「安く早く」が崩壊しかけてるかも

   このエントリをはてなブックマークに登録    2016/6/21-1

日本国内でトップレベルのセキュリティ専門家である徳丸浩さんが、Twitterで「何度でも言うが、自力でトラブルシューティングできない人や組織は、自前でWordPres立ててはいけない」と発言したことが話題になっています。

それぞれの方々のご意見を拝見した限り、「自前でWordPres立ててはいけない」という表現に対して「ダメって言うな!」や「じゃあ、どこで経験つめばいいの?」といった論点での反論は多い一方で、「インターネットは超荒波だから気をつけようね」という点に関しては見解が一致してそうだと思います。今のインターネットの荒波がどれぐらいかというと、最後は主人公たちが乗っていた漁船が荒波に飲まれて全員死亡というパーフェクトストームという映画ぐらいのレベルだという感想を個人的に持っています。

いまのインターネットは、安さと早さを追求するものが人気になる傾向があります。機能を充実させたり、無償で提供されているようなソフトウェアの方が人気は出るのです。

脆弱性が少ないソフトウェアを評価して使う人々も存在する一方で、多くのユーザは脆弱性があるのかどうかといった点に関してはあまり気にせず、見かけ上の機能がイケてるかどうかを評価します。そのため、まず何でもいいから動くものを手っ取り早く公開した人が勝っていきます。

Webで運用されるCMSも、脆弱性が多くても気にせず使い続ける人々が多いソフトウェアです。CMSをクラックされて情報を抜き取られたり、そのままサーバを悪用されることが非常に多いという背景が徳丸浩さんの発言の背景にあります。

今回話題になっているWordPressは、豊富なプラグインが存在していますが、プラグインを経由するなどしてクラックされることがあります。つい最近も、徳丸浩さんがWordPressプラグインの脆弱性を発見し、開発者に情報提供したものの、その修正方法が稚拙であったと嘆いていました。「鎖は一番弱い輪以上に強くなれない」という表現がありますが、無数のプラグイン製作者の中には、セキュリティに関して全く考慮していない開発者も多いので、結果として全体的にセキュリティレベルが下がっているのかも知れません。

なお、WordPressだけが問題というわけでもありません。数年前には、アイルランドのccTLD(country code Top Level Domain)である.ieを管理するレジストリが、JoomlaというCMS経由でクラックされて、DNSサーバの設定を変更されてしまった事件もありました。それによって、google.ieやyahoo.ieがハイジャックされてしまいました(参考)。

さらに、やばいのはソフトウェアだけではありません。そもそも、インターネットそのものもヤバイ部分が色々あります。インターネットを構成するプロトコルそのものに脆弱性が潜んでいたり、一箇所を破壊するとその国全体やインターネット全体に影響が波及するようなヤバイ箇所もあります。

建物の上にさらに建物を建てたり、すでに存在しているものを一部改修することで、スピード感のある開発を行い続ける傾向が年々強くなっていますが、実際は色々なものが砂上の楼閣なのではないかと思うこともあります。WordPressを自前で立てるかどうかも、実際には大きな問題ではありますが、そもそも、インターネットとインターネット上で行なわれている各種活動そのものも、色々な脆弱性を抱えているのかも知れません。

   このエントリをはてなブックマークに登録