水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2009年のえび日記 > 2009年12月

2009年12月

2009年12月29日(火曜日)

FF13 クリア

公開: 2009年12月31日23時55分頃

FF13 (www.amazon.co.jp)、クリア。プレイ時間は約50時間でした (ボス前の最終セーブが49時間50分、クリア後のセーブが50時間50分)。ちなみにミッションは1~28までクリアしています。たぶん標準的な進行でしょう。

11章は本当に面白くて、ここから本番……と思っていたら、あっさり終わってしまいました……。

終盤に近付くにつれてどんどん面白くなってくるのですが、序盤が異様に長いのがしんどいです。全13章なのですが、FF7のミッドガル脱出に相当するのがなんと11章です。FF7と対応させるとこんな感じ。

こうして見ても、やはり序盤が長すぎです。11章以降にもっとボリュームを持たせて欲しかったと思います。

※うっかり序盤を作り込みすぎてしまって、捨てるに捨てられなくなってしまったのでしょうか……?

ラスボスを倒すとクリスタリウムのレベルが上がり、エンディング後にセーブできます。再開すると13章、ラスボス前のセーブポイントからになりますが、ここからフィールドに戻ることもできるようになっていて、亀狩りに挑戦したりできるようです。

ただ、ストーリーがイマイチ理解できていなかったような気がするので、もう一度最初からやり直そうかなと。

関連する話題: ゲーム / PS3 / FF13

2009年12月27日(日曜日)

FF13 伝説の11章へ

公開: 2009年12月31日23時35分頃

FF13 (www.amazon.co.jp)、素晴らしいという噂の11章に到達。

フィールドですね……。取説38ページの「フィールド編」に書かれている「冥碑の結界」「テレポの冥碑」「チョコボでお宝探し」は、全て11章で初登場。11章になって初めてフィールドに出たわけですね。つまり、FF7で言う「ミッドガル脱出」が11章に相当するということです。FF7でもミッドガルは引っ張りすぎだろうと思っていましたが、これはいくら何でも遅すぎなのでは……。

しかし、引っ張っただけあって(?)、11章のフィールドは物凄いです。美しい景色が遠くの方までがはっきり見えていて、ちゃんと歩いていけるという。空を竜が舞っていたり遠くの方を巨大な亀が歩いていたりするのですが、それらもただの背景ではなく、近付くと襲ってくるのですよね。大平原を探検するだけでも楽しめます。

ミッションが受けられるようになったり、チョコボに乗れるようになったり、武器の改造素材が一通り店に出たりと、ここでようやく一通りのことができるようになります。ここからが本番という感じですが……。

※でも、全13章中の11章まで来ているのですよね。

関連する話題: ゲーム / PS3 / FF13

2009年12月26日(土曜日)

ムダヅモ無き改革3

公開: 2009年12月31日21時45分頃

購入。

なんだか、あからさまにドラゴンボール化してきましたね。スカウターで麻雀力を測定したり。

イカサマは死らしいですが、2巻のメンゲレの轟盲牌 (ってよく考えるともはや盲牌ではありませんが)、あれは観測班にばれていなかったのでしょうか……。

関連する話題: マンガ / 買い物 / ムダヅモ無き改革

2009年12月25日(金曜日)

FF13 その2

公開: 2009年12月28日22時50分頃

FF13 (www.amazon.co.jp)、10章の頭まで。

オーディン戦で何度も死んで、さすがにボスがきつくなってきたなぁと思っていたら、7章あたりからザコ戦の難易度まで上がってきました。大型ザコの「ガトリングガン」を喰らったら、HP満タンの状態から即死。プロテスをかけるか、ロールをディフェンダーにするかしないと耐えられないようです。リーダーが死ぬとゲームオーバーなのでつらいですね。

もっとも、今作ではゲームオーバーになってもセーブしたところまで戻されたりはせず、直前からリスタートできます。オプティマを組み直してリトライするとあっさり勝てたりするので、そうやって試行錯誤しながら進んで行く想定なのでしょう。

9章でようやくメンバー6人が揃い、パーティーメンバーを自由に編成できるようになりました。これで戦術の幅がさらに広がる……のですが、メンバーを変えるとオプティマを設定し直すのが面倒なので、主要メンバーは固定化しそうですね。10章から全ロールが解放されましたが、得意ロール以外を伸ばそうとするとコストパフォーマンスが悪いので、苦手なロールは後回しにした方が良いみたい。

関連する話題: ゲーム / PS3 / FF13

2009年12月23日(水曜日)

FF13の序盤がつらい理由

公開: 2009年12月25日15時55分頃

FF13 (www.amazon.co.jp)、なんとか7章まで来ました。

正直なところ、序盤はちょっとつらかったですね。最初は映像の凄さに感動するのですが、その感動の持続時間はせいぜい30分くらいです。映像に慣れてしまうと、「戦闘がつらい」と感じるようになりました。ちまたでは「○ボタン連打ゲー」などと揶揄されているようですが、序盤は実際その通りです。いや、たまにポーションも使いましたけど。

ただ、これには理由があります。

ふつう、コンピュータRPGの戦闘では、キャラクターに対して行動を細かく命令して (コマンド入力して) 戦うことになります。FF13の場合も、リーダーとなっているキャラクターのコマンド選択をすることができます。が、FF13の戦闘はテンポが速く、コマンド入力中も時間は止まらないため、いちいちコマンド入力していられません。「○」ボタンを連打すればセミオートでコマンドが選ばれるようになっているので、とりあえず連打して戦闘を進める感じになります。

というわけで、テンポが速すぎるのが「戦闘がつらい」原因……と一時は思いました。が、違いました。

「○ボタン連打ゲー」なのは事実ですが、これはあくまで序盤、2章までの話です。3章になると魔法が使えるようになり、同時に「オプティマ」と呼ばれる戦闘ロールの変更機能が解禁されます。これ以降の戦闘では、「事前にどのようなオプティマを設定しておくか」「どのタイミングでどのオプティマを使用するか」という点が重大なポイントになってきます。戦闘が始まったら、リーダーの行動を決めつつ、刻々と変化する味方や敵の状態に注視し、ここぞというタイミングでL1を押して「オプティマ」を変更します。そういうゲームなので、そもそもリーダーに対するコマンド入力はテキトーで良いのです。

※FF13の戦闘は、どちらかというと「リアルタイムストラテジー」と呼ばれるジャンルに近いものがあるかもしれません。

つまり、この「オプティマ」こそがFF13の戦闘システムの中核なのです。2章までの戦闘は、本格的な戦闘が始まる前のトレーニングに過ぎなかったのです。

これはある意味、ドラクエ2に似ているのかもしれません。ローレシアの王子一人の状態では、「たたかう」と「やくそう」しかありません。この状態で「なんだこいつ呪文も使えないのか、ドラクエ1より劣化しているじゃないか」と感じたとしても、間違いというわけではないでしょうけれど、それで投げ出してしまったらもったいないと思います。

ただ、FF13の序盤にはもう一つ深刻な問題があります。ローレシアの王子一人で延々敵を倒し続けても、それはそれで楽しい……という人もいるでしょう。それは何故かというと、戦っているうちにレベルが上がったり、お金が貯まったりして強くなっていくのが実感できるからです。RPGの醍醐味は、なんといってもキャラクターの成長です。しかし恐ろしいことに、FF13の序盤はキャラクターの成長が全くないのですね。2章まではいくら敵を倒しても成長しません。そのせいで戦闘が苦痛になってきます。キャラクター成長システムの「クリスタリウム」が解禁されるのが、これまた3章です。

ですから、3章からゲーム開始と思った方が良いと思います。要するに、序盤のチュートリアルの期間が非常に長いのですね。実際、これでもかと言うほど丁寧に「チュートリアル」が出ます。FF13の戦闘や成長のシステムはけっこう複雑なので、チュートリアルに時間をかけて、複雑なシステムをスムーズに学べるようにしている……ということなのだと思います。

これを「長すぎ」と感じるかどうかは人それぞれでしょう。私は「長すぎ」と感じましたが。:-)

※しかし、「アンリミテッド:サガ (www.amazon.co.jp)」について振り返れば分かるとおり、必要だとは思います。

3章からは面白くなってきます。噂では11章以降が本番らしいので、先に行けば行くほど楽しみが増える、ということなのではないかと思います。

以下、諸々思ったことをざっくりと。

関連する話題: ゲーム / PS3 / FF13

2009年12月22日(火曜日)

PS3買った

公開: 2009年12月24日18時25分頃

PS3本体 (www.amazon.co.jp)を持っていないので買わないと決めていたはずのFF13 (www.amazon.co.jp)ですが、やっぱり耐えきれずに本体ごと購入してしまいました……。

とりあえずPS3の感想。

画質

画質良すぎておかしい。比喩ではなく笑ってしまいました。PS2でもかなり高画質が得られていたように感じていましたが、比べものにならないですね。FF13の動画はテレビCMやネット上で見たりしていましたが、全く比較にならない画質。

ちなみに、ケーブルはPS2で使っていたD4端子ケーブルをそのまま使い回しています (ケーブルはPS2と互換性がある)。テレビ側は1080i/720p。いわゆるフルHDで1080p対応のものなら、もっと高画質になるのでしょうか……。

大きさ

嵩張ることを覚悟していましたが、そこまで大きくはありませんでした。ただし当然ですが、薄型PS2と比較すると巨大です。

思ったより奥行きがあって、上から見ると正方形に近いフォルムになります (横置きの場合)。

※実はこのサーバのすぐ隣に配置されていて、間隔が1cmも空いていません。PS3が派手に発熱すると、bakera.jpが残念なことになる可能性もなきにしもあらず。

コントローラ

形状はPS2とほぼ一緒です。USB接続になり、中央に謎のPSボタンが追加されていますが、他はほぼ同じなので違和感はありません。

ただ、付属のUSBケーブルがやや短いのが気になりました。ワイヤレスで使えるらしいのですが、充電が完了しているのかどうかが良く分からないのです……。

ファンレスではないので音がするはずですが、騒音は今のところ気になっていません。新型は静音化されたそうなので、その成果でしょうか。

ただし、ディスク読み込み時は音がします。

箱の段ボールの縁が固くてギザギザしていて、擦れるととっても痛いのです。気をつけましょう。

関連する話題: ゲーム / PS3

FF13、謎の「緊急入荷」

公開: 2009年12月24日15時30分頃

ビックカメラ新宿西口店では売り切れだったPS3本体 (www.amazon.co.jp)ですが、そういえば渋谷にもビックカメラがあったことを思い出しました。売り切れが特定店舗の局所的な現象なのかどうかを確認するべく、渋谷へ。

すると、なんと「FF13緊急入荷」という表示が。緊急入荷というからには、いったんは売り切れたということなのでしょうか? ライトニングエディション (www.amazon.co.jp)はともかく、ソフト単体 (www.amazon.co.jp)は何処でも潤沢に在庫があるように見えましたが、渋谷では局地的に不足していたのでしょうか?

※ちなみにPS3本体の在庫状況はよく分からなかったので、レジで「PS3本体ありますか?」と訊いてみたところ、すぐに出てきました。

関連する話題: ゲーム / PS3 / FF13

2009年12月21日(月曜日)

PS3が売り切れ

公開: 2009年12月22日10時10分頃

なんとなくビックカメラ新宿西口店に寄ってみたら、PS3本体 (www.amazon.co.jp)が売り切れとなっておりました。FF13 (www.amazon.co.jp)効果?

※当然、ライトニングエディション (www.amazon.co.jp)も売り切れ。というか、こっちは発売日翌日に既に売り切れでしたが。

関連する話題: ゲーム / PS3 / FF13

鳥人

公開: 2009年12月22日10時5分頃

「M-1」にネットわく Wikipedia「鳥人」編集合戦、pixivにイラスト続々 (www.itmedia.co.jp)

確かに、今回のM-1では鳥人(とりじん)が断トツで面白かったと思います。笑い飯の決勝は残念でしたね……。

※どうでもいいのですが、鳥人BOTの背景が鳥人計画 (www.amazon.co.jp)というセンスに笑ってしまいました。こっちの鳥人はスキージャンパーの話なのですけどね。

関連する話題: 与太話

2009年12月19日(土曜日)

ジェダイ毛布

公開: 2024年12月21日23時5分頃

最近ちまたで「ジェダイ毛布」というのが流行っているそうで。……これですか: 「NuKME (ヌックミィ) フリースガウンケット_モカブラウン (www.amazon.co.jp)」。確かにそれっぽいですね。

関連する話題: 与太話

7&Yネットショッピングのソースコード、ディレクトリトラバーサルで流出?

公開: 2024年12月21日17時30分頃

7&Yのネットショッピングサイトのソースコード、公開サーバー内の「.svn」ディレクトリより流出? (slashdot.jp)」だそうで。また丸見え系か……と思って読んでいたら、どうも単なる丸見えではなくて、ディレクトリトラバーサルで抜かれてしまったようですね。

URLに含まれる%c0%aeが'.'の冗長なUTF8表現で、/../と解釈される。

bks.svlとesi.svlに脆弱性があり、本来読むべきディレクトリより上の階層のファイルが参照された結果こうなったと思われる。

以上、冗長なUTF8によるディレクトリトラバーサル より

問題の発端は.svnとかのディレクトリ残してた事じゃなくてTomcatのディレクトリトラバーサルの脆弱性じゃないの?

それで見えるファイル一覧の中に.svnディレクトリとかが有ったって話だと思う。

以上、なんか誰も書いてないけど より

そういえば、そんな問題がありましたね。CVE-2008-2938 (cve.mitre.org)ですか (日本語参考: JVNDB-2008-001611 (jvndb.jvn.jp)。「Apache-Tomcatと冗長なUTF-8表現(CVE-2008-2938検証レポート) (www.icto.jp)」というPDF文書も公開されています)。

7&YネットショッピングではApache Tomcat/4.1.29が使われているようですが、Apache Tomcat 4.x vulnerabilities (tomcat.apache.org)を見ると、本件は "Not a vulnerability in Tomcat" となっています。

Originally reported as a Tomcat vulnerability the root cause of this issue is that the JVM does not correctly decode UTF-8 encoded URLs to UTF-8.

(~中略~)

Although the root cause was quickly identified as a JVM issue and that it affected multiple JVMs from multiple vendors, it was decided to report this as a Tomcat vulnerability until such time as the JVM vendors provided updates to resolve this issue. For further information on the status of this issue for your JVM, contact your JVM vendor.

A workaround was implemented in revision 681065 that protects against this and any similar character encoding issues that may still exist in the JVM. This work around is included in Tomcat 4.1.39 onwards.

以上、important: Directory traversal CVE-2008-2938 より

超訳すると、「Tomcatが悪いのではなく、JavaのVMが正しくデコードしないのが悪いのだが、Tomcat4.1.39では回避策を講じた」という話のようですね。

というわけで、少なくとも4.1.39以降にしておけば、ソースコードを見られることはなかったものと考えられます。セブンネットショッピングは新しいサービスなのかと思っていましたが、古いミドルウェアを使い続けなければならない事情があったのでしょうか?

関連する話題: セキュリティ

ゲームセンターCX DVD-BOX6

公開: 2009年12月19日15時20分頃

購入。

昨日から今日にかけて一気に見てしまいました。

今回の挑戦は、私がプレイしたことのないゲームばかりでしたね。かろうじて、特典の「イー・アル・カンフー」はプレイしたことがありましたが……「仮面の忍者 花丸」に至っては、名前すら知りませんでした。

一番面白かったのは、特典映像のパート2。ラスボス第2形態で苦戦し、ラスト1機となったところで、なんとカメラマンの阿部さんが安地を予言、実際にやってみると本当に安地だったというスーパープレイ(?)で見事にクリア。これは笑いました。

関連する話題: ゲーム / DVD / 買い物 / ゲームセンターCX

2009年12月18日(金曜日)

CSRFの評価とCVSS現状値

公開: 2009年12月19日14時10分頃

Amebaスタッフブログに「Amebaのセキュリティ対策について (ameblo.jp)」という文章が出ていますね。

弊社では新規サービスの開発時はリリース前に、既存サービスは定期的に、外部セキュリティ監査会社による調査を必ず実施しております。

調査報告は深刻度別に分類され、これまでユーザーの皆様のデータ漏洩や破壊につながる可能性がある部分については即時の対応を、それ以外の部分については一定期間内での対応実施を徹底して参りました。

現在、昨今の事情を鑑み、影響の大きな部分については優先度を最上級にし、緊急対応を行っております。

はっきりとは書かれていませんが、AmebaなうのCSRFの問題の話であるように思えます。たぶんこういうことですね。

脆弱性の深刻度評価というのは重要です。新規サービスのリリース前に脆弱性診断が行われる場合、バグだらけでまともに動作しないものを診断しても得られるものは少ないわけですから、完成間近のタイミングで実施されることが多くなります。

普通のプロジェクトでは、サービス完成からリリースまでにテストと修正の期間を十分に設けているから大丈夫です……と言いたいところですが、それはプロジェクトが平穏無事に進行していた場合の話です。進行が遅れて「祭り」とか「修羅場」とか称される状態になっているような場合、報告された脆弱性の全てをリリース前に修正することが難しくなってきます。サービスのリリース時期は経営上の事情によって決まっている事が多く、簡単には動かせません。

そういう場合、「リリースまでに報告された全ての脆弱性を修正することは不可能なので、ひとまず優先度の高いものだけ修正する」という話になります。Amebaなうでも同じような状況で、CSRFへの対応は後回しになっていたのでしょう。

では、一般的にCSRFの深刻度はどの程度と評価されているのでしょうか。情報セキュリティ早期警戒パートナーシップでは、ソフトウェア製品の脆弱性について、CVSS (www.ipa.go.jp)による深刻度評価が行われています。JVN iPediaでCSRFを検索 (jvndb.jvn.jp)してみると、CSRFのCVSS基本値は2.6~9.3とバラバラであることが分かります。

たとえば、「JVNDB-2009-001002 xterm における DECRQSS エスケープシーケンスの処理に関するクロスサイトリクエストフォージェリの脆弱性 (jvndb.jvn.jp)」は、サーバに対して任意のコマンドが実行されるというもので、CVSS基本値は実に9.3(緊急)、きわめて高い危険性があると評価されています。それに対し、「JVNDB-2005-000789 ハイパー日記システムにおけるクロスサイト・リクエスト・フォージェリの脆弱性 (jvndb.jvn.jp)」では、CVSS基本値は2.6(注意)です。日記が改竄されても管理者が元に戻せますし、秘密情報が流出することもないためです。

Amebaなうはソフトウェア製品ではないので同列には評価できませんが、CVSS基本値の評価を当てはめてみると、以下のようになるかと思います。

これで計算すると、CVSS基本値は4.3 (jvndb.jvn.jp)となりました。「攻撃条件の複雑さ」を「高」と評価した場合は、2.6となります。これは注意~警告レベルです。他に「緊急」レベルの脆弱性が存在するなら、そちらのほうが優先度が高くてしかるべきでしょう。

ただし、CVSSには「基本値」以外に「現状値」「環境値」という評価基準が用意されています。現状値には「攻撃される可能性 (Exploitability)」という評価があり、攻撃コードが公開されたりすればスコアが高くなります。現状値が変化したために深刻度の総合評価が変化するのは当然で、「昨今の事情を鑑み、影響の大きな部分については優先度を最上級」という対応は妥当でしょう。

※でも、発表がとても分かりにくいです。

関連する話題: セキュリティ / CSRF

けいおん! 3

公開: 2009年12月19日2時30分頃

3巻が出た! というわけで購入。

表紙が律! 来た! ……どうも周囲を見ると澪の人気が根強い気がするのですが、個人的には律派なのでGood。

しかし今回は、仰向けで「にょきっ」と出現する唯がいちばん良かったですね。

関連する話題: マンガ / 買い物 / けいおん!

2009年12月17日(木曜日)

FF13発売

公開: 2009年12月19日11時25分頃

FF13 (www.amazon.co.jp)が本日発売のようで。PS3本体を持っていないので私はスルーしますが。

ちなみにFF7 (www.amazon.co.jp)のときは、PS本体を持っていなかったのでスルー。……と思ったのですが、発売後1週間くらいで耐えきれずにPS本体ごと購入してしまいました。

そしてFF10 (www.amazon.co.jp)のときは、PS2本体を持っていなかったのでスルー。……と思ったのですが、発売後1週間くらいで耐えきれずにPS2本体ごと購入してしまいました。

FF13はスルーで。

関連する話題: ゲーム / FF13

2009年12月16日(水曜日)

New スーパーマリオブラザーズ Wii マルチプレイ

公開: 2009年12月19日10時45分頃

会社にて「New スーパーマリオブラザーズ Wii (www.amazon.co.jp)」のマルチプレイを実施。リモコンが3つしかなかったので、マリオ、ルイージ、あおキノピオで3人プレイすることに。

マルチプレイで難易度は下がるかというと、むしろ上がっている感じがします。「ドッスンの横の1マス分の足場に立つ」なんてのは1人プレイでは苦にならないわけですが、マルチプレイだと全員がそこに立つことはできないわけで。

ただ、ボス戦は楽ですね。もともとボス戦の難易度は高くありませんが……。

関連する話題: ゲーム / wii / マリオ

2009年12月14日(月曜日)

脆弱性に関わる人の立場と目的

公開: 2009年12月19日2時15分頃

Security Wars: エピソード 1 -ハッカーと暗黒面- (technet.microsoft.com)」。弁護士である高橋郁夫さんのコラム。WASFのときに話されていた事とも内容は重なりますね。

暗黒のハッカーは、実際に侵入したとしても、「ファイル等に対して実際に変更を加えなければ、困ることはない。むしろ、その脆弱性を無償で発見して、教えてやっているのだ」とうそぶくであろう。

(~中略~)

しかしながら、社会は、このような言い分を認めるものではない。

(~中略~)

しかしながら、技術者が、「私は、ソフトウェアの安全性の調査をしている○○といいますが、あなたの会社のこのソフトウェアについては、このような脆弱性があります」と開発者に伝えたしても、真剣にとりあげてくれるとは限らない。話として聞いてもらえたとしても、脆弱性としては、脅威の程度はたいしたことがないので、パッチは開発しませんとか、次のバージョンアップで対応しますといわれるのにすぎない場合も多い。場合によっては、脆弱性を発見したとかいってまるで脅迫でもするのですかなどとクレーマー扱いされないとも限らない。また、脆弱性情報の発見が、社会的に極めて重要な意味をもつものだとしても、その発見にいたるまでの労力に対して適切な評価、とくに経済的な評価がなされているのかという問題もあるであろう。

このような状況のもとで、技術者は、脆弱性情報を悪用して、実際に侵入して、みずからの技量を証明しようとする自己顕示欲の罠、脆弱性情報を第三者に売却等して経済的な利益を得ようとする経済的貪欲の罠などに陥る危険性に直面することになるのである。

脆弱性に関わる人の目的は実は様々なのですよね。ここで言う「目的」とは、誰を守るのか、誰の利益を優先するのかという立場の違いです。

そして中には、以下のようなことを考える人もいるでしょう。

これらのうちどれを目的とするのか、しないのか、複数あるうちのどれを優先するのか……は人それぞれで、その目的によって最適な手段は異なります。たとえば、野次馬を喜ばせることが最優先の目的ならば、ゼロデイ公開という手段がマッチすることもあるでしょう。

もっとも、必ずしも目的にマッチした手段を選択できるとは限らないわけですが……。

関連する話題: セキュリティ

2009年12月12日(土曜日)

CSRF対策は基本?

更新: 2009年12月19日1時55分頃

URL踏むと「こんにちは こんにちは!!」 AmebaなうのCSRF脆弱性で“意図しない投稿”広がる (www.itmedia.co.jp)」だそうで。

コミュニティーサイト構築に詳しい専門家は、「CSRF対策は基本的なところ。Amebaなうが対策していなかったのは意外だ」と話している。

「CSRF対策は基本的なところ」と言われると、発見も対処も容易であるような印象を受けますが、これは少し違和感がありますね。

半年ほど前の話ですが、弊社 (www.b-architects.com)のクライアントが新規のECサイトを立ち上げるにあたって脆弱性診断をしようという話になり、外部の会社に見積もり依頼をしたことがあります。その際、業界では知らない人がいないような大手会社の診断メニューも見せていただきました。

そこで印象的だったのは、標準とされるプランにCSRFの診断が含まれていなかったことです。標準のコースにはXSSSQLインジェクションの診断が含まれますが、CSRFは「アドバンスド」プランの方にしか含まれていませんでした。普通のサイトではXSSやSQLインジェクションといった「基本的な」問題を検査するけれどもCSRFは検査せず、より高度なセキュリティが求められる場合に初めて検査するというプラン構成だということです。

つまり、CSRFへの対策は、大手診断会社の標準コースには含まれないような要素であるわけです。

もっとも、CSRFが標準プランに含まれないのは、これがかなり厄介な問題だからという面もあるでしょう。XSSやSQLインジェクションと比較すると、以下のような問題点があります。

修正ではなく対策が必要

XSSやSQLインジェクションなどは単純なバグが原因で発生するものです。指摘された場合、修正の方法について議論する必要もなく、ただバグを修正すれば良いだけです (たまに、変な修正の仕方をする人もいますが……)。

それに対し、CSRFはバグが原因ではありません。設計段階から意識的にCSRFに対応する必要があり、それが抜けていたのであれば設計から再検討する必要があります。また、対策方法もいろいろあるので、どう対策して良いのかすぐには方針が決められない場合があります。

※個人的には、フレームワークにCSRF対策の機能があればそれを使用し、無ければ「高木方式 (takagi-hiromitsu.jp)」で良いとは思うのですが……。

対策が必要かどうか判断が必要

XSSやSQLインジェクションなどは、サイトのどこにあっても危険です。例外もないわけではありませんが、特殊な場合だけでしょう (たとえば、phpMyAdminのようなアプリケーションでは管理者が任意のSQLを実行できるようになっている必要があります)。ほぼ一律に脆弱性とみなせますし、一律で対応すれば良いことになります。

しかしCSRFについては、そもそもそれが脆弱性なのかどうかを判断する必要があります。第三者の用意したフォームからPOSTできるとしても、それだけでは脆弱性とはみなせません。以下のような点を考慮して検討する必要があります。

  • 副作用が生じるのかどうか。副作用がない(サーバ側の状態を一切変更しない)場合は問題ありません。たとえば、検索結果を表示したり、確認画面を表示したりするだけの動作であれば問題ないということになります。
  • 発生する副作用が有害なものであるかどうか。たとえば、買い物かごに商品を追加する機能がCSRFで攻撃されても、決済が完了できなければ問題ないという考え方もあり得るでしょう (次に利用者が決済しようとしたときに気付くため、被害につながらない)。
発見するのが面倒

一般的なXSSやSQLインジェクションについては、特定の文字をフォームやURLに入れるだけで発見したり、存在を推定したりすることが可能です。そのため、「うっかり」発見されて届け出られるケースも多くなります。

それに対して、CSRFを発見するのはけっこう面倒です。ログインした後でフォームを利用してみてパラメータを見たり、パラメータを変更した状態でPOSTしてみて動作を見る必要があります。しかも、フォームのPOSTでどのような副作用が生じるのか、外部からは簡単に判断できない場合もあります。

脆弱性であるかどうかについては前述のような判断も必要になりますので、機械的なチェックが難しいという問題もあるでしょう。

※余談ですが、情報セキュリティ早期警戒パートナーシップの統計ではCSRFの届出はかなり少ないようで、もはや「その他」扱いです。これは対策が進んでいるためではなく、単に「うっかり」発見されるケースが希だからなのではないかと思います。CSRFの発見にはログインが必要な上に、確認が実に面倒です。私もCSRFの届出は数件しかしていませんが、これは「うっかり」発見する確率が低いだけだと思います。

「基本的」と言われると簡単に対処できそうな印象を受けますが、CSRFは、他の「基本的な」脆弱性と比較すると、発見するのも対応するのも面倒です。実はけっこう厄介ですし、意識的に取り組んで行かなければならない問題だと思うのですよね。

※追記: 対策しなくて良いとか、対策しないのが当然だと言っているわけではありません。むしろ「侮るべからず」ということです。注意してほしいと思うのは、発注側がCSRFへの対策を必要としている場合、要件に明確に含めないと対策が行われない可能性があるということです。

関連する話題: セキュリティ / CSRF

2009年12月9日(水曜日)

New スーパーマリオブラザーズ Wii コンプリート

公開: 2009年12月17日22時55分頃

New スーパーマリオブラザーズ Wii (www.amazon.co.jp)」、やっとこ9-7のスターコインを回収してスターコイン231枚をコンプリート。

DS版ではコンプリートしたかどうか分かりにくかったのですが、今作ではちゃんと「New スーパーマリオブラザーズ Wiiをコンプリートしました」と表示される親切設計。コンプリートすると星5つになるようですね。

関連する話題: ゲーム / wii / マリオ

2009年12月8日(火曜日)

New スーパーマリオブラザーズ Wii ワールド9

公開: 2009年12月17日15時45分頃

New スーパーマリオブラザーズ Wii (www.amazon.co.jp)」、ワールド9を攻略。

さすがに難しい……。といっても、「これ無理ゲー」と思わせる感じではなく、「簡単にクリアできそうなのになかなかクリアできない」と感じます。このあたりのバランス調整は絶妙ですね。

しかし9-7が。他はスターコインコンプリートしたものの、9-7が。社長が訊く『New スーパーマリオブラザーズ Wii』 (www.nintendo.co.jp)で言っている「容赦しないコース」というのは、9-7のことなのでしょうね。

関連する話題: ゲーム / wii / マリオ

2009年12月7日(月曜日)

New スーパーマリオブラザーズ Wii クリア

公開: 2009年12月17日14時5分頃

New スーパーマリオブラザーズ Wii (www.amazon.co.jp)」、とりあえずクリア。

今回はクッパが大変なことに……。

クリアしたらワールド9が出現。また、セーブデータに星が3つつきました。スターコインを全部集めてから次のワールドへ行く方針だったので、クリアと同時にワールド8までの全コースクリア、スターコイン全コンプリートを達成しています。

関連する話題: ゲーム / wii / マリオ

2009年12月4日(金曜日)

New スーパーマリオブラザーズ Wii その2

公開: 2009年12月15日22時35分頃

New スーパーマリオブラザーズ Wii (www.amazon.co.jp)」、ワールド2まで一通りクリア。

2-3の時点で残機80機を超えていたのですが、ゴール直前であからさまな階段+ノコノコの組み合わせと遭遇。吸い寄せられるように階段に密着し、ノコノコが2段上に来た瞬間にジャンプして無限増殖成功。初代スーパーマリオと同じタイミングで行けるのですね……。

で、残機99にしてクリアしたら、マリオの帽子が消滅しました。マップ上でも無帽ですし、コースに入っても無帽。どうも、残機99になると見た目が変わるという小技のようですが……マリオ64 (www.amazon.co.jp)ではマリオの帽子が無くなると防御力ダウンなので、なんだか落ち着かない感じがしてしまいますね。

関連する話題: ゲーム / wii / マリオ

2009年12月3日(木曜日)

New スーパーマリオブラザーズ Wii

公開: 2009年12月13日16時5分頃

New スーパーマリオブラザーズ Wii (www.amazon.co.jp)」発売!

ということで買いに行きましたが、ビックカメラ新宿西口店では「全レジでマリオが買える」という謎の布陣になっていたり。行列阻止? ともあれ購入して、ひとまずワールド1の全コース・スターコインを制覇。

関連する話題: ゲーム / wii / マリオ

最近の日記

関わった本など