会員の皆さん　こんにちは
２０２３年９月に当会ホームページは念願の「全頁常時ＳＳＬ暗号化通信」に移行しました。これでセキュリティーは万全・安心、と思っていたのに。どうやら雲行きが怪しくなってきました。
本日より不定期ではありますが、ホームページ委員長である芳賀雅美（８６期）が、ホームページ運営のグチを投稿していきます。ご笑読ください。まずは画像（イラスト）を添付しました。みてネ!!
　左側が漫画で表現したサイバー空間、右側はＳＳＬ暗号化通信の概念図

編集

【下の記事からの続き】
普通多くの場合では、金にならないと判断してハッカー集団は通り過ぎてスルーしてしまう。ホームページサイトはあまた存在するので、次々と渡り歩いていくのである。こうなればラッキーであろう。
ところが政府や大企業、金融機関などのサイトを見つけるとここぞとばかり深く深く入り込んで調査していくようだ。マイナンバーカードのシステムなんて、ウェブ空間に晒したらおしまいだ。セキュリティーに「絶対安全」なんて存在しない。
別な話になるが、日本のシステム開発はお粗末な点も垣間見える。システムエンジニアやプログラマーを一時雇用して、開発が終わったら解散すなわち解雇する。末端には中国やロシア、インドといったお国からやってきた「良くない」思考の人物もいるだろう。システムにあらかじめ「バックドア」を仕掛けていく輩も存在する。開発データをコピーして持ち帰ってしまう輩も存在する。実際に被害もあった。犯人を特定できても帰国してしまうと検挙できない。やり得なのだ。金を抜いたり、データを売って本人は丸儲け。

編集

かつてＳＳＬ暗号化通信を設定する前のホームページサイトでは、塀の中すなわちサイト内に悪意を持った第三者であるハッカーが侵入を企てると、正面をきって入口の正門から入らずにファイヤーウォール壁に孔を開けたり、地面にトンネルを掘って「バックドア」と称する秘密の入口を取り付けた。しかしながらＳＳＬ暗号化通信が実現すると「バックドア」から入っても、秘密キーを持っていないので情報にアクセスできない。すなわち、盗み見たり、改ざんしたり、プログラムを書き換えたり、ウイルスを送り込んだりできなくなったのである。そもそもＳＳＬにより「バックドア」を取り付けられそうな場所すら見つけることができなくなった。
そこでハッカーたちは正面から堂々と侵入を試みるようになった。すなわち一般閲覧者である正当な「クライアント」に成りすまし、サイト内情報の暗号化と復号化を可能にする秘密キーを受け取ることにしたのである。
ここからサイト運営者と悪意のハッカー集団との戦いが始まる。ハッカーは世界中に存在する数多くのホームページサイトを調査して、自分たちの利益になりそうなものを絞り込む必要がある。そのために情報収集のロボットを開発しサイバー空間に送り込む、という訳だ。対するサイト運営者である我々は、入口から入ろうとする閲覧希望者が「ロボット」か「人間」か判断しなければならない。次に、善意の検索や社会的に認められる情報収集を目的としたロボットと、悪意のある攻撃型のロボットか判断しなければならない。この仕組みを構築するのは非常に難しいのである。
攻撃のターゲットになってしまったら悲惨だ。秘密キーをゲットしてしまうと、まずはどんなホームページなのか内部を隅々まで巡回し、金になりそうか否か、身代金を要求できそうなデータを保管していないか、スパムメールやメッセージ発信の土台として利用できそうか、脆弱な構造を調べ上げるという訳だ。
攻撃の対象は動的ページと言われる「ＣＧＩ」プログラムである。また、最近ではワールドワイドに利用されているホームページ作成ソフト「ワードプレス（ＷｏｒｄＰｒｅｓｓ）」をターゲットにした攻撃も目立つ。豊富なテンプレートが用意されており、我々には非常に便利で容易に作りたいと思うサイトの頁を制作可能としている一方で、ハッカーの攻撃対象として研究されているのが現状だ。

編集

この漫画にある「指名手配書」とは、ルートディレクトリに設置した「robots.txt」というプログラムです。ひと昔前までは、ここに登録しておけばそのロボットは回避できるはずでした。しかしながら近年、これを無視して侵入してくるものが増加しています。有名なものでは中国の検索エンジン「Baidu（百度）」が上げられます。
そこでここでは詳細を述べませんが、別なプログラムによる「指名手配書」を設置しました。こちらには４５基のロボットを登録しました。先の「robots.txt」と重複した２４基を含みます。効果はテキメンで今のところ完全にブロックができていますが、まだ数日しか経過していないためしばらく様子を見たいと思います。

編集

スレッド親記事に添付したイラスト（漫画）の説明をしていませんでした。
２０２４年１月から４月のロボット巡回状況を詳しく調べてみました。ロボットには、グーグルやマイクロソフト、Yahoo!、アップル、フェイスブックなどの善意での検索エンジンでサイト巡回しているものが多く、その他にも情報収集・分析により成果を企業に販売している会社、情報収集により世間の動向を分析し研究している公共機関が該当します。しかしながら一方では悪意を持ってサイトを巡回し、脆弱性を突破して自己の利益を違法に追求する、いわゆるハッカー集団も存在します。これらを見極めて、当会ホームページに侵入してくるのをブロックしなければなりません。
添付のイラストはそのイメージを漫画にしたものです。壁はサーバー会社の設置するファイヤーウォールで、入口に門番を設置しました。壁の手前はサイバー空間であり、誰でも自由に往来ができます。悪意のロボットやハッカーたちでもウロウロしています。当会のホームページは不特定多数の一般の方でも出入りが自由な、オープンアクセスサイトになっています。通販サイトや銀行・クレジット会社のサイトのように会員制ではありません。
ロボットの手配書を掲げ入口で門番がブロックしています。指名手配のロボットは現在のところ２４基ですが、今後増えていくものと思います。２０２４年１月から見てみると、現状月間３８〜４５基のロボットが当会サイトに侵入しています。善意と思われるものを除き、過去の挙動から怪しそうなロボットを登録しました。
一般の閲覧者には入口で暗号化キーを渡し、サイトの閲覧を許可しています。スイカやパスモのようなイメージでしょうか。しかしながらサーバー会社（エックスサーバー社）がロボットの進入と認定した実績は、２０２４年１月で５,２７８ＰＶ（ページビュー＝閲覧頁数）だったのに、４月は４倍の２１,１４３ＰＶに跳ね上がりました。最近の話題は、生成ＡＩの学習用ロボットです。マイクロソフトが最も頻度が高く巡回しており、グーグルなど他社も追随している状況です。これを善意と見るか、ハッキングと見るのか微妙ですが現状では排除していません。

編集

下の記事に引き続きご報告します。５月に入って別な攻撃がありました。
「What's New／会からの新着情報」掲示板の、管理パスワード入力フォームに繰り返しパスワードを入力して突破しようというハッキング行為を発見しました。７５０回の繰り返し入力の途中で、偶然発見し急いでこの入力フォームプログラムをサーバーから削除しました。入力失敗でエラーが返っているのにも関わらず、繰り返し入力することでパスワードを特定しようとする行為です。突破される前に対応し事なきを得ましたが、これも下記のスパム投稿のケースと同様にロボットによる自動サイバー攻撃です。
この掲示板は２０年以上も使用してきましたが、セキュリティー改善の限界もあり修正せずに廃止することにしました。上の参照先ＵＲＬに、新掲示板を添付します。
その後、この台湾からの管理パスワード突破行為は９日間も続き、サーバー内に存在しないフォームに対し諦めることなく延々と続くかと思いましたが、１０日目にどうやら気づいたようで、パッタリと無くなりました。

編集

今年２０２４年の４月になって、「会員親睦の掲示板」にロボットによると思われる攻撃で「スパム投稿」が確認されました。ＳＳＬ化してから初めてのケースです。５月に入っても全く同様のスパム投稿があり、アクセスログを詳細に調査したところ掲示板にセキュリティーホールを発見し、急ぎパッチを当てて防御しました。
しかしながらいくつか問題点も発見し、対策に苦慮している段階です。
（１）画像認証パスコード（６ケタの投稿認証キー）を読み取って突破している。
（２）投稿の件名とコメント本文には、日本語２バイト文字を入力しないと投稿をはじく仕組みになっているが、これを突破している。
（３）プログラムコードに、ロボット巡回を回避するＭＥＴＡタグコマンドを入れているのに、これを無視して侵入している。
従来はこれで万全のはずだったのに、３重の壁を突破されてしまった。悪意のあるハッカー集団は恐ろしい。
スパム投稿記事には得体のしれないＵＲＬリンクが貼ってあり、会員の皆さんがうっかりクリックしてしまうと、ウイルスを送り込まれたり、詐欺サイトに誘導されたり、偽ブランド品販売サイト・不法ドラッグ販売サイト・ポルノサイトなどに誘導されて、金品の搾取にあったり身代金要求されたりする可能性があります。
このような得体のしれない投稿記事を見つけても、けしてリンクをクリックしないでください。当会事務局あてにご連絡をお願いします。

編集