はっすーずツール開発ブログ　#4

はっすーずツールをご利用いただきありがとうございます。

はっすーずツールがどのように開発されているのか、どのような技術が使用されているのかを開発ブログでお伝えしてまいります。

昨今、サイバー攻撃や不正アクセスが多発しており、このはっすーずツールもセキュリティ対策を強化しているところです。

そこで、セキュリティがどのように設定されているのか、そしてどのような攻撃手段があるかについてまとめてみようと思います。

※セキュリティの根幹に関する技術はセキュリティの都合でお伝え出来ません。予めご了承ください。

■ はっすーずツールを支えるセキュリティ

実は、はっすーずツールは静的なウェブサイトのため、基本的なページにはセキュリティ強化は行われておらず、アクセスログをもとに管理されています。

その中で、明示的なセキュリティ対策が行われているページは「お問い合わせ」と「検索」になります。ここは送信や入力ができる機能が備わっている以上、自由に操作させるわけにはいきません。

そこで下記のセキュリティが構築されています。

□ お問い合わせ

お問い合わせページの下部にオレンジ色の雲の表示「Cloudflare」があります。こちらは「Cloudflare Turnstile」というサービスです。このサービスは主に不正な送信処理を防止する目的で使用されています。

「Cloudflare Turnstile」ではアクセスしたユーザーがBotであったり、短期間に複数のアクセスが認められる場合に、フォームの送信自体をブロックする形で荒らし行為の対策がされています。

「Cloudflare Turnstile」の処理では許可のトークンが発行されるまでは処理は無効化されており、ユーザーが正のユーザーであると判断された場合にCloudflareから承認がもらえます。

他にも、内部情報のため詳しくはお伝え出来かねますが、GASフォームが構築されており、内部でAPIを結合するため、第三者が送信用のAPIを勝手に操作することはできない仕様になっています。

□ 検索

検索ではPHPを含めた公開向けサーバーの検索に対応しており、このコードに誤りがあると、本来ブラウザでは確認できないPHP層まで露呈する恐れがあるため厳格に管理されているほか、検索オプトアウトがPHPに内蔵されています。

また、<>をはじめとするスクリプト実行を行うようなコードの挿入行われても内部で無効化される仕様で、不正な処理が検索画面から実行されないように構造化されています。

※本来であればSQL等のデータベースを構築して管理するのですが、はっすーずツールリリース時にその技術を開発者が持ち合わせていなかったため現在の仕様になっています。

□ ほかのページ

ほかのページでは一部APIを使用する場合に限りPHP内包もしくはサーバー内部処理を行う形でAPI乱用による負荷対策を行っています。

■ 意外に多いサイバー攻撃

実は日本では1日500万回以上のサイバー攻撃が発生していると言われています。1秒何十回も発生しています。

□ DoS/DDoS（ドス/ディードス）攻撃

いわゆるF5攻撃（WindowsのブラウザにおいてF5には更新が割り当てられているのですが、連打することでサイトのリクエストを多量することからその別称がある）ですが、実は結構シンプルな攻撃手法です。

DoSは1台のコンピューターから、DDoSは複数のコンピューターやBotを通じて行う違いがあるだけで、かなりのアクセスを行った結果、サーバーが処理しきれずサイトが遅延させたり、停止させる攻撃です。ちなみに、よくインフルエンサー等の影響でショッピングサイトなどがつながりにくくなりますが、本質は一緒です。悪意ある攻撃のことだけをDoS/DDoS攻撃と言います。

□ XSS（クロスサイトスクリプティング）攻撃

こちらは掲示板サイトやSNSなどで悪意あるコードを除外しないことで発生する攻撃です。例えば、入力で

<script>alert("アラート！");</script>

というJavaScriptが挿入されたとします。これをサーバーを介し、ほかの閲覧者がこれを含むデータを読み込むと、アラートが表示されてしまいます。

また、URLに含めることで実行させる手段もあります。URLには?以降にクエリパラメータという任意の文字列を挿入できるのですが、これを使って内部の不正なスクリプトと連携させ、外部に情報を持ち出すという攻撃もあります。

※すべてのクエリパラメータが危険というわけではありません。はっすーずツールでも検索ページにクエリパラメータが使用されています。（https://hassus.stars.ne.jp/search?sort_by=latest&sort_order=desc&mode=all&filter_html=1&filter_pdf=1&filter_php=1&filter_txt=1）

※はっすーずツールははっすーずツールボード以外、第三者による文字入力やクエリパラメータをHTML反映することによって表示やUIが変わるシステムを採用していないため、現状のシステムではほぼXSS攻撃は成立しません。

□ SQL（セスキューエル）インジェクション攻撃

SQLインジェクション攻撃は、サーバーのSQLをフォーム（ログインフォームが攻撃の玄関口となりやすい）にSQL文と言われる記述をすることで、不正ログインやSQLのデータを改ざんしたり削除する攻撃です。

SQL文をそのままSQLに伝えないこと対策が必要となります。

はっすーずツールショートリンクのショートリンク作成やアステルフォームズでも採用されているSQLですが、すべてSQLを直接送り込まないように設計されています。

□ OS（オーエス）コマンドインジェクション

こちら、SQLインジェクションより重大な脆弱性によって生じるのですが、ダメージがサーバー全体となります。

入力処理などを変換する機構に不具合があると、サーバーOSに不正なコードを埋め込まれ、サーバー自体にダメージを与えるものです。

しかし、サーバーのセキュリティ向上や、ファイアウォールの構築により、近年はこの攻撃による被害は減少傾向にあります。

□ 中間者攻撃（MITM（エムアイティーエム））

これは主にHTTPサイト（いわゆるhttp://から始まるサイト）で発生するものです。HTTP/HTTPSの解説はこちらで行っております。

HTTP通信は暗号化されていないため、平文でサーバーとブラウザをデータが移動します。その通信経路を傍受されるとそのままデータを抜かれたり、改ざんされることがあります。

そのためHTTP通信のサイトではフォームの入力やログインは絶対にしないことが大切です。昨今、HTTPS化が進み、HTTP通信のサイトには「安全ではない通信」のような警告が表示されるようになりましたので、わかりやすい状態になったと思われます。

※HTTPS通信下でも中間者攻撃が行われることがありますが、危険性はHTTP通信に比べかなり低いです。

※公共Wi-Fiに接続した際、Wi-Fiのセキュリティに脆弱性があったり、不正なWi-Fiに接続するとHTTPS通信下でも危険にさらされる可能性があります。

暗号化にはSSLを使用し、認証局による暗号化と複合キーが送受信されており、これによって安全性を向上させています。

※はっすーずツールはサイトからAPIすべてがHTTPS通信になっております。

□ フィッシング

「フィッシング詐欺」とよく聞くと思われますが、簡単に言うとこれは本物そっくりのウェブサイトやメールを構築することで、ログイン画面を通じてIDやメールアドレス、パスワードを取得する攻撃方法です。

類似するドメインやUIによって騙される（釣られる）ことで発生します。良い例では、Microsoftを装ったメールのドメインが「@rnicrosoft[.]com」だったというような事象もありました。

特に銀行・金融・ショッピングサイトで発生しますので、正規のドメインを調べ、ブックマークするなどして対策をしましょう。

□ マルウェア/ランサムウェア

こちらは身代金要求に使われるでお馴染みのコンピュータウイルスの一種です。

ウェブサイトやOS、ブラウザに脆弱性があると勝手にダウンロードされ、バックグラウンドで実行されることによって被害が生じる攻撃手法です。

病院や政府機関がよく狙われますが、個人にないわけではないので、定期的にセキュリティアプリで端末を検査しましょう。

※現在のマルウェア/ランサムウェアはユーザーの操作によってダウンロードさせるような手法が一般で、勝手にダウンロードされるような仕様は最新のブラウザは許容していませんが、古いブラウザやsupport終了済みのブラウザで発生する恐れがあります。

■ 実はばら撒かれた攻撃？「0x1c8c5b6a」

WordPress製のウェブサイトに限りますが「0x1c8c5b6a」という文字列のページが勝手に生成されるという事象が2025年2月ごろから現在まで発生しており、夏に急増し話題となりました。

もちろんWordPressユーザーによるイベントではなく、外部からの不正なアクセスによって作成されています。

セキュリティアップデートを行わず放置されているサイトは、すでに不正なコメントの温床になっており、危険な詐欺サイトへ飲み込まれつつあります。

こちら、不正なアクセスを試み、脆弱性を突く形で「0x1c8c5b6a」という文字列のページを作成するものです。

こちらは「Efimero」というトロイの木馬の形式の攻撃手法であると考えられ、最新のWordPressサイトからは除外やセキュリティ強化が実行されているものの、セキュリティが脆弱な放置されたサイトは増え続けている状態です。

危ないですから不用意にアクセスしないようお願いします。

※はっすーずツールはWordPressを採用しておりませんので、改ざんはありませんでした。

今回ははっすーずツールをはじめとする、セキュリティについてまとめてみました。

次回はドメインについて開発ブログといたします。

不定期公開
はっすーずツール開発ブログ　#4