2018年9月28日にさくらインターネットの本社（大阪市北区）で、「【徳丸浩と学ぶビジネスセミナー】WordPressにおけるセキュリティと構築ノウハウを学ぶ」を受講してきました。

WordPressについてなんらかの形で関わっている人であれば、避けて通ることはできないと思いましたので、気が付いたことをTwitterでツイートを投稿しました。投稿にはすべて” #KUSANAGI #さくらのイベント”のハッシュタグをつけております。

3部で構成したツイートのみかた

今回のセミナーは主に3つの内容で構成されていました。

• 1.徳丸先生のお話 第一部（Webアプリケーション脆弱性の事例紹介）
• 2.徳丸先生のお話 第二部（WorrPressのセキュリティに関する対策と考え方）
• 3.プライム・ストラテジーさんのお話（KUSANAGIの有用性）

そういえば「徳丸本第2版」まだ買ってなかった。帰りにヨドバシ梅田の書籍コーナーに行こう。#KUSANAGI #さくらのイベントhttps://t.co/MKIPqgUkYH

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

なお一連のツイートは個人的な速記録です。各ツイートの解釈については「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践」と合わせてご確認いただければ幸いです。

1.徳丸先生のお話 第一部

徳丸先生のお話が始まりました！#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

Webサイトへの侵入経路は2種類しかない#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

– 管理用ツール（認証）の突破
– ソフトウェアの脆弱性を悪用される（基盤ソフトウェア→PHP・Apcheなど→既知の脆弱性、アプリケーションの脆弱性→カスタムアプリケーション→未知の脆弱性）
– ただしDoS攻撃は例外未知の脆弱性については手口を研究する#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

WordPressの侵入経路
管理用ツールの認証を突破される（WordPressのパスワード）
– OS/Apache
– PHP
– プラグイン
など#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

Shell Shock CVE-2014-6271によるリモートスクリプト実行。デモでバックドアを確認。Linuxの画面にログインできるようになる#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

/var/logに入って攻撃対象の在りかが分かってしまう。#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

PHPの脆弱性をデモ。WebShellを設置するコマンドを実行する#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

シンボリックリンク攻撃性に対する脆弱性について。とあるホスティング事業者のWordPressサイトが大量にやられた#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

adminerhttps://t.co/oRXu4GqGeh#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

レンタルサーバーにおいて「悪い人」が第三者のwp-config.phpに拡張子.txtを使ってシンボリックリンクをはる。#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

WordPress本体の脆弱性について→「あまりエグい脆弱性はない」#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

Adminerを設置する Qiitahttps://t.co/v9OTG8BZLZ#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

WordPressプラグインの脆弱性について→脆弱性のチェックがなされなくても公式に上がる#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

ウェルカートでオブジェクトインジェクション脆弱性のデモ（クレジットカードの情報を盗む）。シリアライズとデシリアライズ。デシリアライズする際にcookieなどを挿入するとオブジェクトのデータが変わる。安全でないでシリアライゼーション#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

ウェルカートでオブジェクトインジェクション脆弱性のデモ。クレジットカードの情報を盗む→盗んだクレジットカード情報がよそのサイトに転送されるデモ。#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

徳丸先生のお話、第一部終わりました！#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

2.徳丸先生のお話 第二部

徳丸先生のお話、第二部「対策の考え方」始まりました！#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

サイト企画・制作・運用の各フェーズで必要な対策。#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

どんなサーバーを借りたらよいか？
IaaS/VPS/オンプレ→すべての対策 Paas/レンサバ→インフラの面倒を見てくれる　SaaS→パスワード管理だけをしっかりと#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

LinuxディストリビューションやPHPの導入方法→CentOS上の標準PHPを使う。KUSANAGIを使う#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

テーマやプラグインの選定について。どのプラグインが安全かどうか判断は難しいが、脆弱性に対してきちんとして公表しているかどうかが大切。#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

脆弱性が修正できず公開停止となるプラグインがあるので、代替案を持っておくとよい。プラグインの選定は早めに。#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

IPAの「安全なウェブサイトの作り方」は必ず読むhttps://t.co/skq9jktSnZ#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

WordPress APIのセキュリティ機能をよく理解してプラグインを作る#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

SQLインジェクションは絶対だめ！#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

パーミッション（書き込み権限）を可能な限り制限しておく。書き込み権限が必要な時のみ制限を緩くする#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

とにかくパスワード！（ユーザー名は分かっちゃうので）
よそで使っていないもの←【重要】#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

Adovanced Automatic Update#KUSANAGI #さくらのイベントhttps://t.co/AiC55azAxe

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

パスワードをしっかりと
パッチ適用またはバージョンアップ#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

Google Authenticator　二段階認証プラグインhttps://t.co/goPvU48ozw#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

Webサイト公開前に脆弱性診断を実施する（自社 or 専門家）#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

WAFの活用#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

Site Guard Liteは自分も使ってますwhttps://t.co/t02Q3CbQNg#KUSANAGI #さくらのイベント #さくらのVPS

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

3.プライム・ストラテジーさんのお話

プライム・ストラテジーさんのお話が始まりました。#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

金沢大学・読売新聞社・メルセデス・ベンツ#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

https://t.co/ecsNdnAvPA#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

WordPressの高速化について。#KUSANAGI #さくらのイベント #さくらのVPS

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

WordPressの高速化→サーバーサイドでの高速化とフロントエンドの高速化。 #KUSANAGI さんはサーバーサイドの高速化が得意。#さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

サーバーからアプリケーションまで面倒を見てくれる。https://t.co/CVQLOmvGXR#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

さくらのVPSニュースhttps://t.co/5ZkjnVScck#KUSANAGI #さくらのイベント

— えちぜんや よーた@2018年は目指せ懸垂5回 (@echizenya_yota) September 28, 2018

ツイートは以上です。なんらかの形でWordPressに関わる方の気づきになれば幸いです。徳丸先生、プライム・ストラテジーさん、さくらインターネットさん、ありがとうございました！

「第2版」を使って学習します！

セミナーが終わったあとすぐにヨドバシカメラ梅田の書籍コーナーで「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践」を買ってきました。一連のツイートと照合しながら精読をしたいと思います。