読者です 読者をやめる 読者になる 読者になる

男子電通大生の日記。

とある"多摩のMIT"の男子大学生がITやゲームのことについて書いていく日記である。

広告

電通大の大人気企画「セツデンGO」が今年も開催!!

年末年始の恒例行事「UEC節電リーグ」がH28年度も開催!

http://www.uec.ac.jp/news/announcement/2016/images/20161220-3-1.jpg

お久しぶりですー。どもーなんでふですー。

電気通信大学全学生お待ちかねの年末年始の恒例行事「UEC節電リーグ」、

が12月29日から1月3日まで実施されましたー。

今年のテーマは
セツデンGO! 2016−2017 EAST VS WEST


流行したものを取り入れた感じのテーマ名・・・

一生懸命考えたんだろうなぁ・・・


んで、実際何をする企画か、全然知らない人もたまにはいると思うので

ちょっとだけ説明。

  • 開催期間:年末年始の6日間
  • 何をするか:大学全体の消費電力の削減(地区対抗)
  • 目標:同期間の電力使用量を昨年度以下とする

こんな感じで西地区と東地区の建物別に消費電力を計測し、

昨年度比がよりマイナスだった地区を表彰するという企画ですー。

んで、今回の結果がこちら。

f:id:uec-tarou:20170121182708p:plain

f:id:uec-tarou:20170121182738p:plain

西地区が前年度比89%で勝利しましたー。

f:id:uec-tarou:20170121181321p:plain

まぁちょっとデータを見てみましょうかねー。
西地区はあんまり行かないのでわかんないけど、
東地区だけでみてみるとB棟や東7号館の使用率が前年度より高くなっている感じですねー。


まぁB棟はなんとなくわかる気が・・・・
デュエリストがいっぱいいますからね・・・(笑)


東7号館については前年度比で約2倍近くになってます・・・
何があったんだろうか??


んで、電通大の節電対策のことなんですが、

節電対策│電気通信大学

使用電力状況│電気通信大学

上記のURLから使用状況とか取り組みについて、調べることができますー。


ね、結構節電意識は高いでしょ??

ただ、節電節電って言っても夏の間に快適に過ごせるぐらいの電力は使って欲しいな・・・

「節電緊急対応レベルになったので空調を制限します。」

みたいなのとか、

「情報基盤センターの利用を制限します。」

とか・・・。


まぁ夏にこんなことにならないように、学生自身の日頃の節電意識を高めていけばいいんですけどね。

皆さんも節電を心がけましょー!!

f:id:uec-tarou:20170121184127p:plain



てか、こんな企画してたなんて知らなかったんだけど・・・・。

知ってる人いた??


ここで一句。

冬休み

電気を減らして

セツデンGO。

お後がよろしいようで。

バグハンターに俺はなるっ!! -その1-

セキュリティ

お久しぶりですー。どもーなんでふですー。

先日このような記事を投稿したのは覚えているでしょうかー?


uec-tarou.hatenablog.com


この記事ではバグハンターとはどういうことをする人かという紹介と、
ネット上にはどのような危険性(脆弱性)が含まれていて、
それに対してのどのような攻撃方法があるのかというのを、
簡単に紹介させていただきましたー。


んで、今回からは具体的に何をしていくかと言いますと・・・

攻撃方法を紹介したわけですが、その実際の攻撃方法と対処法について、紹介していこうと思いますー。

ただし、ここで紹介するのはあくまでの一例に過ぎないので、
「この危険性だけの対処を行なっていれば安心❤️」ってことはないので、悪しからず・・・・。


「その1」で紹介するのはコチラ!!


クロス・サイト・スクリプティング

略してXSS


について、紹介していきます!

XSSって?

クロスサイトスクリプティングとは、ネットワークを通じた攻撃手法の一つで、保安上の弱点(脆弱性)のあるWebサイトを踏み台に、悪意のあるプログラムをそのサイトの訪問者に送り込む手法。
電子掲示板のように、閲覧者から送信されたデータをコンテンツの一部として他の閲覧者に見せるようなプログラムがあるWebサイトで生じる脆弱性および攻撃手法で、攻撃者が外部のサイトに用意した悪意のあるスクリプトをターゲットのサイトに注入して閲覧者に送信することから「クロスサイト」(サイト横断)という名称が付けられた。
(引用:クロスサイトスクリプティングとは|XSS|Cross Site Scripting − 意味 / 定義 / 解説 / 説明 : IT用語辞典)


上記の引用文にも記載してあるように、電子掲示板サイトなどで多発している脆弱性になりますー。
入力フォーム等を設置しているwebサイトやwebアプリケーションを公開している人は要注意ですー。


では実際にこの攻撃方法を試してみましょうー。

今回、実験に使用させていただいたのはGoogleが公開している「XSS game」というサイトですー。

では早速やっていきましょー。

アクセスしてみると・・・

f:id:uec-tarou:20161226135442p:plain


黒背景に白字といういかにも「ハッキング!」って感じの画面が出てきましたー。

では緑のところを押してみましょー。

「Let me at 'em!」

教えてちょーだい!!!

XSS Level1

さぁここを押すとレベル1からスタートしますー。

f:id:uec-tarou:20161226140127p:plain


まぁタイトルはプログラミングをしたことある人ならわかると思いますが、
Hello Worldって書かれてるんで、初心者レベルってことはわかると思いますー。


んで、今回攻撃していくサイトはこちらー。

[サイト]
f:id:uec-tarou:20161226140559p:plain

では早速やってみましょー。

まず最初に、入力フォームに「a」と入力してみましょー。

f:id:uec-tarou:20161226142020p:plain

すると、

f:id:uec-tarou:20161226142931p:plain

「Sorry, no results were found for a.」と表示が・・・。

まぁ入力した文字がそのまま出力されているのかなと予想できますよねー。

じゃあ次に

<font color='red'>a</font>

って入力するとどうなるんでしょうか?

これで文字が赤くなると大問題なのですけど・・・。


f:id:uec-tarou:20161226143439p:plain

ドドン!

f:id:uec-tarou:20161226143409p:plain


あちゃー赤くなっちゃった・・・。

ソースコードを見てみましょー。

f:id:uec-tarou:20170119173743p:plain

入力された文字がそのまま出力されていますねー。

んで今回の課題はなんだったかと言いますとー

Inject a script to pop up a JavaScript alert() in the frame below.

Once you show the alert you will be able to advance to the next level.

アラートのポップアップを表示しろというものだったので、

<script>alert('a');</script>

を入れてあげましょー。

すると・・・

f:id:uec-tarou:20161226144400p:plain


やったぜー。次のレベルに進めるようになりますー。


では今日はこの辺でー。
次回はXSS game Level2の攻略をしていこうと思いますー。

くれぐれも、いろんなサイトでやっちゃダメよ・・・。
攻撃と間違われちゃうのでねー。



ではここで一句。

script
囲めばアラート
出ちゃうかも?




お後がよろしいようで。

バグハンターに俺はなるっ!!

セキュリティ

狙え!一攫千金!

http://1.bp.blogspot.com/--PmdXxaOPPw/Us_MOZEyBOI/AAAAAAAAdDE/tX2WgAl3AL0/s400/job_hunter.png


はい、どもーなんでふですー。


突然ですが皆さん!バグハンターという職業は知っていますか?

小さな虫を倒す職業ではございませんー。

このバグとは、ソフトウェアやWebサービスなどのバグですー。

皆さんも一回くらいは遭遇したことがあるかな・・・?


んで具体的に、この人たちは何をするかというと、
企業のサービスの脆弱性を発見して報告する、ということをやっていますー。


んで、この報告はボランティアで無償の場合もあるのですが、企業側が
自社の脆弱性を発見してもらうために脆弱性の発見に対して、報奨金をかけている場合がありますー。


その名も「バグ・バウンティ・プログラム」ですー。
企業によって呼び名はまちまちなんですけどね。

元々は海外で多かった取り組みなんですが、最近は色々な企業で実施されていますー。

どんな企業で実施されてるの?

その例をちょっとだけ・・・


有名企業がありますねー。
んで気になる報奨金は、以下の通りになってますー。

すごい金額・・・。


夢が広がるー( ✌︎'ω')✌︎


でも、実際脆弱性って言われても「危ないってのはわかるけど、実際にどのようなものかわからない・・・」
っていう人が、大半だとお思いますー。

なので、今回から何回かにわたって、特集を組んでいこうと思いますー。


脆弱性とかに興味のある人は、一緒に勉強していきましょー。

もしこれからの記事で誤っている文言等ありましたらコメントをしていただけると助かりますー。

では、今回は導入程度に、Webの世界にはどのような脆弱性が潜んでいるかのお話をしましょー。

脆弱性って何?

脆弱性(ぜいじゃくせい)とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。脆弱性は、セキュリティホールとも呼ばれます。脆弱性が残された状態でコンピュータを利用していると、不正アクセスに利用されたり、ウイルスに感染したりする危険性があります。
(引用元:脆弱性(ぜいじゃくせい)とは?|どんな危険があるの?|基礎知識|国民のための情報セキュリティサイト)


そうなんです。脆弱性が一つあるだけで、多大なダメージが起きることがある。
怖いよね・・・。


脆弱性を悪用した攻撃には以下のようなものがありますー。

この4種類について具体的な攻撃法と対処法について、
一緒に勉強していきましょー。

では今日はこの辺でー。


ここで一句。


バグハンター
探して、なくそう
脆弱性



お後がよろしいようで。

電通大がハッキングされた件。

セキュリティ 電気通信大学
電通大はmanだらけ、セキュリティは穴だらけ。

f:id:uec-tarou:20161220151358p:plain

 

はーい、どもーなんでふですー。

 

知っている人は知っていると思いますが、

 

先日から電気通信大学関連ドメインのHPが

 

海外のハッキング集団からWeb改竄の攻撃を受けていますー。

 

ハッキングされて改竄されたサイトにはこのような、もう明らかに

毒々しい感じのページが表示されていたと・・・。

 

f:id:uec-tarou:20161220141211j:plain

 

「security stupidity」セキュリティおろそかねーwwwって言われてますー。

んでその下にはにっこりしてる顔文字が。。。

 

んで今回ハッキングの実行者として名前があるのは、

Team System Dz」と・・・・。

 

なんか見たことあるぞ・・?

あっこいつは確か!

専門家が明かす「イスラム国」系の
サイバー攻撃手口

中東の過激派「イスラム国」の賛同者とみられる組織が3月上旬、日本の複数サイトをサイバー攻撃した。いずれも一部のウェブサイト作成ソフトにあるセキュリティー上の欠陥(脆弱性)を放置していたことが原因。専門家は「4つの脆弱性が狙われた」とも指摘する。脆弱性によって関与する組織も、攻撃手法も違うが、いずれも基本的な対策で防げるものだった。

・・・・・ 

「Team System Dz」を名乗る賛同者グループが3月12日、近畿大などのサイト3カ所をサイバー攻撃

引用元:

 

えっ?イスラム国?

この記事書いてるのもやばいかもしれない??

 

まぁそれは置いといて・・・。

 

今回の大々的にTwitter電通生内で広まっちゃったのは

以下のサイトの情報によるものかなと思われますー。

 

Zone-H(ゾーンエイチ)は、エストニアセキュリティーニュースサイトである。管理者はSyS64738。保存されている改竄アーカイブにはクリエイティブ・コモンズ BY-NC-ND 2.5に対応している。

http://www.zone-h.org/

 

このサイトでは全世界で起きた、不正アクセスやあらゆる手法によって改竄されたサイトがミラーサイトスクリーンショットされて保管されいるんですよねー。

 

その日本ドメイン(jpドメイン)の情報をまとめてくださっているサイトがこちら。

このサイトのTwitterアカウントが第一報を知らせてくれたんだと思いますー。

 

ありがたやーありがたやー。

 

んで今回、Zone-Hによって改竄が計11件確認されていますー。

研究室のHPやら。

体育の授業HPやら。

 

まぁ現在は電気通信大学も該当HPのアクセスを禁止して、

原因調査をしているとのことですがー。

どういう風にハッキングされたんでしょうかね・・・。

 

今回、軒並みハッキングされたHPのURLを見てみると、

 

「http://○○.uec.ac.jp/test.html」とか、

「http://○○.uec.ac.jp/diff/test.html」とか、

「http://○○.uec.ac.jp/backup/test.html」とかになってるんですよね。

 

まさかアクセスされると思ってなくて、テストページをそのままにしていたところに攻撃された感じですかねー?それともこれを設置された?

 

あとは、SSHでポート番号をそのままにしちゃっていて、ユーザー名も安直で、

パスワードをブルートフォース攻撃とか、辞書型攻撃でやられちゃったんですかね?

 

僕自身もサーバーを運営してた時に、ウェブ公開とかしてないにもかかわらず、

SSHでのログイン試行が3日で20万件きてたことはありましたねー。

まぁその時はユーザー名とかパスワードをわかりにくものにしていたので、

不正アクセスは免れましたけどー。

 

そのあとに急いでポート番号を変更したよねー。

あの時、身近なところでのセキュリティの重要性を感じましたー。

 

 まぁこの騒動においてはまぁ起きちゃったものは仕方がないので、

復旧と、再度起こらないようなセキュリティ対策を徹底して欲しいですよねー。

 

一つ問題なのが、情報基盤センターとか電通大のHPに

「本大学がサイバー攻撃を受けました」的な掲示が一つもないこと!

やっぱり隠してるのかな・・・?

 

「今後はこのようなことが起こらないようセキュリティ対策を徹底していきます」

みたいな対外向けや学生向けの説明があってもいいと思うんですけどねー。

 

 

まぁ僕はがっつりとセキュリティ学を学ぶことを目的に本学に入学したわけですが、

また一つセキュリティ学を勉強する目的が増えたので良かったですー。

 

電気通信大学のセキュリティを日本一、いや世界一に!」

この目標で日々勉学に勤しんでいこうと思いますー。

 

 

ここで一句。

 

セキュリティ

僕らで守ろう

電通大

 

 

お後がよろしいようで。

 

 

 

電通大でPython勉強会があるって知ってた?

電気通信大学 プログラミング

はーい、どもーなんでふですー。

突然ですが皆さん!
電通大Python勉強会があるってしってました??

それがこちらー。

ドドン。
f:id:uec-tarou:20161220164842j:plain

Pythonって何?」
Pythonって美味しいの?」

的な質問が来ると思うので、ちょっとだけ説明。

Python(パイソン)は、汎用のプログラミング言語である。コードがシンプルで扱いやすく設計され、C言語などに比べて、さまざまなプログラムを分かりやすく、少ないコード行数で書けるといった特徴がある。(Wikipediaより)

f:id:uec-tarou:20161220165141p:plain

Pythonプログラミング言語のことだったんですね!

んで、実際にPythonを用いて作られているサービスとか、ソフトとか使っている組織としてはこんなものがありますー。

なんかジャンルがいろいろですがそこはご了承くださいー。

まぁ何が言いたいかと言いますと、Pythonは超最先端を行くイケイケな言語だということ!!

少しでもプログラミングをしたことがあるならPythonっていう言葉は聞いたことがあるはずー。

先日、求人検索エンジン「スタンバイ」が「プログラミング言語別 平均年収ランキング」を発表しました。結構物議を醸したので見た方もいらっしゃるかもしれませんね。このランキングでは、平均給与額1位がPythonで651万円、2位がPerlで633万円、3位がRubyで606万円となっています。

https://jp.stanby.com/media/programming_ranking/
(引用元:http://paiza.hatenablog.com/entry/2016/05/09/)

そう、なんとプログラミング言語別年収ランキングで堂々の1位!!

人気のプログラミング言語なんです!


んで、本題に入りますと電気通信大学のこの人気のPythonの勉強会が
UECプログラミング教室という普段、毎週日曜日に小中高生向けに
Pythonの勉強会を開いている講師たちの協力のもと、開かれます!

詳しい日程や、流れにつきましては、
今日の18:00から西11号館2階のピクトラボ
で開かれる、説明会で聴いていください!

流れとしては、

12月末に開催される3日間の集中講座で
基礎的な知識を蓄えてもらい、
その後(日程は未定で、受講者の予定などを踏まえて決めていくそうです。)に
開催される輪講によって、良い深く知識を身につけていける

という流れだそうですー。

12月末の集中講座に参加できなくて、輪講の方だけ参加したいという人も
大丈夫だそうなので、ぜひ参加して見てくださいー。

ただし、説明会には参加必須だそうですー。(今日ね!)

みんなでパイソン使いになりましょう〜。

ちなみに参加費は無料ね(・ω・)ノ


以上。

f:id:uec-tarou:20161220165044p:plain

限定版PS4がお亡くなりになった話。

ゲーム PS4

享年:生後3週間。

f:id:uec-tarou:20161219172927j:plain

 

はい・・・どーも、なんでふですー・・・。

 

もーね・・・最悪ですわwwww

 

タイトル通りなんですけどね・・・。

 

 

まぁ知ってる人もいると思うんですけど先月の29日に、

予約していたPS4 Luna Edition(FF15同梱版)が我が家に届いたわけですよ。

 

まぁみたいな感じで、中間テストがあるにもかかわらず、テンション上がってたため

FF15やってたんですよ・・・。

んで、毎晩夜更かししてサブクエストを消化しながらトロフィー回収しながら、

コツコツとやってたんですよね・・・。

 

 

んで、昨日「ちょっとFF15はお休みして、借りてきたBDでもみるか!!」と、

PS4ライフを満喫しようとしてたわけですよ。

意気揚々とTSUTAYAで3枚BD借りてきましたわ。

 

んで、早速FF15のディスクを取り出そうと思ったらね、

「ピッ」

f:id:uec-tarou:20161219165858p:plain

まぁここまでは普通ですわ・・・。

ここから「ウィーーーン」って言って挿入口からFF15が出てきてこんにちわして、

映画のBDディスクを入れて、視聴しようとおもってたんですよね。

 

そしたら、

f:id:uec-tarou:20161219165923p:plain

「あれっ??出てこないぞ??」

ちゃんと押せてなかったのかなって、画面を確認したら、

取り出しマークはちゃんと出てるんよね・・・。

 

まぁ焦ったけど、とりあえずGoogle先生に聞いてみたんよ。

「PS4 ディスク 出てこん」

んで、検索したら、出てこないことを予期していたかのようにPS4の公式ページに

対処法が載ってんのね。

f:id:uec-tarou:20161219170244p:plain

 

やりました。

 

出てきました。

 

やったね。

 

これでBDが観れる〜。

 

f:id:uec-tarou:20161219170315p:plain

 

って思うでしょ?

思ったよね?

僕も思ったよ?

 

よかったーっと思ってもういっかい入れようと思ったら、

f:id:uec-tarou:20161219170413p:plain

 

「あっれれぇ〜?おっかしいぞぉ〜?」

PS4とかPS3とかやったことある人ならわかると思うんですけど、

ここまでディスクを持っていったら自動的に取り込んでくれるんですよね。

「ウィーーーーン」って。

 

どうもその気配がないの。

焦るよねー。

またGoogle先生に聞いてみたの。

「PS4 ディスク 入らん」

したらね、今度は公式ページは出なかったんやけど、数々の経験者の方々の

復活法の報告が上がってたの。

例えば、

  • PS4本体を再起動してから再挿入
  • PS4本体の電源を切ってプラグを抜き、放置してから再挿入
  • PS4本体の電源を切ってコード類を全て抜き、本体を持って縦に揺らす

縦に揺らす???

物理アプローチ??

 

まぁしょうがなくやりましたよ・・・。

昔のブラウン管とか叩いて直してたもんね(・ω・)ノ

何年前の機械やっ!!!

 

 

 

 

 

 

 

 

 

 

結果:揺らしても直らんかった。

 

修理期間内なのでおとなしく、カスタマーサポートに修理依頼出しますー。

 

ここで一句。

 

揺らせども

わしのは直らぬ

PS4。

 

お後がよろしいようで。

 

 

 

Amazon Echo Dot をもらった話。

商品レビュー

はーい、どもーなんでふですー。

 

みなさん元気でしょうかー?

 

本格的に冬になり寒くなってきたので風邪をひかないように予防をしっかりしてくださいねー。

あとはカップルが構内でいちゃつく季節になりましたなー。

カップル「人の温もりってあったかい❤️」

やかましわ!!

 

閑話休題! 

 

本題に入りますが、みなさん「AWS re:Invent」ってご存知?

 

あら奥さん、ご存知ない??そんなんあかんで〜!

 

というわけで説明しよう!

AWS re:Inventとは?

Amazon Web Servicesの年次イベント。2016年は11月最終週から12月第一週にかけてラスベガスで開催した。ストレージサービスであるS3上でSQLで直接データを分析できるサービス「Athena」など多数の新製品、サービスが登場。初日の基調講演では、巨大トラックが登場するなど3万4000人という多数の参加者を迎え演出もスケールの大きなものだった。 2015年は米ラスベガスで開催、新たにクラウドBIサービス「Amazon QuickSight」、Internet of Things基盤「AWS IoT」を発表した。2014年の同イベントで発表したリレーショナルデータベース「Amazon Aurora」を改めてアピールし、ユーザーの要望が多いデータ移行にかかわるサービスを発表するなど、基幹システムのクラウド移行への動きに合わせた施策を明らかにした。

                  (引用元:AWS re:Inventとは? - ZDNet Japan)

 

 だそうです。

 

んで、「AWS re:Invent」では毎年「SWAG」と呼ばれる参加者全員に配られるプレゼントがあるのですが、今年はその中に「Amazon Echo Dot」が入っているという、大盤振る舞い!

 

Amazonさんすごい!(この時点ではまだ喜んでいる。)

 

Amazon Echo Dotの中にはAlexaっていうAI(人工知能)が入っていてこいつが色々と世話を焼いてくれるんだけど、「Alexa」の凄さについてはまた今度!

 

Amazon Echo Dotは今現在、日本のamazonストアでは取り扱いしてないのよねー。

 

んでなぜこれを入手できたかというと、実際に僕がラスベガスに行ったわけじゃなくて、バイト先の会社の代表がプレゼントしてくれて僕の手元に来たというわけなんだけどー。感謝感謝です!!

 

それがこちらー

f:id:uec-tarou:20161217013657p:plainまぁ案の定全部英語ですわ。

 

まぁそこんとこはノープロブレム。電通生の類いまれなる英語スキルを用いればこんなの楽勝さっ(・ω・)ノ

 

おふざけはこの辺にしといて、本題に戻りますと・・・

まぁどんどんと開封していくわけですわ。

 

ポンッ!

f:id:uec-tarou:20161217014018p:plain

 

デデーン!! 

f:id:uec-tarou:20161217014121p:plainんで、早速電源入れて使おうとしたわけね。

ただここで、頭の隅っこの方に眠ってた知識が問いかけて来たのね・・・

「それ外国製やけど、日本の電波法的に大丈夫なん?」って。

 

まぁびっくりしたよね、まさか日本の電波法に引っかかるような代物を日本人も多く来ることが予想されるであろうイベント配布せんわなーって思ってたら・・・

 

おい、おい、ちょっと待ってくれよと!

見慣れたマークがないやんけと!

f:id:uec-tarou:20161217014721p:plain

これね。日本ではこのマークがついてない無線機は電波法に引っかかる恐れがあんのね。

見た所外装にはこのようなマークは見当たらんのよ。。。

 

オーマイガッ!

 

せっかくくれたけど使えへんやんけ(☝︎ ՞ਊ ՞)☝︎

 

というわけでこの子は我が家の文鎮となってもらってます。

f:id:uec-tarou:20161217015058p:plain

 

めでたし。めでたし。