Scribble at 2026-05-23 12:55:55 Last modified: unmodified

このまえ話題にした日本将棋連盟のサイトが攻撃されて、運用を中止しているようだ。そういや、調べてみると、日本将棋連盟のサイトは過去にも SSL サーバ証明書の更新を忘れていて表示にエラーが出たり、それなりに初歩的なミスを起こしているので、一次請けの代理店がどこなのかはともかく、下請けの制作会社が安い低レベルの体制しか提供できていないのだろう。あるいは、もうこのクラスの発注元でも個人や中小の制作会社が直請けして運用し、実務をクラウド・ワーカーなどに投げている可能性もあるだろう。実際、日本将棋連盟の関連サイト（サブドメイン）を実績として紹介している有限会社があるから、こういうところに代理店を通さず直請けで投げているなら、管理しきれなくても当然だ。ただ、僕も自社サービスのサイトや受託案件のサイトで、購入して使っているサーバ証明書だとか、僕自身がウェブ・サーバで certbot のコマンドを打ち込んで更新しているサーバ証明書を運用しているけれど、証明書の失効期限を Google Calender に登録しておけば何の問題もないわけで、こういう実務すら思いつかないかやっていないというのは、およそ会社として仕事を請けるレベルではないと言わざるをえない。ジジイや高校生や主婦のサークル活動ですら、もっとマシなレベルでサイトを管理している事例もある。

さて、公式にサーバがクラックされたという話だが、サーバをどうやって運用しているかによって想定できる経路は変わってくる。そこで、shogi.or.jp を調べてみると、まずドメインは公益社団法人日本将棋連盟の電子メディア部という担当部署が管理しているようだ。また、ネームサーバやドメインの登録連絡先が IIJ となっているから、IIJ が絡んでいることは分かる（ちなみにドメインに関連して53という数字が出てくるが、これは DNS のネットワーク・ポート番号に由来している）。しかし、ドメインの情報だけでは何も分からない。ホスティングの情報が知りたいのだけれど、昔から利用している aguse.jp ではレスポンスがないため、これはクラックされたということだからウェブ・サーバそのものを落としているのだろう。他に調べると、「SS1」とかいう資産管理ツール（SkySea みたいなものか）を導入したという実績のページが見つかっていて、電子メディア部という部署が本当にあるらしきことは分かった。しかし、これは社内情報である。他に、今回の件で告知しているのが「総務課」であることから、コンテンツの運用や告知が別の担当になっている可能性もある。他に検索してみると、過去にもアクセスが集中するなどしてサーバが落ちたことがあり、そのことを紹介しているブログ記事がブラウザのスクリーンショットを掲載していて、ウェブ・サーバが Nginx であるということが示されている。しかし、それも８年くらい前の話なので、もちろん現在は分からない。

なんにせよ、くだらない広告をやまほどぶら下げているのだから、JavaScript どころかサーバの内部で Node.js や TypeScript などでサイトを運用していた可能性もあろう。こういうミドルウェアをウェブ・サーバへ迂闊に導入するのは、有名なサイトになればなるほど「クラックしてください」と言っているようなものである。もちろん使うこと自体に問題はないけれど、広告を表示するための要件などとマーケティング屋の言いなりになって技術や経験や知識もないのにコピペでインストールしたようなウェブ・サーバだと、はっきり言って何度でもクラックされるだろう。もちろん、サーバのアカウントそのものが奪われたという可能性もあるから、この規模の事業者になれば真面目に ISMS に準拠する体制を整えた方がよいだろうという気もする。