会員の皆さん　こんにちは
２０２３年９月に当会ホームページは念願の「全頁常時ＳＳＬ暗号化通信」に移行しました。これでセキュリティーは万全・安心、と思っていたのに。どうやら雲行きが怪しくなってきました。
本日より不定期ではありますが、ホームページ委員長である芳賀雅美（８６期）が、ホームページ運営のグチを投稿していきます。ご笑読ください。まずは画像（イラスト）を添付しました。みてネ!!
　左側が漫画で表現したサイバー空間、右側はＳＳＬ暗号化通信の概念図

編集

「クローラーロボットの遮断を復旧してみました」報告その２

全てのサイト検索で「東京桑野会ホームページ」はヒットしていませんでしたが、復旧設定２４時間後には Microsoft Bing の検索結果に、４８時間後には Google と Yahoo! Japan の検索結果に、ヒットするようになりました。
遮断解除２日目には、米国の Go-http-client や DuckDuck-Go Bot、オープンAI ChatGPT学習ロボット など、サイバー空間にウロウロと巡回している多くのクローラーロボットが訪問しはじめました。

編集

クローラーロボットの遮断を復旧してみました

ついに２ヶ月ほどで、Microsoft Bing の検索結果にも上がらなくなってしまいました。全てのサイト検索で「東京桑野会ホームページ」が表示されなくなり、当会ＨＰへのアクセス数も激減してしまいましたので、２０２４年５月１１日時点でのロボット遮断状態まで緩和しました。
８月１日早朝に復旧させましたが、早速にもＧｏｏｇｌｅやＭｉｃｒｏｓｏｆｔ、Ａｐｐｌｅなどの検索ロボットによるサイト巡回が始まっています。ロシアや中国の検索ロボットも早速参戦しています。ロシアや中国のロボットは少し怖いですね。様子を見てみます。

編集

全てのクローラーロボットを遮断してみました

実験的にではありますが、ＧｏｏｇｌｅやＭｉｃｒｏｓｏｆｔ Ｂｉｎｇ、Ａｐｐｌｅといった代表的なブラウザ検索ロボットを始め、米国・欧州各国・韓国・中国・ロシア・東南アジア各国からの当会ホームページへの訪問が多かった検索ロボットや商業用ロボット等につきまして、全てを遮断してみました。
遮断は、２０２４年５月中旬に実行し、その後の経過を観察しています。
遮断直後から設定したクローラーロボットの訪問が皆無となり、スパイダーロボットの巡回が激減しました。
また、サイト検索を実施してみたところ
（１）Ｇｏｏｇｌｅ検索（Ｙａｈｏｏ！Ｊａｐａｎ検索を含む）は１０日ほどで、「東京桑野会ホームページ」を検出できなくなってしまいました。
（２）Ｍｉｃｒｏｓｏｆｔ Ｂｉｎｇ検索は１ヶ月が経過してもなお、「東京桑野会ホームページ」を検出しています。理由は分かりませんが、ＢｉｎｇＢｏｔの巡回実績はありません。
（３）その他の検索サイトについては試していませんが、多分ヒットしていないと考えています。
ただし、検索サイトを含めて全てのクローラーロボットを遮断すると、大きく閲覧実績が下がってしまいました。当然ですがロボット自身のアクセスはなくなりましたが、一般閲覧者が検索結果に誘導されて当会ホームページに達するという手法が使えなくなってしまったからです。会員でもいつもは検索に頼って当会ホームページにアクセスしていただけで、ブラウザのお気に入りにＵＲＬを登録していないと迷子になってしまいます。
すこし様子を見てみることにします。

編集

東京桑野会の会員年齢構成図を添付します。２０２３年度版です。
この後、入会・退会（物故者含む）がありますが全体の傾向は変わりません。中心はもう７０歳代で、若手は極端に少なくなっていることが分かります。このままでは当会は活動ができなくなって自然消滅してしまうかもしれません。
図はクリックすると拡大します。

編集

年会費収入が年々下降し、２０２２年度は６２万円と過去最少だった。昨年２０２３年度の役員・幹事会では、対策案についてずいぶんと議論し続けてきたが「納入のお願い」を連呼するにとどまり決定打は見つからなかった。しかし２０２３年度は「１４０周年記念向け寄附のお願い」を実施し、会報に会長メッセージを同封するという特別な手段に出た。会報の配達遅れというアクシデントもあり、当会への認識度が逆に上がったことが功を奏し９６万８千円の年会費収入となった。下記のグラフを参照していただきたい（図をクリックすると拡大します）。特別寄附金はこれとは別に約１５０万円あったと聞く。年会費ひとり２,０００円は私の知る限り変わっておらず、何とか値上げせずに続けてもらいたい。会員の皆さまのご協力をお願いします。

編集

【下の記事からの続き】
サイトのシステム開発を担当したご本人なのだから、時限爆弾としてランサムウェアなどのウイルスをあらかじめ仕込んでおけば遠隔操作は可能。いつでも爆発させることができる。身代金だって何億円も要求可能だろう。支払う企業もあると聞く（公表されていないだけ）。おお〜コワイ！！

編集

【下の記事からの続き】
普通多くの場合では、金にならないと判断してハッカー集団は通り過ぎてスルーしてしまう。ホームページサイトはあまた存在するので、次々と渡り歩いていくのである。こうなればラッキーであろう。
ところが政府や大企業、金融機関などのサイトを見つけるとここぞとばかり深く深く入り込んで調査していくようだ。マイナンバーカードのシステムなんて、ウェブ空間に晒したらおしまいだ。セキュリティーに「絶対安全」なんて存在しない。
別な話になるが、日本のシステム開発はお粗末な点も垣間見える。システムエンジニアやプログラマーを一時雇用して、開発が終わったら解散すなわち解雇する。末端には中国やロシア、インドといったお国からやってきた「良くない」思考の人物もいるだろう。システムにあらかじめ「バックドア」を仕掛けていく輩も存在する。開発データをコピーして持ち帰ってしまう輩も存在する。実際に被害もあった。犯人を特定できても帰国してしまうと検挙できない。やり得なのだ。金を抜いたり、データを売って本人は丸儲け。

編集

かつてＳＳＬ暗号化通信を設定する前のホームページサイトでは、塀の中すなわちサイト内に悪意を持った第三者であるハッカーが侵入を企てると、正面をきって入口の正門から入らずにファイヤーウォール壁に孔を開けたり、地面にトンネルを掘って「バックドア」と称する秘密の入口を取り付けた。しかしながらＳＳＬ暗号化通信が実現すると「バックドア」から入っても、秘密キーを持っていないので情報にアクセスできない。すなわち、盗み見たり、改ざんしたり、プログラムを書き換えたり、ウイルスを送り込んだりできなくなったのである。そもそもＳＳＬにより「バックドア」を取り付けられそうな場所すら見つけることができなくなった。
そこでハッカーたちは正面から堂々と侵入を試みるようになった。すなわち一般閲覧者である正当な「クライアント」に成りすまし、サイト内情報の暗号化と復号化を可能にする秘密キーを受け取ることにしたのである。
ここからサイト運営者と悪意のハッカー集団との戦いが始まる。ハッカーは世界中に存在する数多くのホームページサイトを調査して、自分たちの利益になりそうなものを絞り込む必要がある。そのために情報収集のロボットを開発しサイバー空間に送り込む、という訳だ。対するサイト運営者である我々は、入口から入ろうとする閲覧希望者が「ロボット」か「人間」か判断しなければならない。次に、善意の検索や社会的に認められる情報収集を目的としたロボットと、悪意のある攻撃型のロボットか判断しなければならない。この仕組みを構築するのは非常に難しいのである。
攻撃のターゲットになってしまったら悲惨だ。秘密キーをゲットしてしまうと、まずはどんなホームページなのか内部を隅々まで巡回し、金になりそうか否か、身代金を要求できそうなデータを保管していないか、スパムメールやメッセージ発信の土台として利用できそうか、脆弱な構造を調べ上げるという訳だ。
攻撃の対象は動的ページと言われる「ＣＧＩ」プログラムである。また、最近ではワールドワイドに利用されているホームページ作成ソフト「ワードプレス（ＷｏｒｄＰｒｅｓｓ）」をターゲットにした攻撃も目立つ。豊富なテンプレートが用意されており、我々には非常に便利で容易に作りたいと思うサイトの頁を制作可能としている一方で、ハッカーの攻撃対象として研究されているのが現状だ。

編集

この漫画にある「指名手配書」とは、ルートディレクトリに設置した「robots.txt」というプログラムです。ひと昔前までは、ここに登録しておけばそのロボットは回避できるはずでした。しかしながら近年、これを無視して侵入してくるものが増加しています。有名なものでは中国の検索エンジン「Baidu（百度）」が上げられます。
そこでここでは詳細を述べませんが、別なプログラムによる「指名手配書」を設置しました。こちらには４５基のロボットを登録しました。先の「robots.txt」と重複した２４基を含みます。効果はテキメンで今のところ完全にブロックができていますが、まだ数日しか経過していないためしばらく様子を見たいと思います。

編集

スレッド親記事に添付したイラスト（漫画）の説明をしていませんでした。
２０２４年１月から４月のロボット巡回状況を詳しく調べてみました。ロボットには、グーグルやマイクロソフト、Yahoo!、アップル、フェイスブックなどの善意での検索エンジンでサイト巡回しているものが多く、その他にも情報収集・分析により成果を企業に販売している会社、情報収集により世間の動向を分析し研究している公共機関が該当します。しかしながら一方では悪意を持ってサイトを巡回し、脆弱性を突破して自己の利益を違法に追求する、いわゆるハッカー集団も存在します。これらを見極めて、当会ホームページに侵入してくるのをブロックしなければなりません。
添付のイラストはそのイメージを漫画にしたものです。壁はサーバー会社の設置するファイヤーウォールで、入口に門番を設置しました。壁の手前はサイバー空間であり、誰でも自由に往来ができます。悪意のロボットやハッカーたちでもウロウロしています。当会のホームページは不特定多数の一般の方でも出入りが自由な、オープンアクセスサイトになっています。通販サイトや銀行・クレジット会社のサイトのように会員制ではありません。
ロボットの手配書を掲げ入口で門番がブロックしています。指名手配のロボットは現在のところ２４基ですが、今後増えていくものと思います。２０２４年１月から見てみると、現状月間３８〜４５基のロボットが当会サイトに侵入しています。善意と思われるものを除き、過去の挙動から怪しそうなロボットを登録しました。
一般の閲覧者には入口で暗号化キーを渡し、サイトの閲覧を許可しています。スイカやパスモのようなイメージでしょうか。しかしながらサーバー会社（エックスサーバー社）がロボットの進入と認定した実績は、２０２４年１月で５,２７８ＰＶ（ページビュー＝閲覧頁数）だったのに、４月は４倍の２１,１４３ＰＶに跳ね上がりました。最近の話題は、生成ＡＩの学習用ロボットです。マイクロソフトが最も頻度が高く巡回しており、グーグルなど他社も追随している状況です。これを善意と見るか、ハッキングと見るのか微妙ですが現状では排除していません。

編集