【#も読】ノーコードで「AIあんの」 / OSS支えたFTPの終焉 / ¥と⧵の文字コード問題 / WAF認証前のRCE脆弱性(@yousukezan)のトップ画像

【#も読】ノーコードで「AIあんの」 / OSS支えたFTPの終焉 / ¥と⧵の文字コード問題 / WAF認証前のRCE脆弱性(@yousukezan)

投稿日時:
東内 裕二のアイコン

三井物産セキュアディレクション株式会社 / セキュリティエンジニア

東内 裕二

Xアカウントリンク

「あの人も読んでる」略して「も読」。さまざまな寄稿者が最近気になった情報や話題をシェアする企画です。他のテックな人たちがどんな情報を追っているのか、ちょっと覗いてみませんか?


プログラミングなしで作る「AIあんの」(チャットボット版)

参議院選挙が行われ、新党「チームみらい」が議席を確保しました。YouTube LiveのAIチャットボット「AIあんの」が政策に関する質問にリアルタイムに答えていた点も印象的でした。

本記事では、このチャットボットの作り方を初心者向けに丁寧に解説しています。2025年の参議院選挙に向け、新党「チームみらい」のサポーターとして実際にAIあんのの開発に携わった著者が、その体験を基にノーコードツール「Dify」を使ったAIの構築手順を詳しく紹介しています。

AIあんのは安野たかひろ氏の政策や発言を学習し、有権者の質問に対してまるで本人のように回答するAIチャットボットです。2024年の東京都知事選挙の際にはPythonで開発されましたが、今回はプログラミングが不要なDifyを活用しています。Difyは、資料をアップロードするだけでAIに知識を与えたり、マウス操作だけで対話フローを設計したりできるプラットフォームです。記事では、実際の選挙でも活用されたAIあんのの簡易版をわずか30分で作る方法を詳しく解説しています。

さらに、安野氏のプロフィールや政策、よくある質問をテキストファイルで読み込ませ、AIが本人らしい受け答えができるように設定する手順を紹介しています。悪意のある質問に対応するための安全装置(NGワードフィルタ)、ナレッジ検索を用いた正確な回答生成、Webでの公開方法にも触れています。プログラミング知識がなくても本格的なAIチャットボットが手軽に構築できそうで、自分も作ってみたくなりました。

KDDI総合研究所 公開FTPサーバーの歩み

最近では忘れ去られつつありますが、かつてファイルのやりとりといえばFTP(File Transfer Protocol)という時代もありました。その中でもログイン不要でファイルをダウンロードできる「公開FTPサーバー」を利用した経験のある人も多いのではないでしょうか。

KDDI総合研究所は、1990年代初頭から30年以上運用を続けてきたこの公開FTPサーバーを2025年6月30日に終了しました。本記事では、その長い歴史を振り返り、黎明期からサーバーを支えた技術や運用の舞台裏、時代の変遷に伴う役割の変化、そしてサービス終了の背景を詳しく解説しています。

このFTPサーバーはLinuxやFreeBSDをはじめとしたオープンソースソフトウェアのミラー配信などに活用され、国内外の数多くの開発者や研究者に利用されました。HTTP、HTTPS、rsyncなどのプロトコル対応、帯域の拡張、機材の更新といった時代に応じた進化も興味深い内容です。

特に、震災時やハードウェア障害に対するエピソード、最終的な閉鎖理由として挙げられた「セキュリティリスク」や「有志運用の限界」には注目すべき点があります。記事では、研究者として20年にわたりサーバー運用に携わった筆者が、技術者ならではの視点から当時の思いや裏話を丁寧に語っています。

インターネットの草創期を支えた技術の記録であり、一つの時代の終わりを伝える貴重な資料として読み応えのある内容です。かつてこのサーバーにお世話になった方や、インターネットの歴史に興味がある方に一読をおすすめします。

真説 Windowsでディレクトリ区切りのスラッシュ / がバックスラッシュ ⧵ で円マーク ¥ な理由

Webアプリケーションには、「ディレクトリトラバーサル」という重大な脆弱性があります。これは「../../etc/passwd」のような相対パスを指定することで、サーバー上の本来アクセスできないファイルが閲覧可能になる問題です。通常はパスの記号が入っているとエラー処理することで防ぎますが、Windowsサーバーでは区切り文字が「/」に加えて「⧵」(日本語環境では円マーク「¥」)も使用可能なため、「\」を対策対象に入れ忘れて脆弱性が残っていることも見られます。

本記事では、こうした混乱の原因であるWindowsのディレクトリ区切りが、なぜUnix系OSのようなスラッシュ(/)ではなく、バックスラッシュ(⧵)を採用し、さらにそれが日本語環境で「¥」と表示されるのか、その真相に迫ります。

この現象は単にMicrosoftの都合やフォントの問題だけではなく、日本のJIS規格が通貨記号「¥」を優先したことに起因しています。MS-DOS登場時にディレクトリ機能が未実装であったこと、CP/MやTOPS-10から継承したオプション指定記号「/」の存在、Shift JISの0x5C問題など、技術的かつ歴史的な背景を詳しく解説しています。

さらに、MicrosoftがUNIX互換性を意識しつつも、IBMからの要請で「/」をオプションの記号として使い続けた結果、「⧵」をパス区切りにせざるを得なかった事情や、「SWITCHAR」という隠し機能についても触れています。⧵が¥になる背景には、文字コード、規格、商業戦略が絡み合う複雑な経緯があることが理解できる内容になっています。

FortiWeb ゼロデイ脆弱性による認証前RCEを発見者が解説:CVE-2025-25257によるSQLインジェクション

日本語での脆弱性を解説する記事は、攻撃者を利するようなことは書くなと心ない人に叩かれることも多く、公開されることは少ないです。そういう事情もあり、日本人でも英語での公開が多かったりするのですが、この記事は、Fortinet社が提供するセキュリティ製品「FortiWeb」に発見された重大な脆弱性(CVE-2025-25257)について、日本語で詳しく解説されています。

FortiWebは、企業のWebサイトやアプリケーションを外部からの攻撃から守る「Webアプリケーションファイアウォール」(WAF)と呼ばれるセキュリティ製品です。ところが今回は、そのFortiWeb自体に「認証前のSQLインジェクション」という深刻な不具合が見つかりました。これは、攻撃者がログインせずとも不正な命令を送りつけることで、サーバー内部のデータを操作できてしまうという危険な問題です。

記事では、この脆弱性をどのように見つけ、どのように悪用され得るのかを、実際の検証を通じて丁寧に説明しています。攻撃者はこの欠陥を利用して、サーバー上に公開鍵を書き込み、SSHによってサーバー部に入り込むことができるようになります。さらにもう一歩踏みこんで、ダイナミック・リンカー・ハイジャックというテクニックを使った任意コード実行まで踏み込んでおり、非常に高度かつ実践的な内容です。

脆弱性の詳細な技術分析や攻撃手法の検証だけでなく、実際に構築された環境での再現や制約の克服方法についても丁寧に解説されており、IoT機器のセキュリティに関心のある人にとってぴったりの内容だと思います。

東内さんの「も読」過去記事

プロフィール