List of Cms [text.Baldanders.info]

「さよならはてなダイアリー」 ― 黒 Web 2.0 の終焉

2017-06-28T13:25:32+00:00

ぶちウケた！

さよならはてなダイアリー - orangestarの雑記

この「日本でほぼ初めてのブログサービス」って強烈な皮肉だな。おぢさん， “blog" 輸入当時の（ネット限定の）大狂騒を思い出してしまったよ。

ほんでもってこれが登場するわけだ。

「日本人にはBlogより日記」、はてなの人気に迫る - CNET Japan

つまり「はてなダイアリー」は “blog" に対するアンチテーゼだったんですよ，当時は¹。今から見れば中二病全開のサービスだったとも言えるけど。みんな若かったんだねぇ。

まぁそんな「日本における Web 2.0 の黒歴史」の代表とも言える「はてなダイアリー」も7月で新規受付終了なんだとか²。あと数年もすれば，きっとなかったことになるんだろうね。君の机の引き出しにあるポエム・ノートのように（笑）

そして「すべては歴史の闇の中」ですな。

ブックマーク

ちなみに米国で一部の大学生を対象に Facebook がサービスを開始したのが翌2004年である。日本の mixi も同じく2004年からサービス開始。これ以降，日本では「日記」は SNS や「プロフ」へ急速に移行していく。「ぱど厨」なる言葉が登場したのも2004年頃か。更に Twitter が2006年，Tumblr が2007年にサービスを開始し，ユーザがサービス間を渡り歩いたりするのが当たり前になる。 ↩︎
はてなブログは継続。しかし，SNS が主流になり「ブログ」が完全に下火なった2013年からようやくブログサービスを始めたはてなは流石としか言いようがない（笑）ちなみに Facebook が Instagram 買収を発表したのはそれより前の2012年である（当時 Android 版のアプリが出たばかりでショックを受けたのを覚えている）。 ↩︎

WordPress 4.7 における REST API の脆弱性

2017-02-06T12:46:26+00:00

WordPress は仕事でも私用でも使ってないのでスルーしてたのだが IPA と JPCERT/CC から注意喚起が出てたので紹介しておく。

WordPress 4.7.2 は1月末にリリースされ，この時に3つの脆弱性が公表されたが，それとは別に重大な脆弱性があったようだ。 WordPress 側は安全確保のため最新版がユーザに行き渡ったタイミングで発表を行ったと言っている¹。

この間にSucuriをはじめとするセキュリティ企業と連携し、攻撃が発生した場合でも各社のファイアウォールで防御できる態勢を確立。自動更新を通じてWordPressの更新版が行き渡り、できるだけ多くのユーザーが保護されるのを待ってから、情報を公開したという。

WordPress、更新版で深刻な脆弱性を修正　安全確保のため情報公開を先送り - ITmedia エンタープライズより

今回は，この4つ目の脆弱性に絞って紹介する。他の3つについては以下を参照のこと。（このうち CVE-2017-5611 のみ CVSSv3 基本評価値が7を大幅に超えている）

脆弱性の内容

バージョン 4.7 から REST API が WordPress Core に組み込まれたらしいのだが，そこに脆弱性があったようだ。この脆弱性を利用すると REST API を使って認証を回避してコンテンツを書き換えることができる。詳しくは以下の記事を参照のこと。

WordPress 4.7.1 の権限昇格脆弱性について検証した | 徳丸浩の日記

影響度（CVSS）

CVE-2015-7547 より

CVSSv3 基本評価値 5.3 ( CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)

基本評価基準	評価値
攻撃元区分（AV）	ネットワーク（N）
攻撃条件の複雑さ（AC）	低（L）
必要な特権レベル（PR）	不要（N）
ユーザ関与レベル（UI）	不要（N）
スコープ（S）	変更なし（U）
情報漏えいの可能性（機密性への影響, C）	低（L）
情報改ざんの可能性（完全性への影響, I）	なし（N）
業務停止の可能性（可用性への影響, A）	なし（N）

んー。「情報改ざんの可能性」が「なし（N）」なわけないと思うのだが… ちなみに「情報改ざんの可能性」が「高（H）」なら基本評価値は 8.2 になる。

CVSS については解説ページを参照のこと。

影響を受ける製品

WordPress 4.7 および 4.7.1

対策・回避策

バージョン 4.7.2 にアップデートすること。すぐにアップデートが難しい場合は REST API を無効化すること（Web サーバ側の設定変更等が必要）。

JPCERT/CC では

すでに、本脆弱性を悪用する実証コードが公開されており、JPCERT/CC にて実証コードを用いて検証した結果、WordPress のコンテンツが改ざんできることを確認しました。また、対象となる WordPress を利用していると思われる国内の複数のサイトが改ざん被害を受けています。また、本脆弱性を悪用した改ざん事例も確認されています。

WordPress の脆弱性に関する注意喚起より

と注意喚起を行っており，速やかに対策を実施する必要がある。

ブックマーク

CMS の管理について

参考図書

フルスクラッチから1日でCMSを作る_シェルスクリプト高速開発手法入門改訂2版 (アスキードワンゴ): 上田隆一 (著), 後藤大地 (著), ＵＳＰ研究所 (監修); ドワンゴ 2019-07-05 (Release 2019-07-05); Kindle版; B07TSZZPWN (ASIN); 評価

既存の常識に凝り固まったソフトウェア・エンジニアに「痛恨の一撃」を加える快書もしくは怪書。

reviewed by Spiegel on 2014-09-21 (powered by PA-APIv5)

こういう特定のセキュリティ企業と契約している企業ユーザが優遇される仕組みというのは良し悪しだと思うんだけどねぇ。まぁ最近の WordPress は自動更新機能を備えているらしいので，あまり深刻に考えないほうがいいのかもしれないが。 ↩︎

「自分で面倒見られる子」だけが CMS を導入しなさい

2016-07-16T23:26:43+00:00

私の場合，それまで使っていたオープンソース版 Movable Type (MTOS) を捨ててローカルでサイト管理するようにした¹。直接のきっかけは開発元が MTOS のサポートを打ち切ったことだが，自前でサーバ・サイドの CMS (Content Management System) を導入・運用することが高コストになり，それを個人レベルで運用することに意義を見いだせなくなってきたというのが大きい。

というわけで以下の話題。いつもは「セキュリティクラスタ」の話題はまるっと無視しているのだが，今回は気になる点があったので。

セキュリティクラスタまとめのまとめ 2016年6月版：初心者でも気軽にWordPressサイト作成！して大丈夫なの？ (1/3) - ＠IT

そもそもセキュリティ以前に「自分で面倒をみる」ことのできない人は自前でサーバ・サイド CMS を導入するのはやめたほうがいい。ペットを飼うのと同じ²（笑）「初心者」かどうかはさしたる問題ではない。誰だって最初は初心者だし，分からなければ訊くなり調べるなりすればいいからだ。

プログラムは家電製品とは違う。導入すればそれで終わり，とはいかない。多くの人に使われる製品こそ常に不具合や脆弱性の改修が行われているし³，もちろん機能改善も行われる。「プログラムは常にベータ版」という名言は一般の方も覚えておいたほうがいいだろう⁴。

面倒を見る気はないが気軽にブログをやりたい，って程度なら SaaS (Software as a Service) 型のサービスがいくらでもある。さすがに ameblo みたいなのはデザインが古すぎてアレだが， WordPress も Movable Type も SaaS を提供している。最近なら Medium や日本の note みたいに気軽にオン書きできるものもある。 Tumblr でブログサイトを運用している人は日本語圏にも結構いる⁵。最近では esa.io のようにチームで使えるものが流行りらしい。あるいは私のようにサーバ・サイドの CMS を捨てて GitHub Pages ＋ Hugo で静的なページとして運用すればセキュリティ上の煩わしさから解放される。やり方なんていくらでもあるのだ。

今でこそ「セキュリティは投資」とみなされ PDCA サイクルで回されるようになってきたが⁶，ちょっと前まではセキュリティ管理は典型的なコストセンターだったのだ。 JTB の情報漏えい騒ぎに関する今回の事後の振る舞いには批判が多いが，結局のところ「セキュリティ」を経営レベルでどう捉えるかということに尽きる。セキュリティ管理をコストとみなすうちは昨年の日本年機構や今回の JTB のような失敗は必ずまた繰り返される。

しかし企業や組織はそれでいいとしても個人レベルでそれを求めるのは酷な話である。セキュリティと利便性はトレードオフにならない。利便性を犠牲にしてセキュリティを強化してもユーザはただそこを迂回するだけだ（日本年金機構の事例はまさにこれと言える）。

WordPress のようなサーバ・サイド CMS がセキュリティ的に高コストに見えるのは，製品デザインとセキュリティ管理が齟齬を起こしていて，そこを運用で強引にカバーしようという駄目プロジェクトの典型みたいになっているからである。あるいは「奥が深い症候群」の末期症状と言うべきか。 SaaS ならそうした面倒をサービス・プロバイダに押しつけることが出来るという意味で次善の策になる。

もう一度繰り返そう。

「自分で面倒見られる子」だけが CMS を導入しなさい。

参考図書

フルスクラッチから1日でCMSを作る_シェルスクリプト高速開発手法入門改訂2版 (アスキードワンゴ): 上田隆一 (著), 後藤大地 (著), ＵＳＰ研究所 (監修); ドワンゴ 2019-07-05 (Release 2019-07-05); Kindle版; B07TSZZPWN (ASIN); 評価

既存の常識に凝り固まったソフトウェア・エンジニアに「痛恨の一撃」を加える快書もしくは怪書。

reviewed by Spiegel on 2014-09-21 (powered by PA-APIv5)

経緯については本家サイトの「ブログ移転準備中または Take the Hugo!」を参照のこと。 ↩︎
でも，好きでペットを飼ってる人はそれをコストだと思わないだろうけど。コンピュータ・オタクやセキュリティ・オタクには変態が多いので，そういう「面倒」をわざわざ引き受けて楽しんでいるフシがある。仕事で使うツールを自分のフィールドでも使い倒すってのはあるけど。 ↩︎
不具合や脆弱性の報告が全くない製品ってのは誰も使ってないか製品の提供者が怠慢かのどちらかである。 ↩︎
とはいえ IoT の時代になれば家電製品も「自分で面倒をみる」ことが必要になってくるかもしれない。本当に面倒な時代になったものである。 ↩︎
Tumblr はホワイトハウスの公式サイトがあることで有名である。 ↩︎
そしてセキュリティへの投資につけ入る「輩」も増えてきた。 ↩︎

週末スペシャル： 3月9日は皆既日食（日本では部分日食）

2016-02-27T13:31:08+00:00

3月9日は皆既日食（日本では部分日食）

3月9日は部分日食 | 国立天文台(NAOJ)

来月3月9日は東南アジアやオーストラリアを中心に皆既日食がある。残念ながら日本は皆既食帯から完全に外れているため部分日食となる。父島でも食分 0.48 程度らしいので，期待せず楽しみましょう。

ちなみに，当然のことながら太陽を直接見ないこと。レンズ越しとかもっての外。文房具の下敷き越しもダメだよ。

オススメは木漏れ日とかかな。

Eclipse Shadows

サーバサイド CMS はリスクか

JPCERT/CC からアラートが出ている。

改ざんの標的となるCMS内のPHPファイル(2016-02-25)

改竄された PHP ファイルにより不正コードが挿入されるらしい。これ自体は別に珍しいことではないが， WordPress をはじめ主要な複数の CMS (Content Management System) がターゲットになっているのが特徴である。

JPCERT/CC でも PHP ファイルの改竄手法は掴んではいないらしい。割と無差別な感じだし脆弱性のあるサーバを機械的に攻めているのかもしれない（そう見せかけている可能性もあるが）。そうなら簡単なんだけどねぇ。

EC サイトのようにサーバサイドに機能を乗せざるを得ない場合は別だが，たかがブログ程度でサーバサイドに CMS を設置するのはリスクしかないんじゃないだろうか。問題は「改竄されたファイル」の検出が難しいことなので， CI (Continuous Integration) を使ったデプロイ・プロセスでそれを検出・排除できれば，かなりいけるんじゃないかと思うんだけど，どうだろう。

追記

ユーキャンが Movable Type クラウド版を使う理由 - 導入事例 | シックス・アパート - CMSソフトウェア、サービスを提供

株式会社ユーキャンでは本番環境にサーバサイドプログラムを置かないポリシーなんだそうだ。そこでクラウド版 Movable Type のサーバー配信機能を使い，ステージング環境と本番環境を分離して運用しているらしい。これはこれで賢い選択である。

「中高生が知っておきたいサイバーセキュリティ」とは

いや，これダメなんじゃないかなぁ。脅威を煽るだけで中途半端な対策しか示さない。これじゃあただの FUD (Fear, Uncertainty and Doubt) だよ。

スマートフォンのセキュリティ

例示としてはいわゆる ransomware に引っかかり「身代金」を払ったものの事態は改善しなかったという，まぁ今時ありがちな話。対処としては「ウイルス対策ソフトの導入」「信頼できるサイトからのアプリの導入」「OS やアプリを最新バージョンに保つ」というもの。

しかし相手は「中高生」である。 PC 用では個人向けに無料のものもあるが，携帯端末用の「ウイルス対策ソフト」の多くは有料（ランニング・コストがかかる）で「中高生」は手を出しづらいだろう。その上，現時点ではウイルス対策ソフトの導入は「やらないよりマシ」程度のもので優先順位としては低いといえる¹。

また「信頼できるサイトからのアプリの導入」というのは表現としては手ぬるい。何を持って信頼できるのか客観的な指標はない。したがって現時点では Google Play や App Store といった公式のストア以外からは導入しない，とすべき。 Malware は Phishing メールなどから「うっかり」導入してしまうことが多いからだ。もちろん Andorid 端末では「提供元不明アプリのインストールを許可しない」設定を有効にすることを忘れないこと。

結局一番有効なのは「OS やアプリを最新バージョンに保つ」ことであるが，ここでも問題がある。

まず iOS は基本的に機能追加のついででしかセキュリティ・アップデートを行わない。しかも機能追加によって端末に不具合が起きることも少なくないためアップデートそのものをユーザが忌避することも多い。少なくとも通常のアップデートとセキュリティ・アップデートは別サイクルで行うべきで，可能であれば iOS のバージョン別で行うのが望ましい。

Android の場合は更に酷い。 OS のアップデートは端末メーカの裁量に任されているため，特に古い機種ではアップデートそのものをオミットするケースが多いのだ。 Google 直轄の Nexus シリーズがほぼ毎月セキュリティ・アップデートを行っているのに対してその他の端末メーカではそういったものが殆ど見られない。これは明らかに怠慢である。

エフセキュアブログ : Androidのセキュリティ上の大問題の1つを示す2つのグラフ

そういった状況を無視して脳天気に「OS やアプリを最新バージョンに保つ」と言ってしまうのはいかがのものかと思ってしまう。

あといい加減に「ウイルス」って言うの止めない？誤解しか生まないよ，それ。

無線 LAN のセキュリティ

無防備な公衆無線 LAN を使ったために通信内容が漏れてしまった，という例。

無線 LAN の暗号化は端末とアクセスポイントの間の通信経路の間でしか行われない。これは重要なポイントである。もともと無線 LAN の暗号化は「有線」の代替として考えられているもので通信経路全体や通信データを守るものではない。そもそも，やり方はどうあれ，「公衆」の「LAN」が信用できる道理はないのだ。

だから対策として「公衆 Wi-Fi に接続する場合は、出来るだけ暗号化された、信頼できる Wi-Fi を利用しよう」というのは完全にミス・リーディングである²。

公衆無線 LAN サービスを使う場合には，ちゃんとユーザごとに認証機能（EAP など）のあるものでないとダメ。公衆無線 LAN サービスの利用方法で SSID とパスワードしか記載されてないようなものは暗号化してないも同然なので，絶対に利用してはならない。たとえ自治体などが提供しているサービスであってもだ。

安全でない公衆無線 LAN をどうしても使う必要がある場合は VPN (Virtual Private Network) を使って暗号化すること。ただしまともな VPN サービスは有料（ランニング・コストがかかる）のものが多く「中高生」では金銭的に手が出ないことも多いだろう。

結局「中高生」相手であれば「公衆無線 LAN は絶対に利用しない」くらいに言ってしかるべきだと思う。もちろん親とかの支援を受けて VPN を含むセキュリティ対策アプリを導入できるのであれば，それに越したことはないが。

インターネット上の詐欺

「インターネット上の詐欺」というのは要するに social engineering のことである。 Social engineering の手法は日々進歩している。数年前なら日本語の Phishing メールや誘導先のサイトはひと目で分かるようなものだったが，最近は見た目も手口も巧妙になってきていて本物と見分けがつかなくなってたりする。

まぁこういった情報に留意していくしかない。こういうのは「私は騙されない」と思ってる人ほど騙されるもので「私も騙されるかもしれない」と覚悟した上で「事後」をどうすべきか学校や家族も交えて議論していくべきだと思う。

思うのだが，インターネットに限らず「中高生」向けにセキュリティ事例を共有していくシステムを構築すべきと思う。むやみに恐れる必要はないが，日頃から心構えをしておくことが大切である。

これは企業とかでよくやるが，定期的に「抜き打ちテスト」するのも効果的だ。あらかじめ「詐欺」を演出し，その対応を見て個別に指導していくというもの。この場合も演出する側が「最新の手口」を知っていることが重要。やはり日頃の情報収集と共有は欠かせないのだ。

SNS 利用上の注意

例示が古いよ。

今時の子どもは「見知らぬユーザ」にホイホイついていったりしないって。むしろ注意すべきは「知ってる友人」になりすましているケースだ。 LINE とかで昨年一昨年と騒ぎになって金銭被害とか出たじゃん。これ作った奴はもっと勉強しろよ。

まぁこれも上の「インターネット上の詐欺」と同じ social engineering である。なので対策も「インターネット上の詐欺」と同じ。

常に最新情報に留意して「事後」についてもあらかじめきちんと決めておく，程度の対処しかない。

「ウイルス対策ソフト」を装う malware も多い。そういうのは無料で提供されてたりするので「中高生」がうっかり手を出してしまう可能性もある。 ↩︎
どうでもいいけど「無線 LAN」と「Wi-Fi」で表現が分離してるけど何か意味あるの？用語は統一しようよ。 ↩︎