2009年12月
2009年12月29日(火曜日)
FF13 クリア
公開: 2009年12月31日23時55分頃
FF13 (www.amazon.co.jp)
11章は本当に面白くて、ここから本番……と思っていたら、あっさり終わってしまいました……。
終盤に近付くにつれてどんどん面白くなってくるのですが、序盤が異様に長いのがしんどいです。全13章なのですが、FF7のミッドガル脱出に相当するのがなんと11章です。FF7と対応させるとこんな感じ。
- 初心者の館 …… 1~2章
- ミッドガル …… 3~10章
- ミッドガル脱出、フィールドへ …… 11章
- ミッドガル再突入 …… 12章
- ラストダンジョン …… 13章
こうして見ても、やはり序盤が長すぎです。11章以降にもっとボリュームを持たせて欲しかったと思います。
※うっかり序盤を作り込みすぎてしまって、捨てるに捨てられなくなってしまったのでしょうか……?
ラスボスを倒すとクリスタリウムのレベルが上がり、エンディング後にセーブできます。再開すると13章、ラスボス前のセーブポイントからになりますが、ここからフィールドに戻ることもできるようになっていて、亀狩りに挑戦したりできるようです。
ただ、ストーリーがイマイチ理解できていなかったような気がするので、もう一度最初からやり直そうかなと。
- 「FF13 クリア」にコメントを書く
2009年12月27日(日曜日)
FF13 伝説の11章へ
公開: 2009年12月31日23時35分頃
FF13 (www.amazon.co.jp)
フィールドですね……。取説38ページの「フィールド編」に書かれている「冥碑の結界」「テレポの冥碑」「チョコボでお宝探し」は、全て11章で初登場。11章になって初めてフィールドに出たわけですね。つまり、FF7で言う「ミッドガル脱出」が11章に相当するということです。FF7でもミッドガルは引っ張りすぎだろうと思っていましたが、これはいくら何でも遅すぎなのでは……。
しかし、引っ張っただけあって(?)、11章のフィールドは物凄いです。美しい景色が遠くの方までがはっきり見えていて、ちゃんと歩いていけるという。空を竜が舞っていたり遠くの方を巨大な亀が歩いていたりするのですが、それらもただの背景ではなく、近付くと襲ってくるのですよね。大平原を探検するだけでも楽しめます。
ミッションが受けられるようになったり、チョコボに乗れるようになったり、武器の改造素材が一通り店に出たりと、ここでようやく一通りのことができるようになります。ここからが本番という感じですが……。
※でも、全13章中の11章まで来ているのですよね。
2009年12月26日(土曜日)
ムダヅモ無き改革3
公開: 2009年12月31日21時45分頃
購入。
- ムダヅモ無き改革 3 (www.amazon.co.jp)
なんだか、あからさまにドラゴンボール化してきましたね。スカウターで麻雀力を測定したり。
イカサマは死らしいですが、2巻のメンゲレの轟盲牌 (ってよく考えるともはや盲牌ではありませんが)、あれは観測班にばれていなかったのでしょうか……。
2009年12月25日(金曜日)
FF13 その2
公開: 2009年12月28日22時50分頃
FF13 (www.amazon.co.jp)
オーディン戦で何度も死んで、さすがにボスがきつくなってきたなぁと思っていたら、7章あたりからザコ戦の難易度まで上がってきました。大型ザコの「ガトリングガン」を喰らったら、HP満タンの状態から即死。プロテスをかけるか、ロールをディフェンダーにするかしないと耐えられないようです。リーダーが死ぬとゲームオーバーなのでつらいですね。
もっとも、今作ではゲームオーバーになってもセーブしたところまで戻されたりはせず、直前からリスタートできます。オプティマを組み直してリトライするとあっさり勝てたりするので、そうやって試行錯誤しながら進んで行く想定なのでしょう。
9章でようやくメンバー6人が揃い、パーティーメンバーを自由に編成できるようになりました。これで戦術の幅がさらに広がる……のですが、メンバーを変えるとオプティマを設定し直すのが面倒なので、主要メンバーは固定化しそうですね。10章から全ロールが解放されましたが、得意ロール以外を伸ばそうとするとコストパフォーマンスが悪いので、苦手なロールは後回しにした方が良いみたい。
2009年12月23日(水曜日)
FF13の序盤がつらい理由
公開: 2009年12月25日15時55分頃
FF13 (www.amazon.co.jp)
正直なところ、序盤はちょっとつらかったですね。最初は映像の凄さに感動するのですが、その感動の持続時間はせいぜい30分くらいです。映像に慣れてしまうと、「戦闘がつらい」と感じるようになりました。ちまたでは「○ボタン連打ゲー」などと揶揄されているようですが、序盤は実際その通りです。いや、たまにポーションも使いましたけど。
ただ、これには理由があります。
ふつう、コンピュータRPGの戦闘では、キャラクターに対して行動を細かく命令して (コマンド入力して) 戦うことになります。FF13の場合も、リーダーとなっているキャラクターのコマンド選択をすることができます。が、FF13の戦闘はテンポが速く、コマンド入力中も時間は止まらないため、いちいちコマンド入力していられません。「○」ボタンを連打すればセミオートでコマンドが選ばれるようになっているので、とりあえず連打して戦闘を進める感じになります。
というわけで、テンポが速すぎるのが「戦闘がつらい」原因……と一時は思いました。が、違いました。
「○ボタン連打ゲー」なのは事実ですが、これはあくまで序盤、2章までの話です。3章になると魔法が使えるようになり、同時に「オプティマ」と呼ばれる戦闘ロールの変更機能が解禁されます。これ以降の戦闘では、「事前にどのようなオプティマを設定しておくか」「どのタイミングでどのオプティマを使用するか」という点が重大なポイントになってきます。戦闘が始まったら、リーダーの行動を決めつつ、刻々と変化する味方や敵の状態に注視し、ここぞというタイミングでL1を押して「オプティマ」を変更します。そういうゲームなので、そもそもリーダーに対するコマンド入力はテキトーで良いのです。
※FF13の戦闘は、どちらかというと「リアルタイムストラテジー」と呼ばれるジャンルに近いものがあるかもしれません。
つまり、この「オプティマ」こそがFF13の戦闘システムの中核なのです。2章までの戦闘は、本格的な戦闘が始まる前のトレーニングに過ぎなかったのです。
これはある意味、ドラクエ2に似ているのかもしれません。ローレシアの王子一人の状態では、「たたかう」と「やくそう」しかありません。この状態で「なんだこいつ呪文も使えないのか、ドラクエ1より劣化しているじゃないか」と感じたとしても、間違いというわけではないでしょうけれど、それで投げ出してしまったらもったいないと思います。
ただ、FF13の序盤にはもう一つ深刻な問題があります。ローレシアの王子一人で延々敵を倒し続けても、それはそれで楽しい……という人もいるでしょう。それは何故かというと、戦っているうちにレベルが上がったり、お金が貯まったりして強くなっていくのが実感できるからです。RPGの醍醐味は、なんといってもキャラクターの成長です。しかし恐ろしいことに、FF13の序盤はキャラクターの成長が全くないのですね。2章まではいくら敵を倒しても成長しません。そのせいで戦闘が苦痛になってきます。キャラクター成長システムの「クリスタリウム」が解禁されるのが、これまた3章です。
ですから、3章からゲーム開始と思った方が良いと思います。要するに、序盤のチュートリアルの期間が非常に長いのですね。実際、これでもかと言うほど丁寧に「チュートリアル」が出ます。FF13の戦闘や成長のシステムはけっこう複雑なので、チュートリアルに時間をかけて、複雑なシステムをスムーズに学べるようにしている……ということなのだと思います。
これを「長すぎ」と感じるかどうかは人それぞれでしょう。私は「長すぎ」と感じましたが。:-)
※しかし、「アンリミテッド:サガ (www.amazon.co.jp)
3章からは面白くなってきます。噂では11章以降が本番らしいので、先に行けば行くほど楽しみが増える、ということなのではないかと思います。
以下、諸々思ったことをざっくりと。
- 映像すごすぎて笑いました。
- そのクオリティのまま、HPの表示が現れて戦闘に突入。プリレンダじゃないんだぜ、と言わんばかり。
- 映像はすごいのですが、ここまですごいと逆にちょっと不自然なところが気になります (不気味の谷)。身体が密着する表現が難しいのか、抱き合っているのに隙間が空いているように見えたりとか。
- 独創的な用語は最初きつく感じるかも。「パルスのファルシのルシ」とか言われても。まあ、すぐ慣れますが。
- ヴァニラの武器が謎すぎる。最初からATBゲージが3本あるので強いですけど。そしてこの強さも伏線なのですけど。
- みんなこぞって武器を折りたたむ。折りたたみが好きなのでしょうか? 何故か槍だけは折りたたまない (拳銃と素手は折りたたみようがないから良いとして)。
- 全体的にムービー長い。「ここまでをセーブしますか?」→長いムービー→「ここまでをセーブしますか?」とか、親切なんだけど笑ってしまう。
- セーブポイントはかなりこまめに存在する。親切。
- ショップはWebっぽい雰囲気。実際、リアル店舗のほうが希という世界設定の模様。
- 改造も謎が多い。生体系の素材は「低経験値・経験値倍率アップ効果」、ジャンクは「高経験値・経験値倍率ダウン効果」みたい。
- ダメージの数値が見づらいです。色が見づらい、フォントが見づらい、出方が見づらいの三重苦。ぱっと出れば良いのに。しかし、ぱっと出たとしても、多段攻撃が多かったりしてふつうに重なってしまって読めない……。まあ、ゲージがあるので、ゲージを見てアナログに確認しろということでしょう。細かく数字を見るゲームではない。
- 「ストーリーが一本道なのは覚悟していたが、マップも一本道だった」……は、序盤に関してはほぼ事実。脇道に逸れるとトレジャーが置いてあったりはします。ヴァニラ曰く、「わかりやすい道だねぇ」。
- 画面右上に常にマップが表示されていますし、メニューからはさらに広域なエリアマップを確認できるので、迷う要素はあまりないと思います。
- セーブデータをローディングするとき、これまでのストーリーが出る。これはうまいやり方かも。
2009年12月22日(火曜日)
PS3買った
公開: 2009年12月24日18時25分頃
PS3本体 (www.amazon.co.jp)
とりあえずPS3の感想。
画質
画質良すぎておかしい。比喩ではなく笑ってしまいました。PS2でもかなり高画質が得られていたように感じていましたが、比べものにならないですね。FF13の動画はテレビCMやネット上で見たりしていましたが、全く比較にならない画質。
ちなみに、ケーブルはPS2で使っていたD4端子ケーブルをそのまま使い回しています (ケーブルはPS2と互換性がある)。テレビ側は1080i/720p。いわゆるフルHDで1080p対応のものなら、もっと高画質になるのでしょうか……。
大きさ
嵩張ることを覚悟していましたが、そこまで大きくはありませんでした。ただし当然ですが、薄型PS2と比較すると巨大です。
思ったより奥行きがあって、上から見ると正方形に近いフォルムになります (横置きの場合)。
※実はこのサーバのすぐ隣に配置されていて、間隔が1cmも空いていません。PS3が派手に発熱すると、bakera.jpが残念なことになる可能性もなきにしもあらず。
コントローラ
形状はPS2とほぼ一緒です。USB接続になり、中央に謎のPSボタンが追加されていますが、他はほぼ同じなので違和感はありません。
ただ、付属のUSBケーブルがやや短いのが気になりました。ワイヤレスで使えるらしいのですが、充電が完了しているのかどうかが良く分からないのです……。
音
ファンレスではないので音がするはずですが、騒音は今のところ気になっていません。新型は静音化されたそうなので、その成果でしょうか。
ただし、ディスク読み込み時は音がします。
箱
箱の段ボールの縁が固くてギザギザしていて、擦れるととっても痛いのです。気をつけましょう。
FF13、謎の「緊急入荷」
公開: 2009年12月24日15時30分頃
ビックカメラ新宿西口店では売り切れだったPS3本体 (www.amazon.co.jp)
すると、なんと「FF13緊急入荷」という表示が。緊急入荷というからには、いったんは売り切れたということなのでしょうか? ライトニングエディション (www.amazon.co.jp)
※ちなみにPS3本体の在庫状況はよく分からなかったので、レジで「PS3本体ありますか?」と訊いてみたところ、すぐに出てきました。
2009年12月21日(月曜日)
PS3が売り切れ
公開: 2009年12月22日10時10分頃
なんとなくビックカメラ新宿西口店に寄ってみたら、PS3本体 (www.amazon.co.jp)
※当然、ライトニングエディション (www.amazon.co.jp)
鳥人
公開: 2009年12月22日10時5分頃
「M-1」にネットわく Wikipedia「鳥人」編集合戦、pixivにイラスト続々 (www.itmedia.co.jp)。
確かに、今回のM-1では
※どうでもいいのですが、鳥人BOTの背景が鳥人計画 (www.amazon.co.jp)
関連する話題: 与太話
2009年12月19日(土曜日)
ジェダイ毛布
公開: 2024年5月8日23時5分頃
最近ちまたで「ジェダイ毛布」というのが流行っているそうで。……これですか: 「NuKME (ヌックミィ) フリースガウンケット_モカブラウン (www.amazon.co.jp)
関連する話題: 与太話
7&Yネットショッピングのソースコード、ディレクトリトラバーサルで流出?
公開: 2024年5月8日17時30分頃
「7&Yのネットショッピングサイトのソースコード、公開サーバー内の「.svn」ディレクトリより流出? (slashdot.jp)」だそうで。また丸見え系か……と思って読んでいたら、どうも単なる丸見えではなくて、ディレクトリトラバーサルで抜かれてしまったようですね。
URLに含まれる%c0%aeが'.'の冗長なUTF8表現で、/../と解釈される。
bks.svlとesi.svlに脆弱性があり、本来読むべきディレクトリより上の階層のファイルが参照された結果こうなったと思われる。
以上、冗長なUTF8によるディレクトリトラバーサル より
問題の発端は.svnとかのディレクトリ残してた事じゃなくてTomcatのディレクトリトラバーサルの脆弱性じゃないの?
それで見えるファイル一覧の中に.svnディレクトリとかが有ったって話だと思う。
以上、なんか誰も書いてないけど より
そういえば、そんな問題がありましたね。CVE-2008-2938 (cve.mitre.org)ですか (日本語参考: JVNDB-2008-001611 (jvndb.jvn.jp)。「Apache-Tomcatと冗長なUTF-8表現(CVE-2008-2938検証レポート) (www.icto.jp)」というPDF文書も公開されています)。
7&YネットショッピングではApache Tomcat/4.1.29が使われているようですが、Apache Tomcat 4.x vulnerabilities (tomcat.apache.org)を見ると、本件は "Not a vulnerability in Tomcat" となっています。
Originally reported as a Tomcat vulnerability the root cause of this issue is that the JVM does not correctly decode UTF-8 encoded URLs to UTF-8.
(~中略~)
Although the root cause was quickly identified as a JVM issue and that it affected multiple JVMs from multiple vendors, it was decided to report this as a Tomcat vulnerability until such time as the JVM vendors provided updates to resolve this issue. For further information on the status of this issue for your JVM, contact your JVM vendor.
A workaround was implemented in revision 681065 that protects against this and any similar character encoding issues that may still exist in the JVM. This work around is included in Tomcat 4.1.39 onwards.
超訳すると、「Tomcatが悪いのではなく、JavaのVMが正しくデコードしないのが悪いのだが、Tomcat4.1.39では回避策を講じた」という話のようですね。
というわけで、少なくとも4.1.39以降にしておけば、ソースコードを見られることはなかったものと考えられます。セブンネットショッピングは新しいサービスなのかと思っていましたが、古いミドルウェアを使い続けなければならない事情があったのでしょうか?
関連する話題: セキュリティ
ゲームセンターCX DVD-BOX6
公開: 2009年12月19日15時20分頃
購入。
- ゲームセンターCX DVD-BOX6 (www.amazon.co.jp)
昨日から今日にかけて一気に見てしまいました。
今回の挑戦は、私がプレイしたことのないゲームばかりでしたね。かろうじて、特典の「イー・アル・カンフー」はプレイしたことがありましたが……「仮面の忍者 花丸」に至っては、名前すら知りませんでした。
一番面白かったのは、特典映像のパート2。ラスボス第2形態で苦戦し、ラスト1機となったところで、なんとカメラマンの阿部さんが安地を予言、実際にやってみると本当に安地だったというスーパープレイ(?)で見事にクリア。これは笑いました。
2009年12月18日(金曜日)
CSRFの評価とCVSS現状値
公開: 2009年12月19日14時10分頃
Amebaスタッフブログに「Amebaのセキュリティ対策について (ameblo.jp)」という文章が出ていますね。
弊社では新規サービスの開発時はリリース前に、既存サービスは定期的に、外部セキュリティ監査会社による調査を必ず実施しております。
調査報告は深刻度別に分類され、これまでユーザーの皆様のデータ漏洩や破壊につながる可能性がある部分については即時の対応を、それ以外の部分については一定期間内での対応実施を徹底して参りました。
現在、昨今の事情を鑑み、影響の大きな部分については優先度を最上級にし、緊急対応を行っております。
はっきりとは書かれていませんが、AmebaなうのCSRFの問題の話であるように思えます。たぶんこういうことですね。
- セキュリティ監査会社による調査を実施している。
- 報告された脆弱性は深刻度によって分類し、即時対応するもの、そのうち対応するもの、などに分けている。
- CSRFも報告されていたが、深刻度が低く設定されていて優先度が低く、未対応だった。
- が、昨今の事情を鑑みて優先度を最高に変更した。
脆弱性の深刻度評価というのは重要です。新規サービスのリリース前に脆弱性診断が行われる場合、バグだらけでまともに動作しないものを診断しても得られるものは少ないわけですから、完成間近のタイミングで実施されることが多くなります。
普通のプロジェクトでは、サービス完成からリリースまでにテストと修正の期間を十分に設けているから大丈夫です……と言いたいところですが、それはプロジェクトが平穏無事に進行していた場合の話です。進行が遅れて「祭り」とか「修羅場」とか称される状態になっているような場合、報告された脆弱性の全てをリリース前に修正することが難しくなってきます。サービスのリリース時期は経営上の事情によって決まっている事が多く、簡単には動かせません。
そういう場合、「リリースまでに報告された全ての脆弱性を修正することは不可能なので、ひとまず優先度の高いものだけ修正する」という話になります。Amebaなうでも同じような状況で、CSRFへの対応は後回しになっていたのでしょう。
では、一般的にCSRFの深刻度はどの程度と評価されているのでしょうか。情報セキュリティ早期警戒パートナーシップでは、ソフトウェア製品の脆弱性について、CVSS (www.ipa.go.jp)による深刻度評価が行われています。JVN iPediaでCSRFを検索 (jvndb.jvn.jp)してみると、CSRFのCVSS基本値は2.6~9.3とバラバラであることが分かります。
たとえば、「JVNDB-2009-001002 xterm における DECRQSS エスケープシーケンスの処理に関するクロスサイトリクエストフォージェリの脆弱性 (jvndb.jvn.jp)」は、サーバに対して任意のコマンドが実行されるというもので、CVSS基本値は実に9.3(緊急)、きわめて高い危険性があると評価されています。それに対し、「JVNDB-2005-000789 ハイパー日記システムにおけるクロスサイト・リクエスト・フォージェリの脆弱性 (jvndb.jvn.jp)」では、CVSS基本値は2.6(注意)です。日記が改竄されても管理者が元に戻せますし、秘密情報が流出することもないためです。
Amebaなうはソフトウェア製品ではないので同列には評価できませんが、CVSS基本値の評価を当てはめてみると、以下のようになるかと思います。
- 攻撃元区分 (Access Vector) : ネットワーク …… ネットワーク経由での攻撃が可能。
- 攻撃条件の複雑さ (Access Complexity) : 中 …… 攻撃が成立するためには、ターゲットがログイン済みの状態で罠URLにアクセスさせることが必要です。また、攻撃前にAmebaなうの仕組みをある程度把握しておく必要があります。人によっては「高」と判断するかもしれません。
- 攻撃前の認証要否 (Authentication) : 不要 …… 攻撃者はログイン状態である必要はありません。
- 機密性への影響 (Confidentiality Impact) : なし …… 情報漏洩は特に起こりません (たぶん)。パスワードが変更されたり、情報の公開/非公開設定が変更されたりする場合には、「部分的」という評価になるでしょう。
- 完全性への影響 (Integrity Impact) : 部分的 …… 意図していないつぶやきが勝手に追加されます。これが今回の攻撃の主なインパクトです。ただし、システム全体を改竄できるわけではないので、影響は「部分的」となります。
- 可用性への影響 (Availability Impact) : なし …… この攻撃によってサービスが停止することはないでしょう。
これで計算すると、CVSS基本値は4.3 (jvndb.jvn.jp)となりました。「攻撃条件の複雑さ」を「高」と評価した場合は、2.6となります。これは注意~警告レベルです。他に「緊急」レベルの脆弱性が存在するなら、そちらのほうが優先度が高くてしかるべきでしょう。
ただし、CVSSには「基本値」以外に「現状値」「環境値」という評価基準が用意されています。現状値には「攻撃される可能性 (Exploitability)」という評価があり、攻撃コードが公開されたりすればスコアが高くなります。現状値が変化したために深刻度の総合評価が変化するのは当然で、「昨今の事情を鑑み、影響の大きな部分については優先度を最上級」という対応は妥当でしょう。
※でも、発表がとても分かりにくいです。
けいおん! 3
公開: 2009年12月19日2時30分頃
3巻が出た! というわけで購入。
- けいおん! 3 (www.amazon.co.jp)
表紙が律! 来た! ……どうも周囲を見ると澪の人気が根強い気がするのですが、個人的には律派なのでGood。
しかし今回は、仰向けで「にょきっ」と出現する唯がいちばん良かったですね。
2009年12月17日(木曜日)
FF13発売
公開: 2009年12月19日11時25分頃
FF13 (www.amazon.co.jp)
ちなみにFF7 (www.amazon.co.jp)
そしてFF10 (www.amazon.co.jp)
FF13はスルーで。
2009年12月16日(水曜日)
New スーパーマリオブラザーズ Wii マルチプレイ
公開: 2009年12月19日10時45分頃
会社にて「New スーパーマリオブラザーズ Wii (www.amazon.co.jp)
- 味方同士でも当たり判定があって重なれないため、衝突されたり踏まれたり突き上げられたりが発生。足場が狭いステージだとこれが厳しく、ジャンプ中に空中で衝突して2人とも落下、なんてのもあります。
- 画面スクロールは一番進んでいる人に追従するっぽい。画面から消えてしまった場合、少しなら大丈夫ですが離れすぎると死亡します。一人が突出すると、他のメンバーは大変なことになります。特に、スターを取った人は全力疾走したくなるので……。
- きのこやスターは人数分出るので取り合いにはならない……はずなのですが、他人の分まで取ってしまう場合も。
- 協力することも、邪魔することも可能。最初は協力して進めるのですが、いつのまにか足の引っ張り合いに……というのはマリオブラザーズの頃からあった黄金パターンで、それがまた面白い。
- マリオやルイージは名前で呼ばれるが、キノピオは「きのこ」と呼ばれる。:-)
マルチプレイで難易度は下がるかというと、むしろ上がっている感じがします。「ドッスンの横の1マス分の足場に立つ」なんてのは1人プレイでは苦にならないわけですが、マルチプレイだと全員がそこに立つことはできないわけで。
ただ、ボス戦は楽ですね。もともとボス戦の難易度は高くありませんが……。
2009年12月14日(月曜日)
脆弱性に関わる人の立場と目的
公開: 2009年12月19日2時15分頃
「Security Wars: エピソード 1 -ハッカーと暗黒面- (technet.microsoft.com)」。弁護士である高橋郁夫さんのコラム。WASFのときに話されていた事とも内容は重なりますね。
暗黒のハッカーは、実際に侵入したとしても、「ファイル等に対して実際に変更を加えなければ、困ることはない。むしろ、その脆弱性を無償で発見して、教えてやっているのだ」とうそぶくであろう。
(~中略~)
しかしながら、社会は、このような言い分を認めるものではない。
(~中略~)
しかしながら、技術者が、「私は、ソフトウェアの安全性の調査をしている○○といいますが、あなたの会社のこのソフトウェアについては、このような脆弱性があります」と開発者に伝えたしても、真剣にとりあげてくれるとは限らない。話として聞いてもらえたとしても、脆弱性としては、脅威の程度はたいしたことがないので、パッチは開発しませんとか、次のバージョンアップで対応しますといわれるのにすぎない場合も多い。場合によっては、脆弱性を発見したとかいってまるで脅迫でもするのですかなどとクレーマー扱いされないとも限らない。また、脆弱性情報の発見が、社会的に極めて重要な意味をもつものだとしても、その発見にいたるまでの労力に対して適切な評価、とくに経済的な評価がなされているのかという問題もあるであろう。
このような状況のもとで、技術者は、脆弱性情報を悪用して、実際に侵入して、みずからの技量を証明しようとする自己顕示欲の罠、脆弱性情報を第三者に売却等して経済的な利益を得ようとする経済的貪欲の罠などに陥る危険性に直面することになるのである。
脆弱性に関わる人の目的は実は様々なのですよね。ここで言う「目的」とは、誰を守るのか、誰の利益を優先するのかという立場の違いです。
- サービス利用者の立場 : 現在サービスを利用している利用者が被害を受けないようにすべき。
- セキュリティ業界人の立場 (?) : Webサイト全般の利用者が被害を受けないようにすべき。
- サービス提供者の立場 : サービス提供会社の信頼や売上げを低下させないようにすべき。
そして中には、以下のようなことを考える人もいるでしょう。
- 金銭的な利益を得たい。
- 自らの身の安全を確保したい。
- サービス提供会社が脆弱性の存在を隠したりすることを防ぎたい。
- 野次馬を喜ばせたい。
これらのうちどれを目的とするのか、しないのか、複数あるうちのどれを優先するのか……は人それぞれで、その目的によって最適な手段は異なります。たとえば、野次馬を喜ばせることが最優先の目的ならば、ゼロデイ公開という手段がマッチすることもあるでしょう。
もっとも、必ずしも目的にマッチした手段を選択できるとは限らないわけですが……。
関連する話題: セキュリティ
2009年12月12日(土曜日)
CSRF対策は基本?
更新: 2009年12月19日1時55分頃
「URL踏むと「こんにちは こんにちは!!」 AmebaなうのCSRF脆弱性で“意図しない投稿”広がる (www.itmedia.co.jp)」だそうで。
コミュニティーサイト構築に詳しい専門家は、「CSRF対策は基本的なところ。Amebaなうが対策していなかったのは意外だ」と話している。
「CSRF対策は基本的なところ」と言われると、発見も対処も容易であるような印象を受けますが、これは少し違和感がありますね。
半年ほど前の話ですが、弊社 (www.b-architects.com)のクライアントが新規のECサイトを立ち上げるにあたって脆弱性診断をしようという話になり、外部の会社に見積もり依頼をしたことがあります。その際、業界では知らない人がいないような大手会社の診断メニューも見せていただきました。
そこで印象的だったのは、標準とされるプランにCSRFの診断が含まれていなかったことです。標準のコースにはXSSやSQLインジェクションの診断が含まれますが、CSRFは「アドバンスド」プランの方にしか含まれていませんでした。普通のサイトではXSSやSQLインジェクションといった「基本的な」問題を検査するけれどもCSRFは検査せず、より高度なセキュリティが求められる場合に初めて検査するというプラン構成だということです。
つまり、CSRFへの対策は、大手診断会社の標準コースには含まれないような要素であるわけです。
もっとも、CSRFが標準プランに含まれないのは、これがかなり厄介な問題だからという面もあるでしょう。XSSやSQLインジェクションと比較すると、以下のような問題点があります。
修正ではなく対策が必要
XSSやSQLインジェクションなどは単純なバグが原因で発生するものです。指摘された場合、修正の方法について議論する必要もなく、ただバグを修正すれば良いだけです (たまに、変な修正の仕方をする人もいますが……)。
それに対し、CSRFはバグが原因ではありません。設計段階から意識的にCSRFに対応する必要があり、それが抜けていたのであれば設計から再検討する必要があります。また、対策方法もいろいろあるので、どう対策して良いのかすぐには方針が決められない場合があります。
※個人的には、フレームワークにCSRF対策の機能があればそれを使用し、無ければ「高木方式 (takagi-hiromitsu.jp)」で良いとは思うのですが……。
対策が必要かどうか判断が必要
XSSやSQLインジェクションなどは、サイトのどこにあっても危険です。例外もないわけではありませんが、特殊な場合だけでしょう (たとえば、phpMyAdminのようなアプリケーションでは管理者が任意のSQLを実行できるようになっている必要があります)。ほぼ一律に脆弱性とみなせますし、一律で対応すれば良いことになります。
しかしCSRFについては、そもそもそれが脆弱性なのかどうかを判断する必要があります。第三者の用意したフォームからPOSTできるとしても、それだけでは脆弱性とはみなせません。以下のような点を考慮して検討する必要があります。
- 副作用が生じるのかどうか。副作用がない(サーバ側の状態を一切変更しない)場合は問題ありません。たとえば、検索結果を表示したり、確認画面を表示したりするだけの動作であれば問題ないということになります。
- 発生する副作用が有害なものであるかどうか。たとえば、買い物かごに商品を追加する機能がCSRFで攻撃されても、決済が完了できなければ問題ないという考え方もあり得るでしょう (次に利用者が決済しようとしたときに気付くため、被害につながらない)。
発見するのが面倒
一般的なXSSやSQLインジェクションについては、特定の文字をフォームやURLに入れるだけで発見したり、存在を推定したりすることが可能です。そのため、「うっかり」発見されて届け出られるケースも多くなります。
それに対して、CSRFを発見するのはけっこう面倒です。ログインした後でフォームを利用してみてパラメータを見たり、パラメータを変更した状態でPOSTしてみて動作を見る必要があります。しかも、フォームのPOSTでどのような副作用が生じるのか、外部からは簡単に判断できない場合もあります。
脆弱性であるかどうかについては前述のような判断も必要になりますので、機械的なチェックが難しいという問題もあるでしょう。
※余談ですが、情報セキュリティ早期警戒パートナーシップの統計ではCSRFの届出はかなり少ないようで、もはや「その他」扱いです。これは対策が進んでいるためではなく、単に「うっかり」発見されるケースが希だからなのではないかと思います。CSRFの発見にはログインが必要な上に、確認が実に面倒です。私もCSRFの届出は数件しかしていませんが、これは「うっかり」発見する確率が低いだけだと思います。
「基本的」と言われると簡単に対処できそうな印象を受けますが、CSRFは、他の「基本的な」脆弱性と比較すると、発見するのも対応するのも面倒です。実はけっこう厄介ですし、意識的に取り組んで行かなければならない問題だと思うのですよね。
※追記: 対策しなくて良いとか、対策しないのが当然だと言っているわけではありません。むしろ「侮るべからず」ということです。注意してほしいと思うのは、発注側がCSRFへの対策を必要としている場合、要件に明確に含めないと対策が行われない可能性があるということです。
2009年12月9日(水曜日)
New スーパーマリオブラザーズ Wii コンプリート
公開: 2009年12月17日22時55分頃
「New スーパーマリオブラザーズ Wii (www.amazon.co.jp)
DS版ではコンプリートしたかどうか分かりにくかったのですが、今作ではちゃんと「New スーパーマリオブラザーズ Wiiをコンプリートしました」と表示される親切設計。コンプリートすると星5つになるようですね。
2009年12月8日(火曜日)
New スーパーマリオブラザーズ Wii ワールド9
公開: 2009年12月17日15時45分頃
「New スーパーマリオブラザーズ Wii (www.amazon.co.jp)
さすがに難しい……。といっても、「これ無理ゲー」と思わせる感じではなく、「簡単にクリアできそうなのになかなかクリアできない」と感じます。このあたりのバランス調整は絶妙ですね。
しかし9-7が。他はスターコインコンプリートしたものの、9-7が。社長が訊く『New スーパーマリオブラザーズ Wii』 (www.nintendo.co.jp)で言っている「容赦しないコース」というのは、9-7のことなのでしょうね。
2009年12月7日(月曜日)
New スーパーマリオブラザーズ Wii クリア
公開: 2009年12月17日14時5分頃
「New スーパーマリオブラザーズ Wii (www.amazon.co.jp)
今回はクッパが大変なことに……。
クリアしたらワールド9が出現。また、セーブデータに星が3つつきました。スターコインを全部集めてから次のワールドへ行く方針だったので、クリアと同時にワールド8までの全コースクリア、スターコイン全コンプリートを達成しています。
2009年12月4日(金曜日)
New スーパーマリオブラザーズ Wii その2
公開: 2009年12月15日22時35分頃
「New スーパーマリオブラザーズ Wii (www.amazon.co.jp)
2-3の時点で残機80機を超えていたのですが、ゴール直前であからさまな階段+ノコノコの組み合わせと遭遇。吸い寄せられるように階段に密着し、ノコノコが2段上に来た瞬間にジャンプして無限増殖成功。初代スーパーマリオと同じタイミングで行けるのですね……。
で、残機99にしてクリアしたら、マリオの帽子が消滅しました。マップ上でも無帽ですし、コースに入っても無帽。どうも、残機99になると見た目が変わるという小技のようですが……マリオ64 (www.amazon.co.jp)
2009年12月3日(木曜日)
New スーパーマリオブラザーズ Wii
公開: 2009年12月13日16時5分頃
「New スーパーマリオブラザーズ Wii (www.amazon.co.jp)
ということで買いに行きましたが、ビックカメラ新宿西口店では「全レジでマリオが買える」という謎の布陣になっていたり。行列阻止? ともあれ購入して、ひとまずワールド1の全コース・スターコインを制覇。
- 基本はリモコン横持ち。リモコンを振るとスピンジャンプしたり。
- 8機死ぬとお手本ブロックが出現、ですが1コースで8機も死ぬことはまずないですね……。スターコインにこだわりすぎると死ぬかも。
- 残機どんどん増えますね。特に意図的に増殖したりしていませんし適度に死んでもいますが、ワールド1クリア時点で50機くらい。
- 前(古い): 2009年11月のえび日記
- 次(新しい): 2010年1月のえび日記
