セキュリティ

[Mac] ESET Cyber Security Pro のアップデート (macOS Sierra に向けて)

pixelcreatures / Pixabay


キャノンITソリューションが販売しているセキュリティソフト「ESET Cyber Security Pro」を利用しているのだが、macOS Sierra 提供時のバージョンでは Sierra に対応してないということで、Sierraの様子見もかねて OS のバージョンアップは控えてました。

先日 10月12日頃にアップデートを提供するとの発表がありました。
(それでも英語版はSierraリリース時には対応バージョンが出てたというし、日本語版提供が遅すぎるのは問題ではあるが)

それで本日11日にもサポート情報が追加更新されました。

macOS Sierra 10.12 への対応について | ESETサポート情報 | 個人向け製品 | キヤノンITソリューションズ

個人向け製品 / 法人向けクライアント専用製品は、macOS Sierra 10.12 に対し、Mac向けプログラムの新バージョンにて、2016年10月12日より以下の通り対応を開始しました。

◇ 対応プログラム [2016.10.12 追記]
ESET Cyber Security Pro V6.3.70
ESET Cyber Security V6.3.70

12日は明日なのに、もう提供してるような言い回し。
キャノンは未来に生きてるのかなぁ・・・
と思いつつ、アップデートの確認をしてみると、
・・・あれ?ファイルがダウンロードできる。
・・・あれ?アップデート作業してる。
・・・あれ?アップデートされちゃった。
%e3%82%b9%e3%82%af%e3%83%aa%e3%83%bc%e3%83%b3%e3%82%b7%e3%83%a7%e3%83%83%e3%83%88-2016-10-11-17-26-02

マジでキャノンは未来に生きていたw
(多分タイムゾーン設定とかの間違いなような気がするけれど)

ライセンスが2019年まであるので一応、それまで使うつもりであるが、それ以降は使わないと思う。
やだもん。こんないい加減なところのソフトを使うのは。

[Win][Mac] パスワード管理ソフトの移行 (ID Manager から KeePass へ)

Akramarm / Pixabay

インターネットが普及してくると、ネットサービスも増え、それと共にネットサービス利用のためのID/Passwordの管理する量も増えてきます。
同一パスワードの使いまわしが管理としては一番楽ではありますが、パスワード等が漏れると多大な被害を被ることもある昨今、パスワードの使いまわしなんて愚の骨頂です。

パスワード管理ソフトの必要性

いろいろ怖い世の中ですから、サイトに登録してるパスワードはある程度「漏れる」ことは覚悟しておいたほうがいいです。
そんななかで被害を最小限にとどめる1つの手法としてサイトごとにユニークなパスワードを設定することなのですが、利用するサービスが増えるごとに別々のパスワードなんて個人の頭じゃとてもじゃないですが覚えきれません。それに人の頭は忘れます。
メモとしても残すにしても数が増えると該当のものを探すのも一苦労です。
そこで便利なのがパスワード管理ソフト。
探せばいろいろありますが、国産のパスワード管理ソフト「ID Manager」が使いやすく利用していました。
[ パスワード管理ソフト ID Manager ]

ID Manager から KeePass へ

ID Manager を利用し始めた当初(2006年ごろ?)は使っているPCもWindows機のみでしたし、データ共有もFTPサーバー経由でなんとかなってました。

オンラインストレージが台頭し、利用する端末のOSも多様化してくると、ID Managerでは利用しにくい面が出てきました。

マルチOS対応のパスワード管理ソフトをいろいろ探してみるとよさそうなのが「KeePass」です。
[ KeePass Password Safe ]

海外製のソフトではありますが有志による日本語訳もされており、WindowsやMacOSのみならず、Android版やiOS版など各種OSの派生版も揃っています。
最近のバージョンでは日本語の言語ファイルも最初から入っているようで、別途準備する必要もなさそうです。

ID Manager から KeePass へデータ移行

ID Manager も KeePass もデータのインポート/エクスポート機能はあるようですが、直接ID Managerの出力データをKeePassで読み込めないようですので、手作業移行を覚悟してたのですが、世の中便利なソフトがあるようで
「IDM2KeePass」 というID ManagerのエクスポートデータをKeePassのインポート用のデータに変換するソフトがありました。
[ IDM2KeePass ]

  1. ID Manager からXML形式でエクスポート
  2. IDM2KeePass でエクスポートしたXMLファイルを読み込み
  3. KeePass XML(2.xx) 形式に変換
  4. KeePass を起動し、変換したXMLファイルをインポート

(自分の場合はすでにKeePassで幾つかデータを追加していたので、「IDMグループの〜」にチェックを入れて変換しました)

あとはKeePass内で、フォルダの移動とか、不要とするデータの削除とか、データの整理をすればOK。

データの共有

データのファイル(*.kbdx)をオンラインストレージで共有するだけです。
幾つかあるオンラインストレージを使っている感じでは、Dropboxがデータの反映が早いので、DropboxへKeepassのデータファイルを入れて、各端末からDropboxのファイルを読み書きするようにすれば、特に意識せずに共有ができます。

(*iOS版のクライアント「MiniKeePass」を利用時には、MiniKeePassのアプリからではなく、DropboxのアプリからMiniKeePassを指定して起動が必要です。
MiniKeePassアプリから開くと端末ローカルにデータファイルを作成してしまうようなので。)

参考サイト

以下のサイトを参考にさせてもらいました。
[ パスワード管理ソフトID ManagerからKeepassへデータを移行する為のわかりやすい図解手順 | ノート100YEN.com ]

[WP] 管理画面へBASIC認証を追加

medium_10086117975
photo credit: Defence Images via photopin cc

先日二重認証を行ったがブルートフォースアタックはまだあるみたいなのでBASIC認証も行うようにしてみた。

BASIC認証用のID/パスワードファイルを作成・設置

[ .htaccess ファイルを簡単作成「.htaccess Editor」 ]
.htaccess Editor のサイトで .htaccess ファイルも作成できるので便利。

パスワードファイルを置く場所はサイトからアクセスできない場所が望ましい。
さくらインターネットであれば、/home/ユーザー名/www/ 以下がサイトで利用する場所なので、www ディレクトリと同じ階層にディレクトリを作成してその中にパスワードファイルをアップロードすればよい。


wp-admin ディレクトリをBASIC認証の対象にする

htaccess Editorでパスワードファイルを作成時にきちんとパスワードファイルのアップロード場所まで確定しているのであれば、htaccess Editorで作成された .htaccess ファイルをそのまま wp-admin フォルダにアップロード。

.htaccess ファイル例

AuthType Basic
AuthName "Secure Area"
AuthUserFile "/home/xxxx/.htpasswds/passwd"
require valid-user

設置後管理画面にアクセスすると認証用のダイアログが出ると思うのでパスワードファイル作成時のID と パスワードでログインできればOK。


wp-login.php を BASIC認証の対象にする

WordPressのログイン画面も認証するように。
Wordpress設置時に作成された .htaccess ファイルに上記のwp-adminのBASIC認証と同じ認証するように追加する。


<FilesMatch "wp-login.php">
AuthType Basic
AuthName "Secure Area"
AuthUserFile "/home/xxxx/.htpasswds/passwd"
require valid-user
</FilesMatch>

これで管理画面へログインする際に、BASIC認証 → WordPressログイン という二段構えになる。

参考サイト:[ WordPress の wp-login.php をブルートフォースアタックから守る | Web Design Leaves ]

[WP] WordPressログインの2段階認証プラグイン

medium_2152798588
photo credit: Ian-S via photopin cc

自分は複数のWordpressサイトを運用してたりするのだけれど、その一つがwpXで運用してて、wpXのセキュリティ関連サービスとして「ログイン施行回数制限」というのがある。
短時間に何度もログイン失敗が発生した際にアクセス制限がされる機能で、パスワード総当たりをするブルートフォースアタックに対応するセキュリティサービス。
で、wpXで運用してるサイトにログインしようとしたときに上記のアクセス制限がされた旨の画面が出てきてびっくり。

ブルートフォースアタックについては話には聞いていたが、いざ自分の管轄してる部分で起きるとなんとか対応しなきゃ・・と思うね。
他のサーバーで運用してるサーバーにはこのようなアクセス制限機能がついてないので、サーバー負荷的な部分でも負担をかけてるのかも…ということで早速2段階認証をつけることにした。

いろいろ調べてみたら、iOSやAndroid端末用アプリのGoogleの認証システムを利用したプラグイン「Google Authenticator」がよさげな感じ。

[ Googleの中の人も使ってるらしいWordPressでGoogle2段階認証を使うプラグイン | アンギス ]

詳しい導入方法は上記サイトでわかりやすく説明されてます。 (丸投げ)

自分はすでにGuildWars2のアカウント認証でGoogle認証システムを使っていたので、簡単に
1.プラグインの導入
2.認証アプリからQRコードの読み取り
3.ログイン画面に認証コードが追加
で、さくっと2段階認証の実装ができました。

2014-0130_wplogin

認証系はいろいろ面倒になってきているけれど、何かあってからでは遅いので仕方ないのよね…。

[domain] あなたのサイトがエロサイトに乗っ取られる日

あなたのサイトがエロサイトに乗っ取られる日
(九十九式)

いや、ホントドメイン管理は大切よ。
ここ何年かは自動更新のサービスがあるところがほとんどなので、大概は大丈夫なのだが油断してるとハマるから…。

昔商品用のドメインを取ったはいいが、更新確認を忘れて支那の奴に取られちゃった人がここにいるから気をつけてw
(結局のところ企画自体がポシャってしまったので大事なかったのだが、もったいないと言えばもったいなかった..)