interview:徳丸先生に聞く、WordPressとセキュリティの気になる事情

徳丸浩さんといえば、通称「徳丸本」こと『体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践』でご存知の方も多い通り、Webアプリケーションのセキュリティ専門家としてよく知られています。

今回はWordCamp Toyko 2016にご登壇いただく徳丸さんに、セッションの内容や最近のセキュリティ事情などについてうかがって来ました。当日の目玉セッションの一つである「CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう」を楽しみにされている方は、ぜひご覧ください。参加登録がまだの方はこちら

DSC_0389

 

場所
HASHコンサルティング
聞き手
高橋文樹(WordCamp Tokyo 2016 実行委員長)

——本日はお時間いただき、ありがとうございました。まずは、ふだん徳丸さん自身が代表を務めるHASHコンサルティングでのお仕事についてお聞かせください。

私の専門はWebアプリケーションのセキュリティなんですけれども、お客様が開発している、あるいは業務として開発している企業さんに対して、安全性を高めるような仕事をしています。

その中でわりと多いのが、脆弱性がないかどうか確認する脆弱性診断、Webアプリケーションファイアーウォールの導入、最近では顧問契約というか、相談を受けるような契約をさせていただいています。

——なるほど。お客さんの知識というか、セキュリティに対するレベルにはどれぐらいの差があるのでしょうか?

意外に思われるかもしれませんが、弊社にご相談いただくお客様はわりと高い方です。私は2008年頃から「セキュリティ格差社会」という言葉を提唱しているんです。当時小泉政権の格差社会についてよく議論されていましたからね。

2005年頃はSQLインジェクションのような脆弱性が、大きい企業も小さい企業も発見されていたんです。ところが、2008年ぐらいから、脆弱性が発見されないサイトが増えてきました。これは私からすると飯の種がなくなることでもあるんですけれど(笑)、とにかく、それぐらいの時期から大きい企業から脆弱性が発見されなくなったんです。

——それはつまり、安全なサイトが増えてきた、と。

はい。セキュリティ対策は普通継続的に行うものですから、IPA〔編注:独立行政法人 情報処理推進機構のこと。セキュリティに関する情報を発信してる〕の情報なんかをキャッチアップしているところは、比較的高いレベルの安全性を保ちます。しかし、なにもしていないところはずっと悪いままで、そういう意味で格差が開いています。

セキュリティの現在

——最近、セキュリティの重要性が増していると私は思うのですが、それには何か理由があるのでしょうか? たとえば、攻撃が高度になっているとか、以前よりも個人情報をWebに預けるようになったとか……

理由は幾つかあるのですが、まず攻撃の手法が以前と比べてそれほど高度になったとは思いません。ただ、攻撃をする人達がビジネスとしてやっている割合が増えています。もともとそういう人達はいたのですが、組織的に拡大しているという影響はあると思います。

Webに預ける個人情報が増えているかどうかという点については、増えていると思いますね。スマホの普及もありますし、インターネットを利用する人に高齢者なども加わっています。特に印象深いのが、あるショッピングサイトがパスワード・リスト攻撃を受けた時に被害を受けた方が80歳ぐらいのお婆ちゃんだったんですね。私の両親がちょうどそれぐらいの年齢で、ネットでの買い物なんて全然しないものですから、「その世代でも利用するのか」と興味を持ちましてね。それはほんの一例ですけれど、利用者が拡大しているので、狙うべきパイが大きくなっており、狙う側もより組織的に大きくなっているということです。

十数年前だと、技術を誇示するような愉快犯が多かったです。被害を受けた側も実害はそんなになくて、ただ恥ずかしいとかでしたが、いまはもっとえげつなくなっています。ランサムウェア〔編注: 感染したPCの機能に制限をかけ、それを解くために身代金(Ransom)を要求するタイプのマルウェア〕で身代金を取るような、現金狙いの攻撃が増えました。

——なるほど。そのビジネスをやっている悪い人たちはどこの人なんでしょうか。

よく中国などと言われますが、日本人も逮捕事例はありますし、どこと特定することはあまり意味がありませんね。最近だと、プロキシ事業者が逮捕される事例も多いですね。

——Webという点に限ると、どんな攻撃手法があるのでしょうか。

Webの場合はWebサイトを改ざんしてランサムウェアなどに感染させ、ブラックなビジネスのエコシステムに組み込むということが行われています。

——ということは、すでに感染した人やパソコンを利用したブラックなビジネスマーケットが存在していて、その入口としてWebサイトが利用される、ということですね。

そうですね。特にメールとWebがよく狙われます。

情報収集の秘訣

——徳丸さんはIPAの非常勤研究員でもいらっしゃるわけですが、セキュリティに関する情報はどうやって仕入れているのでしょうか?

もともと趣味みたいなものですが……主にRSSリーダーですね。セキュリティ専門のブログなんかを購読しています。Googleアラートで、例えば「WordPress security」というキーワードで購読したりとか。WordPressの場合はWordPressプラグインの脆弱性を扱っているサイトがありますので、そうしたものを見ています。

ただ、一般の方がそういった情報をキャッチアップできるかというと、難しいと思いますので、たとえばIPAの情報を見るとか、もっと簡単なのではWordPressの管理画面を開くだけでもいいです。そうすれば、プラグインのアップデート情報が出ていますから。とりあえずアップデートするのが簡単な対策です。

——私は受託の仕事もするのですが、たまにアップデート通知を切りたいというお客さんやパートナーがいます。それはまったくおすすめしない、と。

おすすめしないどころか、絶対にダメです。あるバージョンに上げたらプラグイン同士が干渉を起こしてエラーになるとか、そういうこともあるかもしれませんが、それだったらプラグインの数自体を絞るとか、自動アップデートをして、ダメだった場合にどうするかという対策をした方がいいですね。

いまはクラウドでイメージやスナップショットをバックアップするとか、そういう手法がありますので、有効活用すれば大丈夫です。やられるよりはいいでしょう。

オープンソースとセキュリティの未来

——これはWordPressよりもうちょっと大きい話ですが、個人的に興味があるのでお聞かせください。2014年ごろにHeart Bleedとか、OpenSSLのバグが続いて、ふたを開けてみたら善意の開発者がちょっといるだけの、貧弱な開発体制だということがわかりました。その後、AmazonやGoogle、Facebookなどの大企業がCIIという団体を作って援助することになった、という流れですが……このように、セキュリティという重要なものが、貧弱な開発体制に支えられているという問題が、今後どうなっていくと思いますか?

それは非常に重たい話題ですね……著名なソフトに関しては支援を受けられるでしょうが、光の当たらないプロジェクトもあるわけで、すぐに解決する問題ではありません。

本当は、利用するソフトウェアを決定するときに、そういったことを調べないといけないのです。ソフトウェアにはライフサイクルというものがあります。Microsoftなんかは最低10年以上のサポートを明記していますし、実績的にもそうなっています。

Redhatもそれに対抗して、PHP5.1.6という化石のようなバージョンもサポートしています。最近、httpoxy脆弱性でも、Redhat社がApacheに独自パッチを提供して解決していました。そういった著名なものだけを使っていれば、重大な脆弱性に関してはサポートされるということですね。つまり、ソフトウェア選定の際にその点を注意するということが重要です。

——うまくいっている場合は無料で使えるけれども、サポートされないリスクやサポート選定のコストを実ははらんでいる、ということですね。その選定はWordPressプラグインのようなマイナーなものだと、難しくなりそうです。

プラグイン作者の体制なんかを調査した方がいいですね。個人の活動を否定する気はまったくありませんが、やはり個人や少人数でやっているところよりも、実績のある企業がやっている方が安全性は高いです。とはいえ、私が以前脆弱性を発見したプラグインは企業が開発しているものだったんですけれど(笑)

まあ、プラグインがなくなったときのことは考えておいた方がいいですね。

——たしかに、あるプラグインに脆弱性があって、そのプラグインがサイトの重要な機能を実現していたとすると、サイトを閉鎖するはめになってしまいますよね。

サイトを閉鎖するのはまだ良心的で、放置してそのまま使い続けるほうが実際は多そうですけどね。WordPressプラグインには似たような機能を持つものがあるので、入れ替えたら済むという話でもないでしょうが、脆弱性があるよりはマシです。

セッションの見どころ

——それでは、今回のセッションについて触れさせていただいます。なぜ「WordPressはセキュリティが弱い」ということがよく言われるのでしょうか?

本体、つまりコア・ファイルの脆弱性ですが、最近のWordPressに限っては有名な脆弱性はあまりありません。じゃあなぜ「WordPressはセキュリティがダメ」と言われるかというと、一つはプラグインです。プラグインは格差が大きい。ひどいのだと、セキュリティ・プラグインに脆弱性があるという事例がありました。本体は他のCMSと比べても遜色はありません。

プラグインは様々あり、そこをどうやって気をつけるかという点が重要なのですが……みなさん、プラグインをたくさん入れますね。20個とか30個とか。昔の仕事で、「WordPressプラグインを診断してほしい」という依頼を受けたんですが、「5個ぐらいかな?」と思って見積もりを出したら、30個ぐらい入ってて。あれは失敗でした(笑)

便利なプラグインが沢山あるということはいいことなのですが。著名なものが安全とは限りません。保守費用を貰わなければ制作会社もアップデートはしないでしょうし、WordPressは人気があって使いやすいので、お客さん〔編注: ユーザー企業〕がインストールすることもできてしまいます。「これさえ入れれば大丈夫!」みたいなブログ記事もよくありますが、入れたあとどうするかを考えなくてはいけません。誰が保守、運用するのか。ただ、これはWordPressじゃなくても同じことで、結局は「誰がコントロールをするか」という問題です。

——プラグイン作者が気にすべきこととしては何があるでしょうか?

まずは、プラグインAPIをちゃんと理解して作ることです。たとえば、SQL呼び出しでも、セキュリティに考慮した仕組みがWordPressに用意されているのですが、それを使わずに自己流の使い方をするのは危険です。とはいえ、専門的な知識を持たない方が作っていることもあり、難しいですね。技術力がなくても、センスがあるとか、アイデアが優れているという点で人気プラグインになることもありますし……。

——では、使う側はどうでしょう。

これはセッションでもお話するのですが……2つのことだけやってください。

——すいません、その2つは重要そうなので、本番にとっておいてください(笑)ちなみに、私は去年のセッションも聞かせていただいたのですが、実演がとても面白かったです。今年も実演はしていただけるのでしょうか?

はい。70分もあるので、実演しないと持たないと思いますよ(笑)私はいつもやっていることなので、特に新鮮味はないのですが、去年やってみて大変反響があったので驚きました。当日、話を聞きに来る方はきっとWordPressを好きな方なので、他のCMSがやられる姿を見て、ほの暗い喜びを覚えるのではないでしょうか(笑)

ぜひ知ってもらいたいのは「簡単にできちゃうんだ」という点ですね。テレビや映画では凄いハッカーみたいな人が出てきて、黒い画面をカチャカチャやっていますが、実際はそんなことやらなくてもクラックできてしまいますからね。

——では、各CMSがやられるところを見られるというわけですね(笑)

どのソフトでも同じだと思います。きちんとしたセキュリティ対策を施さないと、やられてしまうわけです。裏を返せば、基本的なことをやっていれば、問題はないわけです。「最低5つはやりたいセキュリティ対策」という記事がよくありますが、本質的ではない補助的なものをいくらやったところで意味はありません。

——当日はそういったセキュリティの本質についてのお話が聞けるわけですね。楽しみです。本日はありがとうございました。

 

DSC_0394

 

以上でインタビューを終わります。スマホの登場以降、あらゆる人が気軽にインターネットに接続するようになりました。そんな時代だからこそ、Webサイトの運営者としてはセキュリティを強く意識していきたいものです。全Web製作者必見のこのセッション、まだお申し込みが済んでいない方は、お早めに参加登録をお願いします!

参加登録をする

このエントリーをはてなブックマークに追加

interview:徳丸先生に聞く、WordPressとセキュリティの気になる事情」への2件のフィードバック

  1. ピンバック: 2016年9月8日のヘッドラインニュース – エロ象ちゃんねる

  2. ピンバック: 私家版WordCamp Tokyo 2016の見どころ | 高橋文樹.com

コメントは受け付けていません。