ホームページ開設20周年 | ||||||
|
||||||
HP委員長 86期 芳賀雅美 |
2023.09.20 ホームページ開設20周年とSSL暗号化通信開始記念 東京桑野会ホームページ委員長 芳賀雅美(86期) 2023年2月末日をもって当会ホームページは開設から満20年が経過した。開始した2003年3月は、まだインターネットウェブサイトの存在が希少価値でありパソコンで閲覧できる人も限られていたように思う。今や国民総スマホ保有と言っても過言ではない世の中になり、インターネット技術は生活に密着し、なくてはならない存在となった。この20周年を迎えて、当委員会の活動を総括したい。 ホームページを運営する側としては、苦節20年の困難な時期もあったが継続することで皆さんのお役に立てたのであれば喜ばしい限りである。20年間で、訪問者数累計は969,864人、閲覧頁数累計は3,849,723ページビュー(PV)となった。2023年8月に訪問者は100万人を越え、今年度中には閲覧頁は400万PVを越える見込みである。加えて、遅きに失するところではあるが開設20年を経過して、やっと安全で安心してホームページを利用していただくためにSSL暗号化通信へ転換する運びとなった。悪意のある第三者による情報の抜き取りやアカウントの乗っ取り、不正な大量メール発信の土台にされたり、詐欺サイトへの誘導による金品の搾取や身代金要求の脅迫など、サイバー犯罪は手を変え品を変えて攻撃を繰り返している。ロシアによるウクライナへの軍事侵攻が重なり、サイバーテロは際立った動きになって白昼堂々の押し込み強盗のようになってしまった。この機会にSSL化と同時に、思い切ってホームページのホスティング先とURLの変更も実施したのである。 SSL暗号化通信の設定は2023年9月16日に完了し、作動検証や一部プログラムの修正を経て無事に皆さんにリリースすることができた。実行に当たりホスティングプロバイダー(サーバー管理会社)を変更し、独自ドメインを新たに取得してサーバー内データの引っ越しを行った。現状では問題なく稼働しているが、利用者の皆さんから不具合の報告があれば修正していきたいので、気軽に事務局へ連絡をお願いしたい。新URLは、最後が「.com」だったものを「.jp」に変更したものであるが、郡山の安積桑野会と歩調を合わせた。またSSL化されたことで、最初の「http://」が「https://」と「s」が追記されているのでご注意願いたい。もしブラウザのお気に入りに旧URLを登録している方は、新サイトのURLに更新をお願いしたい。 以降少し技術的な話になるため興味のない方は読み飛ばしてもらっても結構だが、当会の対応を述べていきたい。SSL暗号化通信の仕組みを別添の模式図で示す。SSLとは「Secure Socket Layer」の略で、インターネット上でデータを暗号化して送受信する仕組み(プロトコル)のひとつである。暗号化だけでなく、ウェブサイト組織の実在証明を兼ねている。実在証明書は「tokyo-kuwano.jp」ドメインに対して、米国の非営利団体である「Internet Security Research Group(ISRG)」により運営されている認証局のSSL証明書が付与されている。証明書の有効期間は90日であり、60日を経過するごとにドメインの再審査を実施して更新される仕組みである。通常「Let's Encrypt R3」と呼ばれている2021年10月にリリースされた証明書のバージョン3である。この公的認証局による当会ホームページサイトの認証は2023年9月14日に承認された。最初の証明書取得とインストールに手間取ったが、あとは自動で更新されるので楽だ。 SSL暗号化通信設定によって従来と何が違っているのか詳述したい。まず気づくのは、繰り返しになるがURLの表記が変更になったことだ。新しいURLは「https://www.tokyo-kuwano.jp」である。「www.」は省略できる。クリックすると新サーバーでのホームページが開くが、サイト画面の見掛けは全く変わっていない。データ通信が暗号化されていることは、一般のサイト閲覧者は気づかない。従って会員の皆さまには、SSLなどと考えることなく従来通りにアクセスしていただければよい。最大の相違は通信が暗号化されたことにより、悪意のある第三者によるデータの「盗み見」、「搾取」、「改ざん」、「差替え」等のリスクが大きく低減されたことである。特に個人情報の漏洩を防止できることが大きな利点となった。会員登録・変更届のデータについても、安全に安心して入力し送信できることになった。さらにこれは我々運営側のメリットになるが、サイト内の検閲や監視業務の省力化である。毎日、朝晩と眼を皿のようにしてサーバー内の監視をする必要がなくなった。また大手のホスティングプロバイダーに変更したことで、より運営業務の省力化につながるサービスを甘受できることも分かった。SSLにして良かった良かった、万々歳なのである。 SSL化技術が世界グローバル標準となったのは2012年のことであり、技術力も向上し毎年のようにきめ細かくバージョンアップされている。当会のホームページを立ち上げた時にはまだ存在しなかった技術で、ISRG認証局を選定して導入したことによりその工程作業において当会に良い経験となった。個人的には私のITスキルアップとなった訳であるが、若手の後継者に引き継いでいきたい。 ホームページとは、閲覧する人すなわち「一般の利用者」(クライアント)と、ホームページプログラムやデータを保管しているサーバーとを公衆回線を通じて双方向に通信して情報の提示・交換を実施している仕組みである。この通信は誰でも傍受できるため、悪意のある第三者は盗み取ったり改ざんしたりできることになる。そのため、情報を守る目的でSSL化技術が誕生した。すなわち、クライアントとサーバー間の通信を当事者にのみ解読できる暗号で送受信しようというものである。また当該ホームページ(ウェブサイト組織)側について、公的機関(認証局)の実在証明書を発行することにより、クライアントは真正サイト保証を得ることになる。第三者のハッキングを防止し、安全で安心して閲覧できるという利点がある。 当会ホームページは2003年3月のグランドオープン時より不特定多数の一般に開放したため、当会会員や安積高校関係者だけではなく誰でも自由に閲覧できる環境にあって、現在もいわゆるフリーアクセスの状態になっている。利用者が会員や不特定の第三者であっても、単純に頁の閲覧だけを実施しているのであれば問題は発生しない。自由に書き込みができる掲示板を設置しているが、一般会員が書き込んでこれに応答するのであればよいが、本来の目的外に悪用されてしまった。偽ブランド品販売サイト、違法なドラッグ斡旋サイト、金品の搾取を目的とした詐欺サイト、アダルトサイトなどの危険なURLを書き込んだ投稿が急増し、うっかり一般会員がこれをクリックするとウイルスを送り込まれたり、個人情報を抜き取られたり、挙句の果てに金銭の搾取に遭ってしまう。悪意を持ったサイバー犯罪である。最初の内は私が毎日検閲し、違法な書き込みはせっせと削除していたが、1時間に1回、そのうち1分間に1回と掲載頻度が急上昇し、削除が追い付かなくなった。ロボットによる自動投稿である。IPアドレスを突き止めプログラム上で投稿禁止リストに上げるも、相手は次々とIPアドレスを変更して攻撃してくる。そこでロボット投稿の特性を利用し、掲示板プログラムの変更を実施した。さらに掲示板プログラムがロボット自動巡回に見つからないように、METAタグに回避コマンドを打った。これでロボット検索による掲示板巡回を回避できたことは効果が大きかった。さらにスパイダーロボットによる情報収集を抑制するため、メインルートのディレクトリーに「robots.txt」を埋め込み対策とした。非SSL化状態でも機能し、ある程度のサイバー攻撃から守られていたはずであった。ところが2019年3月12日に当会のメールサーバーが突然乗っ取られ、世界中に大量の不正メールが発信されてしまった。直ちにプロバイダーからの連絡でサーバーを停止し、メール発信を遮断するという大きな事件になった。IDとパスワードを解読されてしまったことが原因であった。また同年9月6日から7日かけて、サーバー内の写真データが大量に抜き取られる事件が発生した。目的が分からないが悪意がないことを祈るばかりである。画像数にして23万枚余りはある。同じ写真を数千枚ずつダウンロードしているが、総会・懇親会の写真に集中していることも気になる点である。その他にもクリックボタンや文字・ロゴデザインも6万7千枚ほどがダウンロードされていた。これも人間業ではないので、ロボットによる自動抜粋と考えられる。もちろんIDやパスワードは全て変更したが、対策のしようがないのも問題であった。このころからSSL暗号化通信によるセキュリティー強化を提唱してきたが、当会内での理解が進まずコロナ禍と重なって検討が先送りになってしまっていた。 母校創立140周年を迎えるにあたり、記念事業の一環としてホームページのSSL暗号化通信を見える事業のひとつとして取り上げ、本年の役員・幹事会にて了承され会長の承認を以って実行に移されたのである。ここにたどり着くのに20年もかかってしまったことは、運営側としての不手際であり深く反省する次第である。まことに申し訳ない。 とにもかくにも当会ホームページの通信はSSL暗号化され、従来と比較して格段に安全性は増大した。経費を掛ければもっとセキュリティー強度の高いサービスを受けられるが、会費を徴収して運営している当会にはあまり金銭的な余裕はない。残念ではあるが、資金面や人的リソースが圧倒的に劣る我々の状況に対し、世界の優秀な?ハッカー達はその遥か上を行く。いつかは安全性を突破され、悪意のある攻撃が始まるかもしれず、今回のSSL化対策も「いたちごっこ」の一時的な気休めかもしれない。古希を迎えた爺さんひとりがいくら頑張っても、世界の若手ハッカー集団に太刀打ちできるはずもなく、分っていながら対策のしようがないのが現実であることをご理解いただきたい。我こそはと思う会員の方は、ぜひ防衛隊に参加されたい。 ホームページSSL化で情報の保護や通信の安全性は向上したのか(PDF解説書) |
|||||
前頁に 戻 る |
||||||