1. セキュリティのアレ
  2. 第11回 メリー ナノリマス!ス..
2012-12-24 49:06

第11回 メリー ナノリマス!スペシャル

Tweet メリー ナノリマス! 忘れた頃にやってくるポッドキャストでおなじみの… 地道にがんばっていきますの[...]

The post 第11回 メリー ナノリマス!スペシャル first appeared on podcast - #セキュリティのアレ.

00:13
お久しぶりでございます。 It's been a while.
いつものポッドキャストはいつも通り帰って参ります。 I'm back as usual.
でも結構頑張った方じゃないですかね。 But you've been working hard, haven't you?
間も1ヶ月ぐらいですかね。 About a month, right?
色々と世間では変わったことも色々起き、 In the world, a lot of things have changed,
私たちも色々変わったことが起きたっていうね。 and a lot of things have happened to us.
変わったりとかみたいな。 Things have changed.
はい、そういうことですよね。 Yes, that's right.
ということで、普段と変わらないポッドキャストで。 So, I'm going to talk as usual.
ゆるい感じでいきましょうね。 I'm going to talk as usual.
よろしくお願いいたします。 Thank you in advance.
サーバーを借りたんですよ。 I rented a server.
今までですね、桜のレンタルサーバー、 How many years has it been?
何年だろう、もう。 How many years has it been?
8年ぐらい使ってんのかな、もう。 I think I've been using it for about 8 years.
スタンダードな、普通のやつで。 It's a standard one.
ずっと使ってて、 I've been using it for a long time.
プラガーとかインストールしたりしたこともあったんですけども。 I've installed a plugger or something.
月いくらぐらい? How much was it per month?
980円ぐらいかな。 About 980 yen per month.
結構安いんですね。 It's pretty cheap, isn't it?
安いんですよ。全然安いんですけど。 It's cheap. It's totally cheap.
ワードプレスを入れると、もうそれだけで遅いんですよ。 It's too slow to put WordPress in.
スペックが追いつかない感じなんですね。 I can't keep up with the specs.
桜のレンタルサーバーってPHPが CGIとして動いてるんですよね、確か。 I think the PHP of Sakura's rental server works as CGI.
そもそもPHPを動かすことに最適化されてないんですよ。 It's not optimized to put PHP in the first place.
いろいろと遅かったりするってのはよく聞いてたんですけど、 I've heard that it's slow to do a lot of things.
最近ワードプレスで更新をするとも、 I've heard that even if you update WordPress,
インターナルサーバーエラーが起きるとかそういうレベルだったんですね。 there's an internal server error.
そういうレベルなんですね。 I see.
でも結構ワードプレスとかあとはムーバーブルタイプとかあるじゃないですか。 But there's a lot of movable types in WordPress.
僕も昔借りてたところでムーバーブルタイプを何も考えずに動かしてたら、 When I used to rent a server and moved the movable type without thinking about anything,
スパムコメントだけで処理が重すぎるから、 I got an email saying,
コメントを禁止してくれっていうメール来たりとかしたこともありますけどね。 that spam comments were too heavy, so I had to ban comments.
特にワードプレスって基本的に動的生成なんですよね、コメントが。 WordPress is basically a dynamic generation of comments.
ムーバーブルタイプは静的にはできるんだけども、 You can make a movable type static,
一回更新するとガリガリ全部更新かけるから、更新時に重くなるんですよね。 but if you update it once, it's going to take a long time to update everything.
一応言ったんですけど、結構ワードプレスを使うようにして、 I've been using WordPress a lot,
ずいぶん前からインターナルサーバーエラーはわかってはいたんですけど、 and I've known about the internal server error for a long time,
上位のレンタルサーバーに借りるのもちょっとめんどくせえなと思っていて、 but I thought it was a bit of a hassle to rent a top-level rental server,
03:06
倉庫をしているうちにVPSが流行ってきたんで、 and VPS became popular while I was running it.
俺お気に入り。 I like it.
VPSって全部一からやらなきゃいけないじゃないですか。 You have to do everything from scratch, don't you?
そうですね。全部自分で構築するっていうところはわかるんですね。 Yes. It's a matter of course to build everything yourself.
言ってもほら、そんなに管理できない人なんで。 But I'm not a person who can manage it that much.
そうなんですか? Is that so?
あれですよ。昔、バインリナックスとかが流行った頃はインストーラー得意でしたよ。 When Vine Linux was popular, I was good at installing.
そこから先やったことないんですよね。 I've never done it before.
運用もしてない? You haven't run it?
したことがない。 I haven't done it.
もちろんそういう記事はいっぱい編集はしていましたけれども。 Of course, I've edited a lot of articles like that.
特にセキュリティが怖いじゃないですか。 Especially security is scary, isn't it?
VPSって本当に前から思ってたんですけど。 I've been thinking about VPS for a long time.
あれって使ってる人みんなちゃんとセキュリティ考えてやってんのかなっていう。 I wonder if everyone who uses it is thinking about security.
どうでしょうね。 I wonder.
ああいうコンテンツを管理するソフトウェアというか、 Wordpressにしてもムーバーブルタイプ、いろいろありますけど。 There are a lot of softwares and movable types for Wordpress, but
それを自分が使って、ワードプレス自体の脆弱性とかは結構気にしてる人は多いと思うんですよ。 I think a lot of people are concerned about the vulnerability of Wordpress itself.
ログインすると、使ってる人しかちょっとわかんないかもしれないですけど。 If you log in, only those who use it may not know,
自分が管理をして設定を変えたりとかページを変えたりするためにログインするじゃないですか。 you log in to manage and change settings or pages.
ログインしたときにダッシュボードっていう、全体がざっくり管理するページってあると思うんですけど。 When you log in, there's a dashboard that manages the whole thing.
そこに自分のワードプレスが古いか新しいかって出るじゃないですか。 You can see if your Wordpress is old or new there.
そこで結構意識はイヤーネも身につくんであるんですけど。 I'm aware of that, but
危ないのが、プラグインに脆弱性があるという。 it's dangerous because it's vulnerable to plugins.
例えば写真をアルバムみたいに生成するためのプログラムとか、 For example, a program to generate photos like an album,
よくブログにカレンダー貼り付けたりするじゃないですか。 You often put a calendar on your blog,
更新したとかわかるようにね。 so that you can see if you've updated it.
そういうののプラグイン、後から追加した機能のところに脆弱性があるとかっていうのが多くて。 There's a lot of vulnerability in the functions that you've added later.
確かにね。 Yeah.
いくつか、その辺の話もちょっと後で投げたいんですけど。 I'd like to talk about that later, but
そもそもですね、最初、サーバーズマンアットVPSというDTIのサービスを使ったんですね。 First of all, I used a DTI service called Serversman at VPS.
使った理由は二つ。 One of the reasons I used it was two.
一つは安い。 It was cheap.
勉強のためだったんで、月490円ぐらいなんでしょ。 It was for studying, so it was about 490 yen a month.
とにかく安いというのと、もう一つがホームページセットっていうインストールイメージがあったんですね。 It was cheap anyway, and there was also an installation image called Homepage Set.
これ何かというと、要するにランプ環境を一発で作れるインストールイメージ、OSイメージがある。 If you select it and start it,
Apache, PHP, MySQLが全部入っているというようなものが詰め合わせで入っているんですね。 it contains all of them.
06:04
VPSで基本的にワードプレスのために使っているので、すぐ使えるのかなと思っていたという二点の理由だったんですよ。 I used it for WordPress, so I thought I could use it right away.
実際やりましたと。やっていくうちにわかったのが、そもそも用意されているホームページセットっていうのが、本当にバージョン全部最新かどうかがよくわからなかった。 I didn't know if all the versions were the latest or not.
怖いですよね、それはちょっとね。 It's a little scary, isn't it?
バージョン何が入っているかよくわからないまま運用するんだったら、やっぱりちゃんと最初勉強をして、やった方がいいよねと。 If you're going to run it without knowing what version is in it, you should study it first and do it.
その時点でホームページセットっていうのを全部諦めて、素のOS入れて、一から全部パッチとかを入れていったと。 I gave up all the homepage sets at that point and put in the素 OS and put in all the patches from scratch.
意外と資料がいっぱいあるんですよね。 There are surprisingly a lot of materials.
セットアップしてみたっていう資料がいっぱいあったりするんで。 There are a lot of materials that I've set up.
メモとかも結構多いですよね。 There are a lot of memos, right?
なのでそんなに苦労はしなかったんですよ。 So I didn't have that much trouble.
意外なことにちゃんとワードプレスも動きましたと。 Surprisingly, Wordpress worked.
その時点で一回公開する前に辻さんに連絡したんですよね。 So I contacted Mr. Tsuji before it was released.
いただきましたね。こういうところにページ作ったんですけど、ちょっと調べてくださいって聞いたら。 I got it. I made a page for this kind of thing, but I asked you to look it up.
定欲、タダでペネトレーションテストをやってもらおうというね。 I was going to have a penetration test for free.
ペネトレーションテストまでのことはやってないですね。 I haven't done anything until the penetration test.
それで、まだドメインのセットもしていない素のIPアドレスをね。 So you didn't even set the domain yet.
そうでしたね。なのでリンクをクリックすると元のサイトに昔のサイトに飛んじゃうので困ってたんですよ。 So when I clicked the link, I was in trouble because I was going to fly to the old site.
ということをやったら見事にPHPのバージョンを引くんですよって言われて。 So I was told to pull the PHP version.
PHPのバージョン古かったですね。 It was old.
直し用がないんですけど、今使っているバージョンに最新なんですけど、脆弱性が報告されてるっていう。 It's not for fixing, but it's the latest version I'm using now, but it's reported to be weak.
そこぐらいかな、気になったのは。 I think that's about it.
あとはログイン画面とかすぐ見つかりますからね。 You can find the login screen right away.
おっしゃる通り、PHP古いんですよ。古かったんですよ。 As you said, PHP is old. It was old.
僕は一応バージョン情報からどれだけ脆弱性があるか調べたんですけど、軽く10個以上は。 I checked the version information to see how weak it was, but it was lightly more than 10.
攻撃性があるかどうかは別ですけどね。 It doesn't matter if there's an attack or not.
これ5.3.3なんですけど、これって結局デフォルト状態でOSのYAMアップデートとかYAMインストールでPHPを入れるとこのバージョンになるんですよ。 This is 5.3.3, but if you put PHP in YAM update or YAM install in the default state, it will be this version.
今使っているOSでってことですか。 You mean the OS I'm using now?
そうそう。何にも入れない場合。 If you don't put anything in.
リポジトリを追加していくと最新のが入ったりとかできるんですけども、何もしなかったらこうなっちゃうんですよね。 If you add a repository, you can get the latest one, but if you don't do anything, it will be like this.
いろいろ資料とか見てても、やっぱりそのまま5.3.3でいいやっていう人も多いんで。 Even if you look at a lot of data, there are a lot of people who say that 5.3.3 is fine as it is.
09:06
そこで止まってるVPSの差は結構多いんじゃないかなっていうのがまず1個感想ですね。 I think there are quite a lot of VPS servers that stop there.
で、やっぱりね、実はそこから512MBっていうスペックなんですよ、今回の490円くらいのやつって。 It's a 512MB spec this time. It's about 490 yen.
それってソフトをチューニングしないとプロには活用できないってことはそこで気づきまして。 I realized that I couldn't use it for professionals unless I tuned the software.
多いですよね、多分。 It's a lot, isn't it?
なので、月980円のSakura VPSにまた戻ってきました。 So I went back to Sakura VPS for 980 yen a month.
で、実はもうすでにサーバー以降をかけて運用中なんですけども。 Well, it's already running after the server.
ご指摘のあったPHPは最新版になるべく近いものにして、 MySQLも基本的に最新のものにして、パッチも今まで1.3だったっけな、レンタルサーバーのときそうだったのに2.0にして、かなり綺麗になりました。 The PHP that you pointed out is as close to the latest version as possible, and MySQL is basically the latest one, and Apache is 1.3 or 2.0. It's pretty clean.
素晴らしいですね。 That's great.
ただ、よくソフトウェアを最新にしましょうという話があるじゃないですか。 But you often talk about making software the latest.
あれって、別に本当に最新にしないと無茶苦茶危ないというわけじゃないときもあるっていうのを覚えていてほしいなと思うんですよね。 I want you to remember that sometimes it's not that dangerous if you don't make it the latest.
いくつかそこで困っていることはあるんですけども。 There are some problems there.
一つはですね、これはもうどうしようもない話。 One is that, and this is something that can't be helped,
実は5年ほど前までCMSシステムの走りだったZOOPSっていうCMSより出るんですよ。 until about 5 years ago, there was a CMS called ZOOPS running CMS.
かなり初期ですよね。2002年とかにもあったもんな、もう。 It was pretty early, wasn't it? It was around 2002, wasn't it?
ありましたね、ありました、ありました、たぶん。 Yes, it was.
まだブログとか言われてない頃ですよ。 Yeah, it wasn't called a blog yet.
そうですか、ブログが。 I see.
そういう意味ではトラックバックとかの時代じゃないんですよ。 It wasn't the era of trackbacks.
そうですね。2002年だと僕まだ東京にも出てきてないですね。 I see. I haven't even been to Tokyo in 2002.
トラックバックとかでも後でプラグインで追加されたような時代のCMSで、当時は画期的でした。 Trackbacks were CMS that were added later with plug-ins. It was revolutionary at the time.
ただ、それにコンテンツがとらわれてるんですよ、今。 But now the content is trapped in it.
3、4年くらい運用したんですけども、その時のコンテンツがZoopsをソフトウェアに出せないんですよ。 I've been running it for about 3 or 4 years, but I can't put the content in Zoops anymore.
つらいですね。移し替えようとするとコピペとかしないといけないですね。 It's hard. If you want to change it, you have to copy and paste it.
なので、だましだましZoopsをメンテナンスモードとして動かしてるんですけども、 So I'm moving Zoops as a maintenance mode.
今回、そういう意味でかなりPHPもMySQLもバージョンアップが飛んだんで、大変でしたね。 In that sense, PHP and MySQL have been upgraded a lot this time, so it was hard.
ずっとほっといてたバージョンは、MySQLの5.5に対応してなかったんで、急いでバージョンアップをかけて、ちまちまとパッチンを当てて、やっと動くようになったっていう。 The version that I had left alone didn't respond to MySQL 5.5, so I hurried to upgrade the version, and it finally started to work.
12:07
あとはバージョンを上げると動かないとかっていうのもあったりとか、このプラグインが対応してないとかっていうのが出てきたりするので、そこは気をつけないといけないですよね。 In that sense, I have to be careful.
相当素のシステムにしてるんで、Zoopsが動けば、まず大丈夫っていうサイト構成になってる。したんですね、むしろ。プラグインを使わないようにしてっていう。 I made it so that I don't have to use plugins. I'm afraid of that in the future.
いつかこのコンテンツは捨てることになるんだろうなっていう。 I wonder when this content will be thrown away.
それはしょうがない。ついてまわる話ですよね、その辺はね。 It's a story that can't be helped.
今Zoopsキューブとかで動いてはいるんですけども、ダウンロード数とか見せてもちょっと寂しい感じだったんで。 I remember Zoops Cube now, but I felt a little lonely when I looked at the download number.
限りが見えてる感じなのかもしんないですね。 It may seem like a limit.
ちょっと失敗したなっていうのが一点と。 One point is that I made a mistake.
あと、やっぱりサーバー管理っていうのを今度VPSでやんなきゃいけないわけですよね。 I have to do VPS for server management.
どこまで自分でできるのかっていうのをちょっと今手探りでやってるところなんですよね。 I'm trying to figure out how far I can do it myself.
最初、FTPすら入れるのやめようかと思ったんですよ。 At first, I thought about quitting FTP.
FTPですか? FTP?
ん?もう一回お願いします。 One more time.
FTPをSFTPでやる方法がよくわかんなくて、 FTPサーバーを立ち上げたら普通に一時期言われてたような。 Is it a gambler?
そうそう。そんな感じ。 Yes.
でもSSH入れてればいいんじゃないですかね。 I think SSH should be included.
そうなんです。それに後で気がついて、 FTPDを入れたんですね。 VS FTPD かな。 VS Secure FTPですね。
ですね。スケベンディっていう。 Yes. It's called SKEVENDI.
VS FTPは最初、Red Hatとかでデフォルトで入ってくるFTPですね、今ね。 Yes. VS FTP is now a default for Red Hat.
もう一つがWebmin.
また危ないものに手を出そうと。 You're going to get yourself in trouble again.
やっぱりそうですよね。 That's right.
ちゃんと運用すれば別に危ないとは思わないんですけど、できることが多すぎるんですよね。 I don't think it's dangerous if you operate it properly, but there are too many things you can do.
そうなんですよ。 Yes.
一時期ちょっとそういうのをちょっとだけやってみたいなと思ったんですよ。 I thought I'd like to try that for a while.
そういういわゆるクイでやるようなコントロールの。 The so-called control that you do with a nail.
みんなブラウザーでログインすれば、このサービスを起動するとか、いろんなことがブラウザーからできちゃいますもんね。 If you log in with your browser, you can start this service, and you can do a lot of things from the browser.
そうなんですよ。 Yes.
インストールしようみたいなガイドをしているページもあったんで、一瞬入れたんですよ。 I had a page that was guiding me to install it, so I put it in for a moment.
でも見た瞬間にやべえと思いましたね。 But the moment I saw it, I thought it was dangerous.
できることが多すぎてたんですね。 There were too many things you could do.
消しましたと。 I deleted it.
結局、一個だけ管理系ツールを入れまして、それがですね、名前が覚えてないんですけど、 I put only one management tool in there, and I don't remember the name.
15:11
ログをざっと洗ってくれて、ログウォッチだ。 It was a log watch.
ログウォッチっていうのを入れて、一日一回サーバーの状況を見てくれると。 I put a log watch in there, and it looked at the server situation once a day.
これ、アットマークITに記事がありました。 There was an article in ATMARK IT.
ログウォッチを入れると、例えば何回スイッチユーザーが行われて、何回成功した、何回失敗しただとか。 When you put a log watch in, for example, how many times the switch user was executed, how many times it was successful, how many times it failed.
一般ユーザーが全権を持っている管理者ユーザーに。 A general user is a manager who has full authority.
です、です。 Yes, yes.
一般ユーザー同士で使う場合もありますけど、違うユーザーに変わるってことですよね。 It can be used by general users, but it can be used by different users.
やってれば、当然何回か自分がやったのが残るんですけど、そうじゃないのをチェックするだとか。 If you do it, of course, you can check how many times you did it.
あと、HTTPサーバーのエラーログ、404が何件あってとかっていうのをサマリーで出してくれるツール。 I thought it would be nice to have a tool that summarizes the error logs of the HTTP server.
これ一個ありゃいいなっていうふうに思いましたね。 I thought it would be nice to have one of these.
管理系のものっていうのは、これ僕の考えがあって、セオリーとかアカデミックな話ではないんですけど、 As far as I know, it's not a theory or an academic story,
できる限りGUIとかWebminっていうブラウザーでサーバーを全部管理できちゃうみたいなやつとかっていうのは I think it's better to use it only for people who can't use it.
なるほどね。 I see.
例えば個人でやるんじゃなくて何人かでやるとか、やっぱりスキルの違いとかもあったりすると思うんで、 I think there are some differences in skills, such as how many people do it, not individuals.
その裾野を広げるためにこの人たちでもできるみたいな運用をする場合には使えばいいと思うんですよね。 I think it's a good idea to use it for people who can do it to expand their skills.
その代わり、それも破られた場合にやられてしまうことっていうのは多くなっちゃいますけどね。 Instead, if it's broken, it's often done.
でも、いろいろ経験があったりするんだったら、もうSSH一本でいいと思うんですよ。 But if you have a lot of experience, I think one SSH is enough.
結局そこなんですよね。 That's the point.
守るべきポイントっていうのは減らせば減らすほどいいはずなんで。 The fewer points you need to protect, the better.
その自分のスキルに応じてどれにするかっていうのを選ぶってしたほうがいいと思いますね。 I think it's better to choose what to do according to your skills.
なるほどね。 I see.
結局SSHは今使われてるんですか? Do you use SSH now?
SSHはデフォルトでやってますんで。 I use SSH as default.
入れてるサービス的なプログラムはSSHで繋いで、 So the services you put in are connected to SSH,
Apache, PHP, MySQL, Pearl Ruby, LogWatch, and LogRotation.
これから管理していく上で、とりあえずこういう風にした方がいいんじゃないかっていうことなんですけど。 I see. So I think it's better to manage it like this for now.
僕SSHのハニーポッドを運用したことがあるんですけど。 I've used SSH's honeypot before.
18:03
もしもし、聞こえます? Hello? Can you hear me?
大丈夫です、大丈夫です。 I'm fine.
大丈夫ですか。 Are you okay?
22番ポートでオープンしてるじゃないですか。 It's open on port 22, isn't it?
はい、はい、はい。 Yes, yes, yes.
SSHってすごい狙われやすいんですよね。 SSH is very easy to be targeted, isn't it?
その辺は割としっかりいろいろあって。 There are quite a lot of things around that.
まず一番最初に借りたサーバーズマンVPSは頭から22番じゃないんですよ。 The first server man VPS I rented wasn't 22 from the beginning.
全然ランダムじゃないですけど、全然違う番号になってるから、 It's not random at all, but it's a completely different number,
SSHはこっから繋いでねっていう設定になってるんですね。 and it's set up to connect SSH from here.
素晴らしいですね。 That's great.
さくらの場合は、さくらの社長が VPSを借りた時に一番最初にやることっていうエントリーを作ってるんですよ。 In the case of SAKURA, the president of SAKURA makes the first entry when he rents VPS.
で、一通りこれだけはやっておいてくださいっていうのを中の一番頭に It's not a management user, but a proper user,
ルート以外のユーザーを作って、ポート番号を変えて、公開鍵を作って、 It's not a password authentication, but a key authentication,
パスワード認証じゃなくて鍵認証にして、ルートのログインをなくしてみたいなのを全部変えてるんですよ。 it's not a password authentication, it's a key authentication, it's a root login.
おお、すごいですね。 Oh, that's great.
さくらはそこら辺すごいですよね。 SAKURA is amazing in that respect.
ポート番号をそのままデフォルトでやってると、攻撃って毎日のようにログインしようとするような変なところが飛んでくるんですよ。 If you keep the port number as default, there's a weird place where you try to log in every day.
で、ポート番号を、例えば22番っていうのは最初何もしなかったら22番になっちゃうんですけど、 So, for example, if you add the port number to 22, which you didn't do anything at first,
それを増やして2222番とかにした途端に一気に来なくなるんで、 it will not come all at once.
さくらはVPSサービスはその辺りをきっちり説明をしてますね。 SAKURA explains the VPS service in detail.
問題は、さくらVPSって結構使ってる人多いじゃないですか。 The problem is that a lot of people use SAKURA VPS.
社長が書いてるポート番号は10022なんですけど、むしろそこを狙われるんじゃないかっていう気はちょっとしました。 The president's port number is 10022, but I feel like it's more likely to be targeted there.
それあるでしょうね。マニュアルに書いてある通りにやる人がいるんで、 I guess so. There are people who follow the manual.
人がそういうのを真似する、そのままやっちゃうっていうのは多いんじゃないですかね。 A lot of people just follow the manual.
さっき言ってた一般ユーザーを作ってっていうふうなのがあったじゃないですか。 What I said earlier was to create a general user.
一般ユーザーを作るっていうのはどういう意味で作るんですか? What does it mean to create a general user?
それは単純にルートでログインするんじゃなくて、ちゃんと別ユーザーでログインしましょうねっていう。 It's not just about logging in as a root user, it's about logging in as a separate user.
ルートユーザーのログインを禁止しましょうっていう設定も教えてくれてるんですか? So you're telling me to ban root users from logging in?
一旦一般ユーザーを踏んで、ログインをしてから、SUコマンドでスイッチ、ユーザーコマンドでルートになると。 Once you step on the general user and log in, you switch to the SU command and become a root user.
もしかしたらSUDOですよね。 Or maybe SUDO.
さくらVPS設定とかで検索すると、かなり上位に社長のエントリーが入ってくるんで。 If you search for Sakura VPS settings, you'll find a lot of CEO entries.
後から僕も見てみます。 I'll take a look at it later.
ちゃんとIPテーブルまで書いて1セットなんですよね。 It's a set of IP tables, right?
IPテーブルでポート番号、ポート全部必要ないのも閉じてしまって、 Then you close all the necessary ports in the IP tables,
そこからアパッチなりPHPなりインストールしてくれっていう、そんな流れですね。 and then install Apache or PHP.
21:02
結構ちょっと見ないうちに進化してるんですね、ちゃんとみんな。 It's amazing that everyone is making progress without looking at it.
そういうこと意識してページまで作ってくれてるっていうのはすごいですね。 It's amazing that everyone is conscious of that and making it to the page.
特にさくらはその辺すごい力を入れてる感じがしますね。 I feel like Sakura is putting a lot of effort into that.
なんでやっぱりユーザーが多いんだろうなっていう気は実はしてます。 I wonder why there are so many users.
でもよくよく考えてみれば、それはあれなんでしょうね。 But if you think about it, it's probably that.
そういうサービスを提供している自分たちを守ることでもあるんでしょうね。 It's also about protecting ourselves who provide that kind of service.
そうだと思いますね。 I think so.
設定が甘いユーザーがいて、そこからまた広げられたら困るっていうのもありますからね、侵入されて。 It's a problem if the user's setting is too sweet and it's spread out again.
それを対応しないといけないから、結局前もってそういうマニュアルを作っておくのが一番賢いんでしょうね。 You have to adapt to it, so I think it's the smartest thing to make such a manual in advance.
だと思いますね。 I think so.
レンタルサーバーを借りる人ってもうほとんどいないじゃないですか。 There are almost no people who rent a rental server anymore.
本当にエンジニアで自分のサーバーでいろいろテストしたいっていう人は、 Well, if you're an engineer and you want to test a lot on your server,
こんなの言われなくてもわかるわみたいなこともあるかもしれないですけど、 you don't have to be told this.
今ちょっと取り残されているのは、それが私なんですけども、 I'm the one who's left behind now,
昔、ちょっとブログシステムを触りましたと。 I used to touch the blog system a little bit.
いわゆるレンタルブログではなくて、自前ドメインでCMSを作っている人ってそんな多くないと思うんですよ。 I don't think there are many people who make CMS on their own domain, not on a so-called rental blog.
ムーバブルタイプとかやってた人ですね。 People who used to do something like MovableType.
その人たちがちょっとパフォーマンスを上げようとすると、 If those people try to improve their performance a little bit,
レンタルサーバーではダメなんですよね。何もできない。 they can't do anything on a rental server.
サクラのレンタルサーバーって圧縮オプションぐらいも付けられないんですよ、確か。 I'm sure you can't even put a compression option on Sakura's rental server.
ほとんどそんなPHPの細かいオプションとか付けられないのは当たり前なんですけど、 It's a given that you can't put any fine PHP options on it.
かといって、VPSで全部1からやるまでスキルがないっていう人って、 But there are people who don't have the skill to do everything from scratch with VPS.
結構今、行く場所がないんですよね。 There's no place to go now.
中間ね。上と下で真ん中が抜けちゃってるってことなんですね。 It means that the middle is missing from top to bottom.
そうなんですよね。上に行かなきゃいけないんですけど、 To be honest, setting VPS was a big psychological obstacle.
やるまでが大変っていう感じですね。 It's hard to do it.
今回そういう意味で、一回DTIさんのVPSを設定するのには3週間ぐらいかかってるんですよ。 It took me about 3 weeks to set up DTI's VPS.
長いですね。 It's a long time.
何もしなかった2週間はありますけども。 I didn't do anything for 2 weeks, though.
実質ね。 Yes, it's true.
勉強しながらやって、ワードプレスが動いた瞬間、やったーと思いましたけど、 I did it while I was studying, and I thought I did it the moment the WordPress moved.
本当にこれでいいのかなっていうのがすごい大きかったんですよ。 I was wondering if this was really okay.
そこで一回練習をしとくと、桜のVPS借りたときには4時間ぐらい出てきたんですよ。 But once I practiced it, it took me about 4 hours to rent Sakura's VPS.
もう着実に慣れて対応してきてるじゃないですか。 You're getting used to it.
最初はワードプレスをやりたいだけの人は、このセットをインストールすればセキュアだし、早くていいよみたいなものを用意してくれればいいのって思ったんですけど、 At first, I thought people who just wanted to do WordPress could install this set and it would be secure and fast.
やってみたら簡単っていう。 It's easy to try.
結局自分でやったほうが手間でもないよね。 It's not that much of a hassle to do it yourself after all.
手間でもないし、なんでそんなのやんないのっていうふうなことしか経験者は言えないんですけど。 I can only say, why don't you do that?
24:06
やってない人はやっぱり障壁高いですよね。 People who don't do it are more likely to suffer from it.
そりゃね、こんなの公開してセキュリティ的にどう思ってるんだろうなって言われたら怖いかなっていうのがね。 I'm afraid people will say, what do you think about this and what do you think about security?
僕はもう逆にあれですよ、面倒くさいからそれするのが。 I don't want to do it because it's annoying.
僕はレンタルサーバーで十分っていう。 I'm good enough as a rental server.
簡単に思い入りから困るとか、そんなしょっちゅう更新も自分のブログとかはしてないんで、まあいいかなっていう。 I don't often update my blog because I'm worried about it.
スパム余計をしたりとかもしてるし、そんな負荷もかかってないと思うんで。 I don't think I've put too much pressure on it.
ワードプレスだったらね、アキスメットでしたっけ、プラグイン入れて、コメント欄閉じてもいいですし。 If it's Wordpress, you can put a plug-in and close the comment section.
一応僕はオープンにしてるんですけど、そういうプラグインも入れてやってますね。 I'm open to it, but I put a plug-in in.
本当にここ1,2週間、VPSを勉強することで、いろいろ見えましたね。 I've seen a lot of things in the last week or two studying VPS.
何を気にしなきゃいけないだとか。 What do I have to worry about?
自分が使ってるさっき言ったパッチとか、PHPとかの脆弱性とかの情報に関して、ウォッチしていこうみたいな感じなんですか? Are you going to watch your patch or PHP vulnerabilities?
ツイッター見てると、NTTデータ先端研究所とかがいろいろ出してくれるじゃないですか。 When I see it on Twitter, there are a lot of things like NTT Data Center Research Institute.
細かいネタを入れてきますね、最近ね。 You've been putting in a lot of detail lately, haven't you?
そうですね。うちの会社でやってる、僕がやってるやつですね。 Yes, I'm doing it at my company.
権限を持っているユーザー、名乗りますがって書いてあった瞬間に、やってるなーって思いましたね。 I thought you were doing it the moment you wrote it.
名乗りますユーザーを外から作成するってやつでしたね、確かね。 That's right. You're creating a user from the outside, aren't you?
あれはいけます。ああいう小ネタをね、散りばめるの最高です。 That's a good idea. It's great to put that kind of little stuff together.
でも、あれですね。脆弱性検証レポートっていうのは、あれは僕とか、中のうちの会社のメンバーで、このアプリケーションとかよく使ってる人が多いんじゃないかなとかっていうのを考え出て、 I was thinking that there are a lot of people in my company who use this application,
影響が大きそうなものとかを検証したりとかしてる。なので、あれが全てじゃないんで、みなさんにできるだけ役に立つなっていうようなものを選んでやってるんですけど、 but I'm doing it because I want to be useful to everyone.
もし個人で調べたいなとかって、宮田さんが思ったときだと、まずね、セキュリティフォーカスのサイトで調べてみるっていうこと。 If you want to check it out personally, I recommend checking it out on the security focus site.
URLを送りますけれども。 I'll send you the URL.
セキュリティフォーカスってすごい僕が学生の頃からある新鮮なサイトで、今はシマンテック参加になってるサイトで、 There's a new site called Security Focus that I've been using since I was a student. It's a site that's now part of Symantec,
セキュリティ情報を扱うメイリングリストとか、そういうセキュリティのポータルサイトみたいなのがある。 and there's a mailing list that handles security information, and there's a security portal site like that.
作ったURL見えました? Can you see the URL I sent you?
見えます、見えました。 Yes, I can see it.
これがセキュリティフォーカスのサイトの中で脆弱性を検索することができるページ。 This is a page where you can search for vulnerabilities on the Security Focus site.
27:08
ヤムアップデートとかで終わりのかなと思ったけど、そんなことはなかったぜっていう世界ですもんね。 I thought it would end with a yam update, but it didn't.
ここのページ、これ聞いていただいている方にはご存知の方も多いと思いますけど、URLは後で書いておきますけど、 If you're listening to this page, I'm sure many of you know this, but I'll write the URL later.
ここだったら使っているソフトウェアのベンダーとか、ベンダー、製品、バージョンみたいなのをプルダウンで行くと、 If you pull down the vendors, products, and versions of the software you're using,
選んだものの製品のバージョンに報告されている基地の脆弱性をリストアップできるっていう。 you can list up the vulnerability of the base reported to the version of the product you chose.
最新を使うっていうのはセキュリティの鉄則として言われていますけど、 So, it's said that using the latest version is a security rule,
当然、最新を使っていれば一番リスクは低いと思うんですよ。 but I think the risk is the lowest if you're using the latest version.
でも、すぐに上げられないとかっていうのもあったり。 But you can't get it up right away.
本当に今そう思ってます。 I really think so.
そういうときにはどういう脆弱性が今あるのかっていうのを調べるっていうのはすごく大事。 It's very important to find out what kind of vulnerability you have now.
最新のバージョンを使ってないからおかしいみたいなセキュリティ、市場主義的な感じで、 There are people who say it's strange because they don't use the latest version.
押し付けがましい感じで、常識みたいな言い方をする人はいますけど、 There are people who say it's common sense,
やっぱり運用の現場とか個人とかっていうレベルじゃなくて、 but it's not at the level of the operation or the individual,
運用の現場になったらいろんな理由でバージョンが上げられないとかあるんですよね。 but there are a lot of reasons why you can't upload the version.
ウェアとの兼ね合いがとか、バージョンを上げるとテストしないといけなくて、 You have to test it when you upload the version,
人件費がとかっていろいろあるわけじゃないですか。 There are a lot of costs involved in uploading the version.
やっぱりバージョンを何も考えずに上げられればいいけれども、 There are a lot of times when you can upload the version without thinking about it,
そうじゃない場合も多いんで、 but there are a lot of times when you can't.
今、自分たちが抱えているシステムの中にある脆弱性っていうのは、 What kind of vulnerability is there in the system we have now?
どういうものがあるんだろうっていう。 What kind of thing is there?
なるほどね。それをここでチェックしておくっていうのが重要ですね。 I see. It's important to check that here.
例えば、脆弱性がありますって言われたら、 For example, if you say there is a vulnerability,
脆弱性もいろんな脆弱性があるわけじゃないですか。 there are a lot of vulnerabilities.
例えば、バージョン情報が外に漏洩してしまいますとか、 For example, if the version information is leaked out,
というものもあれば、中にいるユーザー名がわかってしまいますというものもあれば、 if there is such a thing, the user name inside will be found,
一撃パケットを送れば制御が奪われてしまいますっていう、 I think there are a lot of things like that.
低いものだったら、危険性としてあまりないようなものとか、 If it's low, it's not that dangerous.
攻撃する方法がまだ見つかっていないとかっていうものがあれば、 If you haven't found a way to attack yet,
バージョンは今回はアップを見送るっていうのもアリだと思うんですよ。 I think it's possible to send the app this time.
一番怖いのは、何も考えずにアップデートしたり、 The scariest thing is to update without thinking about anything,
何も考えずに調べずにほったらかすことが一番怖い。 or leave it alone without thinking about it.
耳が痛い話だと。 It's a painful story.
VPSを使うっていうことは、そこまできっちり見ておかないと言えないっていうことじゃないですか。 Isn't it necessary to keep a close eye on using VPS?
今の時代には再現されるかどうかわからないけど、 I don't know if it will be reproduced in this day and age,
30:01
ほったらかすだけで感染して蔓延するっていうのがいつか出てきてもおかしくないわけじゃないですか。 but I don't think it's strange to be infected just by leaving it alone.
僕は恐怖を煽るのがあまり好きではないんで、 I don't like to be afraid.
まず、今回は祝VPSデビューなわけじゃないですか。 First of all, it's the VPS debut this time.
そこでこれから多分いろんな脆弱性情報と付き合うことになると思うんですね。 I think we're going to have to deal with a lot of vulnerability information from now on.
まず、細かい話は僕みたいな、自分で専門家っていうのもあれですけど、 I'm a specialist, but I'm more familiar with it.
詳しくない人はまずここから始めようっていうところにさせてもらいたいんですけど、 If you're not familiar with it, let's start from here.
どんな脆弱性かってロジックとかもそこまでわからないっていう人は、 If you don't know what kind of vulnerability it is,
自分が持っている、使っているアプリケーションのデータ脆弱性、発見の脆弱性が remoteからの影響向けのものなのか、 I think it's important to be able to see if the vulnerability of the application you're using is remotely affected.
まず見つめるようになればいいと思います。 First of all, I think we should be able to see if it's affected.
なるほど。そこは重要ですね。 I see. That's important.
わかりました。 I see.
たぶんこのVPSは今までレンタルサーバーずっと8年ぐらい使ってたんで、 I've been using this VPS for about 8 years now,
数年単位で使っていくことになると思いますんで、 so I think we'll be using it for a few years,
ちょっといろいろと皆さんにご指導を受けながらやっていこうかなと。 so I thought I'd give you some advice on how to use it.
特にさっき言ってたPHPが古かったっていうやつあったじゃないですか、僕が見つけたやつ。 You mentioned that PHP was old, the one I found.
PHPって脆弱性がたくさん見つかっててみたいなことをよく言われる。 People often say that PHP has a lot of vulnerabilities.
現に多いんですよね。若いやつが多いんですけど。 There are a lot of young people out there.
でもさっき見せたセキュリティフォーカスのサイトで検索して一個ずつ脆弱性の内容を見ていったら、 But if you search on the security focus site I showed you earlier and look at the content of the vulnerability one by one,
あることに気づくと思うんですけど、意外とローカルの脆弱性が多いんですよ。 you'll notice that there are surprisingly many local vulnerabilities.
なるほど。 I see.
ローカルの脆弱性ってことは放置をしていても外からは何もできないんですよね。 You can't do anything from the outside even if you leave it alone.
VPSのシステムにログインする権限がなければ発言できないような脆弱性。 If you don't have the right to log in to the VPS system, you can't make a statement.
リモートってのは外から叩けば一発でできるようなものとかね。 If you hit it remotely, you can do it in one shot.
脆弱性ってなると、ローカルからPHPを叩かないと発言させられないような脆弱性っていうのが結構多いんで。 There are a lot of vulnerabilities that can't be expressed unless you hit it locally.
そういう場合だと急いでアップデートしなくてもいいっていう場合はありますね。 In that case, you don't have to update in a hurry.
なるほどね。 I see.
ちょっと考えなければいけないところに足を踏み込んでしまいました。 I stepped into a place where I had to think about it.
楽しんでやってください。 Please enjoy it.
了解でございます。 I see.
後半と言いますか、話題をちょっと変えていこうかなと思うんですけれども。 I'd like to change the subject for the second half.
最近、パキスタンとかルーマニアとかイスラエルとかですごい改ざんが多いんですよ。 Recently, there have been a lot of changes in Pakistan, Romania and Israel.
あまり詳しくは話さないですけど、アノニマスっていうのがいるらしくて。 I'm not going to talk about it in detail, but I heard there's an anonymous person.
33:02
アノニマスの話はここでは詳しくするつもりはもうともないんですけれども。 I'm not going to talk about it in detail here.
いろんな国で最近、改ざんが数百サイトを改ざんされましたとかっていう風なニュースが多かったんですね。 There have been a lot of news about the recent changes in various countries.
当然、海外のニュースとかも僕の拙い英語力ですけども、ちょこちょこ見るようにはしてるんですよ。 Of course, I'm not good at English, but I've been watching foreign news from time to time.
それにちょっと気づいたことがあってですね。 I've noticed that.
当然、英語で書かれてあるんですけど、改ざんっていうものを間違えて伝えてしまっているようなっていう風な記事が多かったんですよね。 Of course, it's written in English, but there were a lot of articles that misinterpreted the word改ざん.
改ざんって言ってしまっていいのかもしれないですけど、厳密には改ざんではない改ざんみたいなものがあるっていう話をちょっとしたいなと思うんですけど。 I'd like to talk a little bit about what it means to say改ざん.
まず一つ目は、普通に何らかの方法で、ただ侵入してログインするとか、脆弱性を使って正義を奪って、ホームページのトップページを本当に書き換えてしまう。 First of all, it's just a way to break in, log in, or use vulnerability to take control and rewrite the top page of the homepage.
よくあるというか、イメージとしてその改ざんですね。 It's a common image.
本当にどっから見ても改ざんっていう感じのやつだと思うんですけど、それ以外の方法で改ざんされたように見せかける方法っていうのがあって、それが厳密には改ざんではないんですよ。 But there's another way to make it look like it's been improved.
でも、普通にブラウザでアクセスすると、そのページが改ざんされたように見えるっていうやつですね。 But if you log in to the browser, it looks like the page has been improved.
DNSとかを使ってみたいな。 It's like using DNS.
DNSのハイジャックとか、DNSのテーブルを書き換えるっていうやつで。 It's like hijacking DNS or rewriting the DNS table.
ただ、いろんな方がこれ聞いてくれてると思うんで、DNSってそもそも何よみたいなところがあると思うんで、ちょっと簡単、本当に簡単な仕組みを言いますね。 But I'm sure a lot of people are listening to this, so I think there's something like, what is DNS anyway?
ちょっと簡単、本当に簡単な仕組みを言いますね。 I'll give you a really simple example.
皆さんが一番身近なもので、僕はよく例えるんですが、DNSの詳しい仕組みはいろんなところで調べてもらえればいいと思うんですけど、 I'm sure you're all familiar with it, and I often use it as an example, but I think you should look up the details of DNS in various places.
携帯電話、皆さん使ってると思うんですけど、電話をかけるときって、初めてかけるときとか、サポートセンターとか、111番号を調べてかけるようなときは、当然、030とか090とか080とかって打つと思うんですけど、 When you're on the phone, when you're calling for the first time, or when you're looking up the numbers at the support center, of course, you're going to get 030 or 090 or 080.
頻繁にかけるようなところって、電話帳に登録するじゃないですか。 That's right.
それは何でかっていうと、人の名前を覚えやすいじゃないですか。 You can easily remember people's names.
とかひらがなとか日本語で覚えられるんで。 You can remember people's names in Hiragana or Japanese.
電話番号って何回もかけてれば覚えるんですけど、名前と番号でどっちが覚えやすいって言われたら、名前ですよね。 You can remember people's phone numbers if you call them many times, but if you're asked which one is easier to remember, it's the name.
それがインターネット上にも同じような仕組みがあって、例えばGoogleが見たいなと思ったらGoogle COJPっていうふうに言えると。 That's the same system on the Internet. For example, if you want to see Google, you can say Google COJP.
あれはホストアドレスとかドメインというような呼ばれ方をされてて、携帯電話で言うところの人の名前。 It's called a host address or a domain, and it's called a person's name on a mobile phone.
あれ裏には実はIPアドレスっていう数字の列があるんですよね。 There's actually a row of numbers called IP addresses on the back.
36:02
電話番号。 Phone numbers.
だから普段はみんなアクセスするときにはGoogle COJPとかっていうふうにやってアクセスをしていると。 So usually when people access it, they do it like Google COJP.
で、そのさっき言ってた見せかける階段っていうのはですね、アクセスするドメイン名は変わってないんですけど、その裏の数字が違うところに行くように変える。 So, as I said earlier, the showy stairs don't change the domain name, but the numbers on the back go to different places.
ハイジャックとかなんですよね。 It's like hijacking.
携帯電話で僕が宮田さんに電話しようと思って右当たって検索をかけて、ボタンを押してかけたら、実は裏でこっそり違う人の番号が変わってたと。 It's the same as when I tried to call Miyata-san on the mobile phone and I searched for Miyata-san, and I pressed the button.
なので改ざんされたっていうニュースが結構出てたんですけど、中にはもうそのDNSが。 So there was a lot of news that it was changed, but inside it was already.
違うサーバーを指していて、そっち側に持って行っちゃうっていう。 So you have a different server and you're on the other side.
ブラウザで見れば、ページ自体を改ざんしたパターンでも、どっちかで行き先を変えた。 So if you look at it on the browser, you can see that the page itself has been changed, and the destination has been changed.
参照して行き先を変えたっていうのも見た目は同じなんですけど、アクセスしてるサーバーが実は違うみたいな。 It looks the same, but the server you're accessing is actually different.
記事をちょこちょこいろんな海外のメディアの記事を見てて思ったのは、ちゃんと調べてるところ。 I've been looking at a lot of foreign media articles, and I've been looking at them.
たまにインタビューしたりとかしてるのかわかんないですけど、DNSで調べればわかるんで、どこのアドレスとか見るとかね。 I don't know if they're doing interviews or not, but I can find out by looking at DNS.
本当にさっき言ったピュアな、ピュアなっていうとあれですけど、ファイルを書き換えてるっていうふうなものの改ざんは、デフェイスドっていうふうに書いてる。 It's written as defaced.
なるほどね。 I see.
デフェイスですね。DEの顔。デフェイス。 It's defaced. DE's face.
そういう表現になるんだ。 So that's how it's expressed.
ちゃんとしてないって言うとあれですけど、DNSの書き換えに対してもデフェイスって同じ言葉を使っちゃってるメディアもあるんですけど、ちゃんと分けてるところはハックドって書いてましたね。 I see.
ドコドコのサイトがデフェイスドって言うと改ざんされた。 It's written as defaced.
ドコドコのサイトがハックされたって書いてある。 It's written as hacked.
要は原因がはっきり分かってないときには、ハックって言葉を使ったりとかしてるサイトもありましたね。 After that, it's written as compromised.
日本でどうやって表現してるんだろうと思うと、確かにそれぞれ同じ表現を使っちゃってますね。 I wonder how they're expressing it in Japan. They're all using the same expression.
改ざんって言うと、実際から改ざんじゃないんですね。DNSを弄った。 Webサイトは安全な状態なんで、DNSってあれだと。
それぞれ、本来であれば、ちゃんと何をされたかっていう表現をしないとまずい。 It's bad if you don't express what you did.
海外の事例だったんで、あまり日本では取り上げられてなかったんですけど、日本でこういうのが起きたときって、ちゃんと呼び分けて書くメディアっていくつぐらいあるんだろうな。 I don't know how many media there are in Japan when this happens in Japan.
39:05
わー、なんか耳が痛いな。なるほどね。 Wow, my ears hurt. I see.
そもそも取材をする人の知識もあるでしょうし、あとはどれだけ取材できるかっていうのもありますよね。 In the first place, it depends on the knowledge of the person doing the interview, and how much you can cover.
これはそういう意味では、一般市はあんまり期待できないと言ったらあれですけども、一般市でも一部そういうのに詳しい記者の方結構見えてきたじゃないですか、今回のいろいろ、それこそ改ざんの話で。
そうですね。ちょっとそういう意味では、特にIT系の記者は気をつけなきゃいけないポイントかもしれないですね。
もしわからなかったときは、ハッキング被害とかっていうふうな書き方をしたほうがいいと思うんですね。 I see. That might be the case.
あとは、調べる方法って結構あって、DNSのテーブルを書き換えられたりするときって結構一気に大きな数やられるときあるんですよ。
DNSを書き換えた場合っていうのは、全員がその改ざん者に見えるわけじゃないですよね。そこのDNSって言ってないんで。
浸透したって言っちゃいけないパターンですね。
はい、ダメですと言ったら。気になる人はDNS浸透で調べれば勉強になると思いますけども。
あとは、自分でちゃんと名前解決をしてみるっていうことですね。
なるほどね。
一気にいろんなサイトが改ざんされたみたいな状態で報じられたときに、その改ざんされたって言われているドメイン名あるじゃないですか。
はいはいはい。
それに対して全部にピング打ってみるんですよ。
はいはいはい。
そうしたら、DNSのテーブルが書き換わってると行き先のIPアドレスが全部一緒になったりするんですよね。
なるほどね。
改ざんしたように見せかけた誘導先ですよね。
はいはいはい。
そういう方は個人でもやろうと思えば、DNSを使っていれば分かる場合はあります。
なるほどね。
それはちょっといい指摘と言ったらいいですけども、
ちょっとAtmark IT編集部のセキュリティフォーラム担当の方にもお話ししておかなきゃいけないなっていう。
ぜひぜひ。
うん。
いただけるといいなと思います。
なるほどな。
言葉の違いで結構そういうのが出てくるっていうのは、興味深い内容ですね。
そうですね。
結構気になってて。
改ざんって、僕は理解はしてたんですけど、改ざん被害の話をTwitterで書いてたんですよ、僕はね。
その中で改ざんって言ったら改ざんやけど改ざんじゃないねんな厳密にはなみたいなことをいろいろつぶやいてた。
はいはいはい。
考えるきっかけになって。
それを意識しながら海外の記事を読んでたら、デフェイスって言葉を意識してかどうかまではわかんないですけど、
買ってないところもあって、呼び分けてるところもちゃんとあったんで。
42:01
なるほどね。
それはやっぱりセキュリティに詳しい方が多いですか?
多分そうだと思います。
あるのかもしれないですけどね。
そこはあれですね。日本語として存在しないと対応する用語が改ざんっていうのみになっちゃうような気がするので、ちょっと気をつけないといけないですね。
DNSがやられたのかWebサーバーがやられたのかっていうのははっきりさせたほうがいっちゃいいと思うんですよ。
そうですね。
すごい勉強になるポッドキャストですね、これ。
言葉は大事ですよ。最近だとAPTとかね。
なんかあれですよね。日本でもハッキングとクラッキングとかっていうのってすごい一時期話題なの。最近あんまり言わなくなっちゃいましたけど。
見ますよ、ツイッターとか。
やっぱり。
ツイッターとか、あとはツイッターでも自分のTLの観測範囲じゃなくて、検索したりとか何か事件があったりとかしたときの検索キーワードで普段自分がフォローしてなくてっていう人たちのツイッターを見てると結構出てきたりとか。
なるほどね。
Yahoo!知恵袋とか。
案外自分の観測範囲の外って。
そうですよね。
なくなったなと思ったことがまだあるって。
あるある。
呼び分けたほうがいいと思います?
いや、私はもう文脈でわかるからいいじゃんっていう話ですね。
僕もそっち派。そんなことにいちいち目くじら立てんでもいいし。最近嫌いなって思う言葉は、ゼンダバハッカーって言葉がすごく嫌なんですけど。
使ってましたっけ?
いや、使ってないような気がしますね。
ハックっていう日本にはもともとなかった言葉じゃないですか。
英語だっていうわけではなくて概念的にあんまりなかった言葉じゃないですか。
そういう言葉に善とか悪とかを持ち込むこと自体がおかしいじゃないですか。
なるほどね。
ハッキング、クラッキングに関しては言葉の定義自体の話なんで、どっちでもいいかなって話なんですけど。
あれですよね。さっきのやつだと定義とかじゃなくて意味が変わってきちゃうんで、結構大きな話だなと思って。
もしかしたらこれ聞いてる方ってハックとクラックと一緒じゃねえかみたいなふうに思ったりするかもしれないけど、私は違う印象を持ちましたんで興味深いなと。
そうですね。
これ面白いんで、ぜひ次のダークナイトあたりで、セキュリティーダークナイトあたりで取り上げるのもいいんじゃないですかね。
セキュリティーダークナイトですか。違うネタやろうかなと思って。
45:02
なるほど。じゃあその辺はゆるいコラムとかでね。
たまにあるんですよね。ダークナイトに書くほどじゃないけど。
ダークナイトは割とキャラを作ってしまってるんで、硬い感じじゃないですか。なんでゆるいの出しづらいですよね。
ツイッター結構あるからあれですけど、本当に記事を通じて僕のことを知ってる方って未だにイメージと違うと言われてる。
ちょっとそこはアトマカイティ編集と相談しつつ新規事故をやっていかないといけないというところですね。
今でもあれなんですけど、こっそり新プロジェクトを。
聞いてる方申し訳ありませんけども、この前ちょっと見せていただいたやつですか。
そうです。
そうですか。これ聞いてらっしゃる方々皆さんお楽しみにどうぞ。
俺ほとんどわかってないんですけど、一枚の絵だけしか見てないんですけども、皆さんお楽しみに。
見せましたね。最近僕のツイッターのアカウントの写真が変わったっていうところが。
楽しみだなぁ。
年内、今月中頃ぐらい、17日の週ぐらい何かしらのアクションをします。
本当に何も聞いてないので、本当に見たときにびっくりするか行転するか同じだって話ですけど。
そうです。ぜひぜひ。
最初はそんなにびっくりしないと思います。途中からあれこんなはずじゃなかったのにみたいなトーンに変わっていくパターン。
もしかしたらそっちの方が先にPodcastよりも出てるかもしれませんけども。
前後しちゃうかもしれないですけどね。
今後ともこの二人の新プロジェクトにね。
そうですね。注目していただいて。
あんまり考えてないですけど、今の段階で。
一応このPodcastはこんな感じでゆるく続けていく。
そうですね。相変わらずこんな話してほしいなというのはあれば言っていただければ。
本当あれですよ。その話全くしませんでしたけど。
私、11月からフリーになって、今、アバウトページですね。こいつ誰のページを結構充実させようと思ってます。
ちゃんとこれ、軌道に載せてセキュリティーポッドキャストをやっているっていうのを書かないとちょっと拍がつかないのでね。
そうですね。せっかくやっていますからね。
それでも、これ聞いてる方はですね。
日本初のセキュリティーポッドキャストって言って、
48:01
誤読者数はそんなに多くないんですけども、こんだけいるんですよねって言ったら、ちょっと脅せるじゃないですか。
そうですね。
脅せるって言ったら興味よくないな。
ちょっとあれ?やるときはやる人なんだなみたいなね。
いいですね。そういう一つのカードとして使っていく。
カードとしてね。やらなきゃいけないので、そのためにもちょっと盛り上げていきますね。
そうですね。皆さんで育てていってもらうみたいな感じで。
キーターセキュリティーポッドキャストみたいなね。
もうその辺で言ってほしいですね。
やめてくださいね。Twitterとかで書かないでください。
書かないでくださいよ。皆さん。わかってますよね。
やるなよ。やるなよ。
書くなよ!っていうね。
皆さんどっちをやるのか楽しみでございます。
シャープハッシュの辻DXとか書くなよ!っていう話ですね。
絶対書くなよ。そんなの。
ということで、次回もお楽しみに。
楽しみに。できるだけ早くやりましょう。
はい。それでは。
49:06

コメント

スクロール