路の間でしか行われない。
これは重要なポイントである。
もともと無線 LAN の暗号化は「有線」の代替として考えられているもので通信経路全体や通信データを守るものではない。
そもそも,やり方はどうあれ,「公衆」の「LAN」が信用できる道理はないのだ。</p>
<p>だから対策として「公衆 Wi-Fi に接続する場合は、出来るだけ暗号化された、信頼できる Wi-Fi を利用しよう」というのは完全にミス・リーディングである<sup id="fnref:2"><a href="#fn:2" class="footnote-ref" role="doc-noteref">2</a></sup>。</p>
<p>公衆無線 LAN サービスを使う場合には,ちゃんとユーザごとに認証機能(EAP など)のあるものでないとダメ。
公衆無線 LAN サービスの利用方法で SSID とパスワードしか記載されてないようなものは暗号化してないも同然なので,絶対に利用してはならない。
たとえ自治体などが提供しているサービスであってもだ。</p>
<p>安全でない公衆無線 LAN をどうしても使う必要がある場合は VPN (Virtual Private Network) を使って暗号化すること。
ただしまともな VPN サービスは有料(ランニング・コストがかかる)のものが多く「中高生」では金銭的に手が出ないことも多いだろう。</p>
<p>結局「中高生」相手であれば「公衆無線 LAN は絶対に利用しない」くらいに言ってしかるべきだと思う。
もちろん親とかの支援を受けて VPN を含むセキュリティ対策アプリを導入できるのであれば,それに越したことはないが。</p>
<h3>インターネット上の詐欺</h3>
<p>「インターネット上の詐欺」というのは要するに social engineering のことである。
Social engineering の手法は日々進歩している。
数年前なら日本語の Phishing メールや誘導先のサイトはひと目で分かるようなものだったが,最近は見た目も手口も巧妙になってきていて本物と見分けがつかなくなってたりする。</p>
<ul>
<li><a href="http://internet.watch.impress.co.jp/docs/news/20151216_735599.html">日本郵政のスタッフを装ったメールに要注意、割と自然な日本語、外部リンクや添付ファイルなどの危険要素も -INTERNET Watch</a></li>
<li><a href="http://internet.watch.impress.co.jp/docs/news/20160201_741724.html">Amazon.co.jpをかたるフィッシングサイトに注意、「.co」ドメインで開設 -INTERNET Watch</a></li>
<li><a href="http://internet.watch.impress.co.jp/docs/news/20160226_745607.html">貴様のアカウントの利用中止を避けるために――りそな銀行かたるフィッシングメールに注意 -INTERNET Watch</a> (いや「貴様」てw)</li>
</ul>
<p>まぁこういった情報に留意していくしかない。
こういうのは「私は騙されない」と思ってる人ほど騙されるもので「私も騙されるかもしれない」と覚悟した上で「事後」をどうすべきか学校や家族も交えて議論していくべきだと思う。</p>
<p>思うのだが,インターネットに限らず「中高生」向けにセキュリティ事例を共有していくシステムを構築すべきと思う。
むやみに恐れる必要はないが,日頃から心構えをしておくことが大切である。</p>
<p>これは企業とかでよくやるが,定期的に「抜き打ちテスト」するのも効果的だ。
あらかじめ「詐欺」を演出し,その対応を見て個別に指導していくというもの。
この場合も演出する側が「最新の手口」を知っていることが重要。
やはり日頃の情報収集と共有は欠かせないのだ。</p>
<h3>SNS 利用上の注意</h3>
<p>例示が古いよ。</p>
<p>今時の子どもは「見知らぬユーザ」にホイホイついていったりしないって。
むしろ注意すべきは「知ってる友人」になりすましているケースだ。
LINE とかで昨年一昨年と騒ぎになって金銭被害とか出たじゃん。
これ作った奴はもっと勉強しろよ。</p>
<p>まぁこれも上の「インターネット上の詐欺」と同じ social engineering である。
なので対策も「インターネット上の詐欺」と同じ。</p>
<p>常に最新情報に留意して「事後」についてもあらかじめきちんと決めておく,程度の対処しかない。</p>
<div class="footnotes" role="doc-endnotes">
<hr>
<ol>
<li id="fn:1">
<p>「ウイルス対策ソフト」を装う malware も多い。そういうのは無料で提供されてたりするので「中高生」がうっかり手を出してしまう可能性もある。 <a href="#fnref:1" class="footnote-backref" role="doc-backlink">↩︎</a></p>
</li>
<li id="fn:2">
<p>どうでもいいけど「無線 LAN」と「Wi-Fi」で表現が分離してるけど何か意味あるの? 用語は統一しようよ。 <a href="#fnref:2" class="footnote-backref" role="doc-backlink">↩︎</a></p>
</li>
</ol>
</div>