00:13
どうもこんにちは。
いつぶり?
これ一年じゃないですか?
最後にやったのはクラス。
前の回が大阪のセミナー。今何をやったかと言いますと
とりあえず皆さん、空けましておめでとうございます。
はい、ということでセキュリティのアレ。顔を合わせました。スペシャル。
パネルディスカッションは終わりまして、
パネルディスカッションのメンバーで、
残りのメンバーは?
誰がいるのかな?
声だけでわかってたら相当なファンですね。
今日はAKB48のメンバーのねぎちさんもやりました。
新センターの。
AKBを何も知らないのに。
怒られますよ。
お邪魔しております。
私たちもお邪魔してる感じですからね。
勝手にやってますからね。
セキュリティ系ポッドキャストをやってますって言いづらいぐらい。
最近自己紹介でも書いてませんよね?
いろいろありましたよね。9月から半年だよ。
近況は何かありますか?
近況はポッドキャストでしたっけ?
やり方分かれなくなってますね。
意味が違うよね。
近況っていうのは、最近こんなのウォッチしてますとか、
そういう話ぐらいですかね。
半年前って何がありました?
半年前は僕たちの戦いは始まったばかりのスペシャルで。
完全に最終回じゃないですか。
パスワードの定期変更の是非の話っていう。
今日は掘り返さなくてもいい話題だと思う。
パスワードといえば俺たちみたいなね。
嘘でしょ。
言いたい放題ですね。
今日の東京で聞いてる方はこれじゃないわけなので。
03:01
パネルディスカッションでどういう話をしたかというと、
2014年に何が起こったかの中心に3つほどテーマを取り上げました。
1つ目は自己紹介を含め2014年に。
皆さん何を気に飲みましたかという一言。
事件、事故、脆弱性みたいな。
いろんなことが起きました。
2つ目は脆弱性との付き合い方。
いろんな名前がついた脆弱性がいっぱいありましたからね。
この半年だけ。
メディアにも話題になりがちになってきてますからね。
そういう話とかをしました。
3つ目が情報霊とかね。
事故を起こした時に私たちはどう反応すべきか。
対応したら事故を起こした企業のレスポンスに対して
僕たちがどういうふうに反応していくのがいいんだろうか。
もしかしたらこれを聞いていらっしゃる方々の中には
あのことが喋りたいんだな、みたいな感じで
逆読みする方もいらっしゃるかもしれませんけど。
第1部、自己紹介。
第2部、脆弱性に名前ついている分ってどうよ。
第3部、B社さんの事件に大規模漏洩を起こしてしまった。
子供チャレンジ。
その対応をみんな叩きまくってるけどいいの?っていう話が裏テーマとしてありましたね。
最後に東京大阪はすごく盛り上がりまして。
盛り上がりましてって自分で言っていいのか分かんないけど。
でも真剣な話でありがたいことに。
特に大阪は2回目ってことだってすごく慣れた。
プラス辻さん、根岸さんもすごくちゃんとした情報を出していただいて
それをほぼ私は読んだだけみたいな感じでありがたいです。本当にありがとうございます。
東京は2週間前でしたっけやったの?
そうです。
直前やったんですよね。
その後僕ら反省会やったんですよね。
そう、2人ですよ。
何かちょっと戻りないっていうかね。
いつもと違う感じがしたというかね。
何かと違ったんですよね。
自己評価が今回。
僕は大体一人で自己評価が低くてみんなはそうでもないって反応やったんですけど
今回ちょっと根岸さんもちょっと何か違かったよねみたいなところがあったんで。
詰めなきゃいけなかったところは申し訳なかったですね。
で、1回ちょっと濃厚な打ち合わせをして。
何食べたの?
何も食べてないですよ。
何か食べましたっけ?
何か食べた。
食べた食べた。
何か食べたの?
覚えてないですよ。
覚えてないね。
それぐらい濃厚な。
私撮ったんですよ。
それぐらい濃厚なやつ。
そうそうそう。
で、それをちょっと紙ってこういうスライド入れた方がいいんじゃないかみたいなね。
全然話がまとまらなくてお店帰ってちょっとまとめますかみたいな。
しかもね。
やったよねかなり。
06:00
それなんですごく私はもうほぼ読むだけに近いくらいになって。
もうほんと皆さんありがとうございます。ほんと申し訳ないですね。
だいぶでも我々の主張したいことっていうか言いたいことが。
言語がうまくできた感じはありますね。
全然読めた方がうまく言えた気がしますね。
あとはあれですね。この2週間の間に新しい事件とか。
そのタイミングでね。
おかしいですよね。
2週間ですよ。
でも2週間も空けば起きますよ。
何かある。そういう時代になったと。
東京が2月の末に行いまして。
今日3月13日。
その間に第2部で脆弱性に名前が付くの同様のフリークというものが出ました。
あとワードプレスの問題が出た。
警察庁が出ました。
割とちゃんとそこに関して入れられましたよね。
だから今回大阪で聞けた方はラッキーと言ったら変ですけども。
また東京で聞いても大阪で聞いても両方聞いても良かったと思ってもらえるんじゃないかなと。
ラッキーと言うと変ですけど。
ちょっと面白い事象でしたね。
僕ら毎回そういうところもありますよね。
大阪で言ったことを東京では言ってなかったりとか。
いろいろ毎回違う感じでやってますよね。
そこは僕らのモットーというか。
同じことを繰り返しやるが脳がないから。
決まった内容をいろんなところに伝えるということも一つのことなんだけど。
みんながいるというところで。
僕らがやってるのはディスカッションなので。
筋書きがそんなにしっかりしてないところでやってるんだから言いたいことは言いましょうよ。
言いたいことは言いましょうよ。
やってるこっちが同じ話を全く同じようにするって気持ち悪いっていうか。
覚えてないしね。
覚えてない。
それが一番印象的。
昭和時期は覚えてないですよ。2週間前の話。
この辺のメンバーでパネルディスカッションした最初の頃はランチセッション。
そうですよ。ご飯みなさん食べてる中で。
ご弁当食べながら聞くダバナシ。
夜1時付きだったんですよ。
このポストキャストに似た感じのセッションだったのが。
いつの間にかちゃんとした枠の中に入って。
そうですよ。
去年からですよ。
申し訳ないと言ったらいいんですけど、そのクオリティが出せるようになりましたよね。
なりましたね。
だから来年東京大阪はぜひ。
今回実は福岡もやってるんですよ。
3つ会場があったんですよね。
福岡は私自身も呼ばれなかった。
僕もそうですよね。
ラーメンとか食べられる。
ラーメン食べながらセミナーのための濃厚な打ち合わせを。
濃厚な豚骨。
濃厚をかぶせていく感じで。
来年は行きたいですね。
もう呼んでいただければ行きますよね。
09:00
行きますよ。
交通費とどっか止めていただければ。
呼ばれなくても行きたいですね。
そうなんですよ。
もう何やったら呼んでくれんかったら僕ら客で行くぐらいの。
押し掛けるぐらいなら行けるんですね。
これを聞いていらっしゃる方。
だいぶ前のめりですよね。
前のめり前のめり。
楽しかった。
今日した話をフィードバックします。
そうですね。
自己紹介の部分はいいと。
自己紹介の部分で、
辻さん、ねぎしさん。
DDoS攻撃がカジュアルにできるようになった。
って話をしまして。
実はスクリーンショットに出していただいたのが、
よくあるウェブサービスの松茸梅。
おいくらです、おいくらです。
横に並んでいるような。
それがDDoS攻撃のランクになっている。
そんなイメージのものがあって。
一番下が6.3ドル?
6.3ドルで1週間1000秒継続するDDoSを何回やっても6.3ドル。
通信の量がMAX。
ADSAとかで言うとベストエフォーとかがあるので、
最高で5ギガBPS。
1週間DDoS放題。
DDoS放題。
DDoS放題プラン。
それは他に数々あるサービスの中で、
割と典型的な。
有名どころというか。
これが有名な新生のところの紹介をします。
この値段でこれだけの規模の攻撃をされたら困りますよね。
ネギさんも5ギガってさらっと言っているけどさ。
意外とすごい量ですよという話があったと思うんですけど。
今日しなかった話はこうしたほうがいいかなと思ったんですけど。
それは大事ですね。
時間の関係もあったりとかして深く行かなかったところがあるんですけど。
お金の話は出ちゃうので言わなかったんですけど。
5ギガは6.3ドルでできるわけじゃないですか。
誰でもお金さえ。
ビットコインとかでも払えますしね。
そういったものもあるので。
一方対策をする側っていくらかかるのって話を考えるときに。
数十ギガとか100ギガ近くのDDoS対策サービスの改善というか。
そういうシステムを借りるわけじゃないですか。
対策する会社というのは。
そうするとピンキ色のサービスが世の中にあるんですけど。
僕がいくつか聞いた中とかだと。
月割にすると100万以上かかるんですよ。
当然します。
うちもそういうサービス提供してますけど。
それなりの規模の会社じゃないとやられないし。
契約できないレベルのサービスですよ。
すごい非対称ですよね。
もともとインターネット上でのセキュリティの攻撃とか防御ってものすごい非対称性があるから。
実世界では力のない国とかもインターネット上ではうぬんみたいなことはよく言われる。
その通りなんだけども。
これ顕著ですよね。
本当に如実に現れてますよね。
リアルな世界で行われる差が激しいすぎる非対称性という意味だと、
犯行予告を見てるんですよね。
犯行予告をする側って自分の家からどこかの掲示板に
何々について人を殺しますみたいなことを書くと
12:02
すごい数の警備をやらないといけなくなったりするのと同じで
コストが似合わない。
そうですよね。
セミナーとかでビルの対策って言ってるけど
そんなこれできるお客さんって本当に限られてるなと。
今回スクリーンショットでプランを出したんですけど
実はこれファーストインパクトとしては
こんな安いんだっていうところだけじゃなくて
もう一歩踏み込むと
インターネットのやばいとこ出てきたみたいな
そんな風な結構インパクトの大きな画像ですね。
なおかつひどいのは
結局リアルと違って
自前に別に武器持ってるわけじゃなくて
武器借りるっていうね。
借りるっていうか勝手に使ってるわけですよ。
ああそうかそうですよね。
フォームルーダーとか。
今日のディスカッションでも出ましたけど
脆弱性のあるフォームルーダー
外からのリクエストをホイホイと聞いてしまって
パケット返しちゃうような
フォームルーダーは世界中に何十万台
何百万円過ぎかなそれぐらいあるやつを
勝手に使って悪用して攻撃を避けてる。
これ要はやってる側は元でほとんどかからないわけですよね。
その脆弱性のあるところのリストぐらいですかね。
それも出回ってるやつを持ってくればできなくはないし
あとはウェブサイトも
他のストレスハードサイトから
似たようなやつをコピーページで持ってきてくれば
割とホイホイとサービスが立ち上げられちゃう。
なおかつそれに対して効果のある攻撃が実行できちゃうっていうのは
ちょっとね本当困りますよ。
困る。
だからこれ僕は思うんですけどもちろんお金があったりとか
あとはDDoSサービス
DDoSを怖がるべき業種っていうのももちろんあると思ってて
会社情報とかアクセスマップとかっていう情報を出してるサイトだったら
もうDDoS対策はほっとけばいい。やらないでいいと思うんですよ。
朝日は過ぎ去るのを待つという
そうですよね。
そういうのありましたよね。
予告があった時にその時ウェブ落とすみたいな
ありましたありました。
あったあった。
思い出したんですけど今話を聞いて
その間サービス止めちゃえっていう会社ありましたよね。
日本がアノニマスのターゲットみたいな時の
我々が輝いた頃ですよね。
毎日がウォッチしてて
つやつやの時だ。
毎日が夏休みみたいな感じのワクワク感で
ありましたよね。
あの時はDDoS攻撃が落ちたかなと思ったら
サーバー落としてたみたいな線抜いたかな
でも業種業態とかサービスの中身によっては
一つ選択肢としてありながら
ありですよね。
でもそうでないところもあるよねって話でしょ。
そうでないところっていうのはやっぱり
そのサービスをある程度活用するっていう選択肢を
わざわざ得ないっていうのはあるんですよ。
でもやっぱりそこの非対称性を緩和するっていうことには
僕は繋がってないと思ってて
これは啓発みたいな地道な作業になるんですけど
15:02
それぞれのセキュリティの意識が
世の中全体に影響するっていうのは
僕はこれ謙虚な例が一つだと思うんですけど
みんなが踏み台になられないような
アップデートをしていくっていうことを
それが重要です。
それが一番こういうのに対しては
効果的な対処法だと思うんですね。
なるほどね。
そういう意味でいくとこの話っていうのは
これを聞いてらっしゃる方たちが
どの層なのかわからない。
セキュリティの詳しい人よりは
セキュリティの詳しい人じゃない
普通の人たちに
ちゃんとルーターとかアップデートしなきゃ
ダメだよっていうところを
いかに啓蒙するか。
そうですね。
それを攻撃に加担させられてるからっていうよりも
やっぱり攻撃に加担するんじゃなくて
それによって被害をあうサービスがある。
そのサービスをもし自分が使ったら
自分はそれを使えなくなるとか
でも繋がってるっていうことを
意識していかないといけないのかな
っていうふうには思うんですよ。
これをドスってやられたら
もうそれで負けなんで。
勝てないんですよ。やられた瞬間に。
金額と今合わないし。
だったらもう踏み台になるのを減らしていく方が
彼らに与える影響っていう
攻撃者側にそんなことさせないよっていう
対策としては時間がかかるかもしれないですけど
最も有効な対策はそこしかないのかな
というふうには思いますね。
地道に攻撃を受ける側が
防御をするためのサービスとか対策をする
あと我々みたいな猛側っていうか
途中の猛でもできることはあるので
そこは法整備も含めて
いろいろやっていいことのオプションを増やそう
っていう動きを行う段階があって
当時の通信事業者がドス攻撃を検知したら
こういうことをしてもいいですよみたいなことが
だいぶ取れることが増えてきてるんですよね
でも結局のところ攻撃する大元のところの
今言ったような厳密な対応とかをしていかないと
根本的には減らせないところがあるので
もうちょっと防御をする側
途中の経路の人たち
プラス攻撃の踏み台になっている人たちとか
うまく対応をしていかないと
どこかだけやっても結局ダメで
そういうことはできないので
地道にやっていくしかないですね
結果として出ているのが
こういうサービスを使ってオンラインゲームに
アタックをかけた高校生
日本人の高校生が800円くらい使ってやったみたいな
近い金額ね
そういう意味で800円くらいで
軽い気持ちでやって逮捕されちゃう
そういうことが起こり得ちゃう現在が
何とかしたいんですよね
気軽にやれるの反面
起きることの影響は割と大きいので
そこがやる側からしたら
あんまり罪の意識なくやってしまう
そこまで想像できていないと思う
18:00
さっき藤井さんも言ってましたけど
このサービスの動画で使い方とか全部
そういうのがあると
普通のアンドロイドアプリを買ってる感じの感覚で
インターネットをひっくり返しちゃうっていうのは
すごく怖いですね
ディストピアな感じ
そんな話をね
時間があればね
来てる方々みんながリードスに興味があるわけでもないから
このスクリーンショットはすごくインパクトがあって
追加してよかったなと思う
実際の例が目で見てわかるっていうのは
単にニュースで聞くのとはちょっと違いますか
ここまで出すニュースはあんまりないですよね
サービスやってる人にチャットで聞く人も
なかなかいないと思う
基本的にわからんかったら聞くっていうのが
今画面を見ながらいきますけども
よくあるチャットサービス
サポートのチャット
ありますもんね
日本のサービスであんまり見かけないけど
チャットでサポートするヘッドクラス的なものって
海外のサービスではよく見かけますよね
マイクロソフトだとかゼルダとか
あれはサポートのシステムが
出してるとこあるんですよ
それを使うと
こんな感じの共通のイメージのやつがあるんで
あんまり見かけないんですけどね
いわゆる電話的なサポートとか
FAQサイトとか
ここに電話くださいここにメールください
サポートの担当者とチャットで今話せますと
見かけないんですよね
会計ソフトのフリーとかはやってます
できるんですか
向こうが日本人のエンジニアが直接回答する
窓口としていいと思いますけどね
そうなんですよね
今よりずっと敷居が低くて
聞きやすい
いろんなストレッサーとかブーターとかいわゆる
DDoSをやってくれるサービス
下にチャットのやつがピコンってあって
オンラインってなってたんで聞いてみようと思って
課金システムだとかサブスクリプションの仕組みって
どうなってんのかなと思って聞いたらちゃんと答えてくれて
すぐ反応ありました
たまたま時間的にあれも良かったのかもしれないですけど
いいですよね気軽に
サービスの内容はね
いいとは言えない
アウトソーシング前デスク
前デスクに
プランを買うと
こういう仕組みを入れられる
21:01
メールした内容とかSNS経由で
投げてきたものとか
海外のサービスでそれを付けられるんじゃないですかね
ゾップIM
これはカスタマーとリアルタイムに相当する
そういうところを提供します
前デスクは
Twitterとかグルーポンとか導入してる
ディズニーとかもやってます
世界4万社だそうです
これ実は私一回取材したことがある
どんどんカジュアルになっていって
攻撃の手法自体もYouTubeとかに
いっぱいアップしてる人いますからね
攻撃者自体がインテリジェンスを
共有し始めてるっていうところを
すごく感じますよね
お金でつながってる関係みたいなのも
強かったりするとかもあるでしょうね
システム化するとかもあると思うんで
アットマークITのセミナーの中で
デルさんが言ったのは
アメリカはインテリジェンスが融合し始めて
サイバー世界の悪い人とリアル世界の悪い人が
つながりつつある
実行犯とサイバー犯罪を
融合した犯罪が増えつつある
日本でいうとラクザーとサイバーハッカーが
一緒に仕事してるみたいな
まだ日本はそこの傾向はまだ見えない
時間の問題ではあるでしょうね
高校生がこういうのに
巻き込まれるって言ったらいいんですけども
イラッと来て
あのサービスムカつくっていうところから
実際のDDoS攻撃までの距離が短すぎるから
怖いし不幸だ
そういうのってもちろん教育で何とかしよう
っていう考えもあると思うんですけど
これ結構前から常々思ってるんですけどね
10代の若い子たちが
ちょっとした軽い気持ちで捕まってしまう
セキュリティー
完璧にしろと言わないですよ
良い方向に向かって今よりも良いセキュリティレベルにしよう
っていうところがちゃんと働いてないからだ
世の中の重たるサービスがね
強固な状態になっていたりとか
みんながパスワードをしっかりつけるとか
犯罪を起こす余地がなくなっていく
セキュリティーの対策を
おろそかにしていることによって
そういう弊害が違うところで生まれてしまう
自分たちの被害に合わないために
というふうに考えたセキュリティ対策をする人も多い
それは当たり前だと思うんですけど
その結果それを利用して逮捕されてしまう
ちょっとした気持ち出来心でやっちゃう
24:00
子どもたちに影響している
子どもたちに影響している
ということは結構前から思っているんですよね
そういうのも地道にいろんな情報を集めたり
発信したりするしかない
全員がプレイヤーだと思ってほしいなって思いますね
暗い話になりますね
そんなことないですよ
今日した話で
脆弱性との付き合い方
ワードプレスの脆弱性
名前ついてないですけど
流れとしては継続して落ちようという話だったり
報道として出てくるものが全てではないという話がありまして
今回ワードプレスに関しては出たてではないんですけど
話の盛り上がりは最初のあたりなんですよね
情報が搾走しているではないんだけど
足りない部分が多い
例えば今回のISILによる攻撃ではないかと見られている
ワードプレスの改ざんの原因が
細かく書かれていない
ものによってはワードプレスがって書いてあるし
ものによってはワードプレスのプラグインのこれがって書いてあるんだけど
実はそれだけではないというのがあったりする
というところが問題かもねというのをお話しします
あれもワードプレスのセミナーでも何でもないのでしなかったんですけど
いくつか改ざんの事例が
それと関係しそうみたいな事例が出ているんですよね
一つはメディアでいっぱい出ている
8つぐらいのサイトが改ざんされましたと言っている
ISISやISILに関係するようなロゴマークみたいなものが出ている
というのが今メディアでいっぱい出ている
それとちょっと違うやつがあってですね
そっちはイスラミックステイト
名前だけハックドバイみたいな感じで文章一行だけ書いてある改ざんと
あとは一緒に扱われているやつで
ハックドバイだれだれというハンドル名と
Facebookページの誘導リンク
この3つのパターンがあって
一番初めてのロゴだけがトリプトされていますし
警察庁が出した文章
ファンシーボックスフォーワードプレスというプラグインで
脆弱性を利用されてやられたっぽいと言っているのが現状
僕が確認した中だと
一行だけ書いてある改ざんのパターンはファンシーボックスではない
おそらくそうではないと
いろんな改ざんされたURLとかを見ていると
プラグインの名前が入っているんですよ
27:00
それがスライダーレボリューション
ちょっと前に話題になった
そうですねちょっと前に出たやつですね脆弱性が
そのスライド書をきれいにじわっと消えてじわっと出てくるみたいな
そういうのをきれいにやるためのプラグインなんですよ
おそらくそれでやられているという可能性が高いなという風に思っているんですね
さっき3番目の連絡先がちゃんと書いてあるやつ
チャットしました
活動的ですね
その人のハンドルも調べたりとか
Twitterでも情報をいただいたんですけれども
おそらくそもそもそのページには
ISISとかも書いてないですよ改ざんページ
ただゾーンHという改ざんされたサイトを集めているところがあるんですが
あれ自分でこういうのあったよって投稿できるんですよ
その投稿している人の名前がイスラミックステイトという名前なんです
これって報告する人間と実際に会った人間が一緒とは限らないんです
ただ登録している名前をイスラミックステイトという風に言っているやつが
単に報告しただけなんで
3つ目のはおそらく無関係といったところとは
無関係の可能性がその3つの中でも一番強いかなと思います
どんな脆弱性を使って攻撃したのって聞いたんです
やったの君なのって聞いたらそうだって言うからです
で聞いたらさっき言ったスライダーレボリューションの脆弱性を使った
サイトも適当にランダムに選んでやってるんだよって
じゃあ思想があるわけでもなくて
そうですだから今ゾーンHでイスラミックステイトという風な名前で投稿されていて
やったのは別の人だと思うんですけど
その人がやってる会談の3つ目のパターンといったやつは
本当に関係ないって考えてもいいんじゃないかなと思います
2つ目のは一行だけ書いてるっていうのは誰がやってるかわからないですけども
URLからはおそらくパッシーボックスじゃない方ですね
スライダーレボリューションの方で確定だと思います
そっちはメディアには
僕インタビューしていただいたメディアが1個あるんですけど
その紙の媒体だけでちょっとそこに触れていただいているのがあります
報道発表とかでも警察庁の発表とかでも
このファンシーボックスさえ最新やったら宴会とか
そこが一番危険なんですよね
そう思われるのが良くないなと思ってて
基本的にはもう必要最低限のプラグインだけ入れて
基本的に何もわかんないんだったら常に最新にしろというしかないんですよ
あとは自分がそもそも何使ってるかとかっていうのを知っておいてほしいのと
そのワードプレスのシステムを導入した業者と運用する自分たちっていうのが
リンクしてない場合あるじゃないですか
だから入ってること知らないっていうのもあると思うんですよ
それこそはですね
VPSを借りて自分でOSインストールしてプログラム入れてっていうところって
全着線抜けるじゃないですか
動いてるからいいアップデートしないみたいな
30:01
ワードプレスもそれと同じことが起きてる気がして
ってならないんですよね
もう全く同じでしょうね
ちょっと個人的にはワードプレスの意見が根が深いな
バンドルもあるんですよ
テーマあるじゃないですか
テーマの中に
そのテーマ入れるとこのプラグインがついてくるっていうのがあるんで
入れた意識はテーマは入れた意識はあるけど
それに付随してきたプラグインまでチェックしてるかってたら
してない可能性もある
ワードプレスの業者さんってデザイン含めて
おいくらみたいなことをやってるはずなんですよ
音者向けのデザインです
でもそこには実はいろんなプラグインが
オープンソースのプラグインが入ってましたみたいな可能性がすごくある
大きいと思いますよ
かつほとんどカスタマイズするんですよね
カスタマイズして本体にも結構手を入れたり
本体に近いところに手を入れる方法があるんですけど
それが結構厳しいですね
実は大昔やると15年くらい前に
Zoopsっていうのを使ってたんですよ
XOOPS
そうですね
ZoopsというCMSを使ってて
実はそれまだユーザーが少なかった頃だったので
1回Zoops勉強会に10分間だけ
ライジングトークみたいなのをしたことがあるんですよ
その時に他の人たちはみんなカスタマイズするっていう
トークをしてたんですよ
1人だけ標準状態でいかに使うかみたいなものを
何でもそういう人いますよね
課金せずにゲームやるみたいな感じですね
怖いのは直せないから
何かやっちゃった時に安全にアップデートすることができなかった
まだ2001年とかなんで
まだそんなにWebアプリセキュリティが
ワッと盛り上がった感じではない
対策の方が盛り上がってない段階ですかね
まだブログの前ですかね
その当時のZoopsってトラックバックとかなかったんですよ
Zoopsの1モジュールとしてワードプレスがあったんですよね
そうなんですね
そういう時代だったんですけど
やっぱりちゃんと自分が分かる範囲のことを
使わせていただくっていうのが
プログラミングできない人にとっては
非常に重要だと思うんですよ
ファンだったら好き放題手を入れていただいて
メンテナンスを自分でやるって覚悟をするってのはありだと思う
まああんまり特策ではないですよね
自分でオープンソフトをフォークしろって話になると思う
特にワードプレスは
やっぱり何かを最新にしようっていうことだけを
強く言い過ぎるのが良くないんですよ
そもそも自分たちが何を使っているのか
管理しているネットワークでどんなソフトが動いてて
どのユーザーがどのバージョンを使っているのか
というところをすっ飛ばして
とにかく最新にしろなんて言っても
何が入っているか分からない人からすると
最新にしようという気持ちが働かないでしょ
33:01
オートアップデートがあればまだ
まだマシかもしれないですけど
でもそういうのは全部のソフトウェアがないじゃないですか
ワードプレスの本体は自動アップデート機能がありますよ
ホットキャーやってくれるみたいなのもありますけど
今まではそこまでないですし
いわゆるワードプレスのマーケットに載っているものは
一応自動アップデート近いものはあるんですけど
できないもののほとんど
ディップで配布されているものは手でやるしかない
誰々と開発者の意見を見ましたけど
割とめどふさぎみたいな
らしいですね
ワードプレスは今年また大きなことというか
継続的にいろんなものが起きそう
たぶん起きているんですよ
ただ今回特定組織がやったかもしれないということで
名前つくのと一緒なんですよ
単に話題性で盛り上がっているだけで
昔からあるんですよ
ひょっとしたらワードプレスに関しては
ワードプレスを導入しようとしている
ウェブデザイン系も
お客さんから突っつかれる可能性がある
うちは大丈夫なんですか
そこで意識が若干変わってくれれば
市場広いじゃないですか
セキュリティーやっている人の
働く場が増える可能性はちょっとあるかな
そこまで手が出ないのはほとんどかもしれませんけど
PHPなんでね
PHPは悪いわけじゃないですよね
別にPHPが好きなわけでも嫌いなわけでもないんですけど
その辺ちょっと意識していかないと
いい機会として捉えた方がいいと思うんですよ
私自身もワードプレスを使っていたりする
気になったことですね
あとは自分たちは関係ないというのは思ってほしくない
今回も日本のサイトだから狙われたわけではないんですよ
ランダムに自分で探してやってるやつもいるでしょうし
あとは改ざんされたやつもいろんな国にやられてるんですよ
だから日本だからとか
日本をターゲットにしたわけではないと思います
改ざんできるからした
しかもどのクラブインを使っているサイトをリードするとか
Googleの検索とかである程度絞れるんですよ
今日は
どうぞ
今ホットキャストで収録してるんですよ
よかったら参加されますよ
ラッキーと思って
こんな感じで終わりますか収録は
急遽収録は終わりですけども
何が起きたかっていうのは次回そのまま
ということで
来年ならないように頑張りますんで
良いお年を
