サイバーセキュリティや人工知能(機械学習等)を中心に、最新技術を研究しています。
「安全な Web アプリケーションの作り方」の著者としても有名な徳丸さんが、今回の WordCampTokyo2016 でセキュリティ系のセッションで登壇されると聞いて参加してきました。
セッションは「CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう」。
70 分に及ぶセッションの中で、CMS 四天王( WordPress、Joomla、Drupal、MovableType )の主に既知の脆弱性を突いての攻撃デモが実演されました。
立て板に水のように手慣れたデモが続いて、使われているツール類には特に言及はありませんでしたが、ローカル・プロキシには「Burp Suite」が使われていました。
攻撃デモの後半で、「WPScan」を使って、管理者のアカウントがあっさり確定される様子も実演されました。
WordPress のセキュリティ系プラグインとしては、SiteGuard WP Plugin が勧められていました。
と、ここまでは想定の範囲内で、セキュリティ関係に携わる人間にはことさら目新しいデモや情報ではなかったのですが、私としては本セッションの結論とも言える「効果的な防御法」を徳丸さんがどう考えておられるかに興味津々でした。
この「効果的な防御法」については、セッションの終盤でスライドを表示しながらの解説になりました。
この終盤のスライドとそれにまつわる解説は大変参考になりましたが、現時点でご本人がスライドを公開されておられないので、最後の「まとめ」の1枚だけをスライドから書き起こして紹介させていただきます。(原文まま)
記述に際しては、細心の注意をしたつもりですが、間違いやご指摘がありましたら、こちらからお知らせいただけると幸いです。