カテゴリー: 脆弱性

脆弱性に関連する情報を扱いします

サイト運営の収益化(Adsense) 検討編

サイト運営について基本的な方針(気になったことを書いていく)の変更はありませんが、 サイトに広告を配置して収益を得る検討をしてみようと思います。 記事については 何か依頼があり面白そうなら書いてみるという程度のスタイルは変えないので、いいことを書いてもらおうと依頼されても製品自体がいまいちならご期待の内容にならないのでその点はよろしくお願いします。 今回の検討は、記事の上下左右に自動で埋め込まれる広告です。 20年くらい前に試行して、月当たり千円程度の収益が上がっていた時期もありますが、サーバシステム更改のタイミングで、広告掲載をやめていました。
 最近はいろいろな広告埋め込みサービスが提供されています。今回は、以前利用していたサービスから変更し、利用数が多そうな「Google AdSense」を試してみます。

収益の推定

手間もいろいろかかるので、その程度の収益になるかを推定してみます。

  • 5年間のトップページアクセス数から推定した結果は次の通り。
    169~254円/月 GPT4予測
    150~400円/月 Grok4予測
  • サーバ統計でのページビュー数より推定
    280~3353円/月 GPT4予測
    850~2550円/月 Grok4予測

かなり幅はあります。
サーバーやドメインの運用費用を賄えるかどうかは微妙な線ですが、少しは回収できそうです。

MIC-NETの推定は置いておいて、他のサイトはどうなのか見てみました。

例1:新潟県

新潟県は自治体で初めてGoogle AdSenseを導入した事例として知られていますが、現在は固定型・変動型のバナー広告をトップページなどで掲載し、財源確保を図っています。

広告導入基本方針: https://www.pref.niigata.lg.jp/sec/ict/1228420866024.html

トップページ(広告表示例): https://www.pref.niigata.lg.jp/

例2: 姫路市(兵庫県)

例3: 岸和田市(大阪府)

  • 公式ウェブサイトにバナー広告を募集し、財政収入の確保と地域産業振興を図っています。月平均アクセス数に基づく掲載。
  • URL: https://www.city.kishiwada.lg.jp/page/3-banner-ad.html

例4: 名古屋市(愛知県)

  • 公式ウェブサイトのトップページおよびサブトップページにバナー広告を募集・掲載。
  • URL: https://www.city.nagoya.jp/shicho/page/0000089829.html

例5: 札幌市(北海道)

  • 公式ホームページにバナー広告とテキスト広告を掲載。サイズ拡大により視認性を高めています。
  • URL: https://www.city.sapporo.jp/city/ad/boshu/index.html

例6: 栃木県

  • ホームページに10枠のバナー広告を募集・掲載。
  • URL: https://www.pref.tochigi.lg.jp/c05/kensei/kouhou/hp/banner.html

これらの事例は、自治体の財政難対策として増加傾向にあり、広告掲載により月数万円から数十万円の収入を得ているケースが多いです。AdSenseに特化した最近の事例は少ないですが、上記のバナー広告が主流です。詳細は各URLで確認してください。

まとめ

その他、企業のサイトについていくつかのサイトについてみてみましたが、広告自体をサイト運営団体が直接受け付け掲載しているケースがほとんどで、AdSenseなどに広告掲載を外部丸投げしているところはほとんどなさそうです。 
 まず、AdSenseを使って広告掲載を試します。 MIC-NETでも、直接受け付ける方法も検討していきます。 ただし、製品サービスを検証したうえで掲載いたします。お勧めできない製品やサービスについては掲載をお断りすることもありますのでよろしくお願いします。

25年ほど前に、mic.or.jpで一時期広告を掲載していました。当時は数千円/月程度の収益で、サイト運営のささやかな支えになっていました。しかし、システム更新のタイミングでユーザー体験を優先し、広告を外してしまいました。最近、サイトの成長とともに「持続可能性」を再考する機会が増え、再び収益化を検討中です。この記事では、私の経験を基に、医療情報学サイトの収益化を「検討編」としてまとめます。広告掲載後には実践結果も公開予定です。

参考

1. サイトの現状と再検討のきっかけ

mic.or.jpは、コンピュータサイエンスやツール紹介を中心にさまざまな気になる事柄の記事を公開・運営してきました。立ち上げから約15年、月間PVは数千〜1万程度で安定していますが、執筆の手間とサーバー維持費の負担が徐々に重くのしかかっています。

これらを踏まえ、収益化を「補助輪」として位置づけ、サイトの質を損なわない形を探ります。医療関連サイトゆえ、広告の選定は特に慎重に—信頼性を守りつつ、運営を楽しく継続したいところです。

2. 収益化のメリット・デメリット分析

収益化の第一歩は、冷静な分析です。私の過去経験と、類似サイトの事例(例: 学術ブログのAdSense導入報告)から、以下のようにまとめます。

メリット:

  • 経済的安定: 数千円からスタートし、PV増加で月1万円超も現実的。サーバー費やドメイン更新をカバー可能。
  • モチベーション向上: 収益が見える化され、執筆意欲が持続。読者も「価値あるコンテンツ」として認識。→役に立つ情報公開を中心に据えますが、収益目的重視のコンテンツにはしない方針

デメリット:

  • ユーザー離脱リスク: 広告過多で「商業的」と見なされ、信頼低下。
  • 初期労力: 申請・最適化で1-2週間かかる。収益ゼロの「沈黙期間」も覚悟。

収益化検討編の記事公開による影響の推測

以下はGrokによる推測情報:
「サイト運営の収益化 検討編」というトピックを公開した場合の収益影響を推測します。私の分析は、Web検索や関連事例(ブログ運営者の収益報告公開の議論など)に基づいています。結論から言うと、公開した方が収益は上がる可能性が高いと推測しますが、条件付きで多少のリスクもあります。以下で詳しく説明します。

1. 全体的な影響のメカニズム

  • トラフィック増加の効果(プラス要因):
    収益化関連の記事は、サイト運営者や初心者ブロガーの間で人気の検索キーワード(例: 「ブログ収益化 方法」「広告掲載 準備」)にヒットしやすいです。公開すれば、Google検索経由の訪問者が増え、PV(ページビュー)が向上します。広告収益(Google AdSenseやアフィリエイト)の多くはPVやクリック率に依存するので、直接的に収益アップにつながります。
    実際の事例として、ブログ運営者が収益化Tipsを公開した結果、月間PVが数倍に跳ね上がり、収益が10万円以上増加した報告が複数あります。 また、アクセス数と収益の相関が強いサイトでは、こうした「メタ記事」(運営Tips)が新規読者を呼び込みやすいです。
  • 信頼性とエンゲージメントの向上(プラス要因):
    専門性が高い読者層(研究者)が「実践的な運営ノウハウ」として信頼し、滞在時間やシェアが増えます。これが間接的に広告クリック率を押し上げます。ブログ収益化のガイド記事を公開した運営者が、読者からの相談やリピート訪問で収益を安定させたケースも見られます。
  • デメリットの可能性(マイナス要因):
    収益化の「検討編」を詳細に公開すると、競合サイトが増えたり、自分の戦略が模倣されるリスクがあります。特に収益報告(数字の公開)を伴う場合、モチベーション低下や税務・プライバシーのトラブルを招くデメリットが指摘されています。 ただし、クエリの「検討編」は具体的な数字公開を避け、戦略の概要に留めれば、このリスクは低いです。

2. 収益変動のシナリオ推測(テーブルで比較)

以下は、公開した場合の収益影響を、短期・長期で推測したものです。前提として、広告準備中なので初期PVは低めと仮定(月間1,000〜5,000PV程度)。

シナリオ短期影響(1〜3ヶ月)長期影響(6ヶ月以上)収益変動推測理由
公開する+10〜30%+20〜50%上がる新規検索流入でPV増。Tips記事自体が広告表示機会を生む。事例: 収益化記事公開で月10万円達成。
公開しない±0%±0%変わらない既存コンテンツ頼みで成長停滞。競合に後れを取る可能性。
公開+数字非公開+15〜40%+30%以上大きく上がるリスク低減しつつ信頼獲得。メンテナンス次第で安定。
  • 上がる確率が高い理由: ブログ/サイト運営の80%以上の事例で、収益化Tips公開がPVを押し上げ、結果として広告収益を増加させています。 特に準備中の広告掲載後([広告掲載後公開]と指定)なら、記事内で広告を自然に紹介でき、コンバージョンも期待できます。
  • 下がる可能性は低い: 炎上リスク(例: 誤情報)がない限り、収益減少は稀。むしろ非公開の方が機会損失になります。

3. 公開時のTips(収益最大化のために)

  • 記事構成: 導入部で自身のサイト(mic.or.jp)の事例を軽く触れ、読者の共感を呼ぶ。SEO対策(キーワード: 「医療サイト 収益化」「広告準備 方法」)を入れて検索上位狙い。
  • 注意点: 数字(収益額)は伏せて「検討編」に留め、デメリット記事のようにトラブル避け。 公開後、Google AnalyticsでPV/クリック率を追跡し、調整を。
  • 追加推奨: X(Twitter)で記事をシェアすると、さらなる流入が見込めます。関連議論では、超特化記事が収益安定に効くとあります。

全体として、公開をおすすめします。収益化準備中のタイミングでこうした記事は「フック」になりやすく、サイトの成長を加速させるはずです。何か具体的な原稿ドラフトが必要なら、追加で相談してください!

以上が、Grokによる分析結果でした。 実際のところはどうなんでしょうか。
表示崩れなど、広告表示に伴う問題があれば、コメントをお願いします。

WordPressの推奨環境がPHP8に! 互換性エラーを防ぐためのチェックリストと実践的移行ノウハウ

最近、Webサイト構築の定番である WordPress が、推奨する PHP のバージョンを上げつつあります。これを受けて「PHP 7 から PHP 8 に切り替えよう」と検討された方も多いと思います。
ただし、安易に「バージョン切り替え=完了」ではなく、実装しているプラグインやテーマ、カスタマイズ部分によっては、PHP 8 への切り替えでエラーが出たり画面が崩れたりするケースがあります。
本記事では「私が実際に PHP 8 へアップグレードしようとしたら、実装の一部が対応しておらず調査・対策した」経験を元に、ノウハウを整理しました。たとえ実績の少ない開発でも、手順を整えておけば安心です。

1.主な作業の流れ

No.工程名主な目的・内容チェックポイント
2作業方針の確認作業範囲と進め方を明確化。対象環境や切替手順を決定。ステージング環境/バックアップの準備
3PHP7と8の差分確認主な仕様変更・互換性リスクを整理。影響範囲を洗い出す/公式移行ガイド参照
4チェック方法の確立テスト観点・確認手順を定義。どのツール・方法で検証するか決定
5チェックの実施実装・テーマ・プラグインを実際に検証。エラーログ・動作確認・機能テスト
6対処の実施問題箇所を修正・更新。プラグイン更新・コード修正・代替策検討
6最終確認全体の再確認と安定性テスト。表示・機能・ログ・速度の最終チェック

以下では、この流れに沿って各ステップを詳しく解説していきます。

2.作業方針:まず確認すべきこと

最初に、「どこを対象に、どのように切り替えるか」を決めることが非常に重要です。以下のような観点で作業方針を固めましょう。

  • 作業範囲の特定:運営中のサイト全体を対象にするか、一部(テスト環境・ステージング)から行うか。
  • 切り替え手法の確立:レンタルサーバーなどでは GUI で PHP バージョン切替が可能な場合もあります。ただし、GUI切替後も実行時のバージョンが想定と異なることがあるため、必ず確認手順を設けます。
  • リスク把握とバックアップ準備:テーマ/プラグイン/カスタムコードが PHP 8 に未対応の可能性あり。何かあったときに戻せるよう、バックアップ体制を整えておきます。
  • ステージング環境の活用:本番サイトを直接切り替えるのではなく、テスト環境で確認した上で本番移行するのが安全です。
  • スケジュールと役割分担:誰が何をいつまでに確認・対処するか明確にします。

このように「方針を整える作業」が、後工程での混乱を防ぎます。

3.バージョン差分の理解:PHP 7 ⇒ PHP 8

PHP 8 へ切り替える前に、PHP 7 と PHP 8 の違いを把握することが不可欠です。主な変更点を整理します。

3-1. 新機能/言語仕様の改善

例えば以下のような改善があります:

  • 名前付き引数(Named Arguments)やコンストラクタプロパティプロモーションなど、コード記述効率が向上。 (Liquid Web)
  • nullsafe 演算子(?->)など、ネストオブジェクトアクセスの安全性向上。 (bounteous.com)
  • ユニオン型(Union Types)など、型宣言の拡張により、より堅牢なコード設計が可能に。 (Lets Go Dev)
  • JIT(Just-In-Time コンパイラ)導入など、実行性能改善の下地あり。 (bounteous.com)

これらは “メリット” であり、将来的な保守性・性能に寄与します。

3-2. 互換性・注意すべき変更(リスク)

ただし、PHP 8 には互換性を壊す変更もあります。以下、代表的なものです:

  • 文字列と数値の比較挙動が変わっています。例えば、PHP 8 では “文字列” → 数値変換ではなく、数値 → 文字列に変換され比較されるケースがあります。 (Medium)
  • リソース型がオブジェクト型に返る関数が増え、「is_resource()」でのチェックが通らなくなる場合があります。 (Medium)
  • エラー/例外の扱いが厳しくなっています。例えば、ゼロでの除算が例外を投げるようになったり。 (Medium)
  • 多くの拡張機能や関数が非推奨または削除されています。切り替え前に公式マニュアルの “Migration” ガイドを参照すべきです。 (php.net)
  • プラグインやテーマ、それにカスタム実装が PHP 8 を想定していない可能性あり。例えば、引数の型や戻り値型、メソッドシグネチャが変わる場合があります。

このように、ただボタンを押して切り替えるだけでは “事故” が起こる可能性があります。

4.チェック/確認方法:実務的手順

では、実際にどのように確認を進めればよいか。「効率的にチェックをするための流れ」を整理します。

4-1. 確認観点の整理

事前に「チェックすべき観点」を整理しておくと作業がスムーズです。例えば:

  • 使用しているプラグイン・テーマ・ライブラリが PHP 8 に対応しているか/推奨バージョンは?
  • カスタムコード(functions.php や独自プラグイン等)が非推奨関数・構文を使っていないか?
  • データベース接続や PDO/mysqli などのドライバが新バージョンで問題ないか?
  • エラーログに “Deprecated” や “Fatal” が出ていないか?切替前に確認を。
  • GUIで切り替えた後、本当に PHP 8 で動いているか?(CLI や phpinfo() で確認)
  • ステージング環境でフロント画面・管理画面・投稿・メディアアップロード・キャッシュクリアなど主要機能が正常か?
  • 外部 API や Webhook連携、カスタムフィールド、テーマ内カスタマイズが影響を受けていないか?

4-2. 確認手順の確立

実践として以下手順を推奨します:

  1. ステージング環境を用意。現行 PHP 7 で動作確認済みの状態にしておく。
  2. バックアップ取得(ファイル・データベースとも)。
  3. GUI 等で PHP バージョンを PHP 8 に切り替え(レンタルサーバー等で可能な場合)。
  4. phpinfo() あるいは php -v(SSH 利用可なら)で切り替わっているか確認。GUIと実際のバージョンが異なるケースありです。
  5. ログを確認:エラー/警告が出ていないか、特にdeprecated・fatal。
  6. フロントエンドと管理画面を隅々まで操作:投稿作成/編集、メディアアップ、プラグイン設定、キャッシュクリア等。
  7. プラグイン・テーマを一つずつ無効化→有効化テストも有効。
  8. 必要であれば自動テスト・ユニットテスト・UIテストがあれば実行。
  9. 問題があれば該当コードを保護しつつ、本番移行日を調整。

この「チェックの実施」を丁寧にやることで、不慮のサイトダウンや画面崩れを防げます。

問題個所の抽出用シェルプログラムサンプル

以下は、sshでログインして、チェックしたいディレクトリ(サブディレクトリ含む)で、実行することで、問題個所抽出するコード(サンプル)です。環境に合わせてバージョン設定などの調整が必要です。

$>  PHP_BIN="/usr/bin/php8.1" find . -name "*.php" -type f -print0 | while IFS= read -r -d '' f; do head -c3 "$f" | grep -q $'\xEF\xBB\xBF' && { echo "BOM除去: $f"; sed -i '' '1s/^\xEF\xBB\xBF//' "$f" 2>/dev/null || sed -i '1s/^\xEF\xBB\xBF//' "$f"; }; "$PHP_BIN" -l "$f" 2>&1 | grep -v "No syntax errors" | grep . && { echo "構文エラー: $f"; echo; }; done; echo "チェック完了(PHP 8.1: $(/usr/bin/php8.1 -r 'echo PHP_VERSION;'))"
チェック完了(PHP 8.1: 8.1.32)

5.対処:問題が見つかったときの対応方針

チェックの結果、何らかの問題(エラー、崩れ、警告)が出た場合の “対応” を以下のように整理します。

5-1. プラグイン/テーマの対応

  • 利用中のプラグイン・テーマが PHP 8 非対応であれば、アップデート可能かを確認。開発者がサポートを打ち切っている場合は代替を検討。
  • テーマ・プラグインの開発版・互換版が提供されていれば、それに切替。
  • カスタマイズが多いテーマ(子テーマ含む)は、PHP 8 対応コードが含まれているか、開発元に確認。

5-2. カスタムコードの修正

  • 非推奨関数・構文を使っている場合:公式マニュアルの “Backward Incompatible Changes” を参照。 (php.net)
  • 例:文字列⇔数値比較の挙動変化、リソース → オブジェクト返却、除算ゼロの例外化など。 (Medium)
  • 型宣言や戻り値の型が厳しくなったため、関数の引数・戻り値を見直す。
  • 自動変換ツール・リファクタリング支援ツール(例:Rector)を活用するという事例もあります。 (Reddit)

5-3. 最速リカバリ手段も用意

  • 本番移行中に不具合が出そうな箇所があれば、切り戻し可能な状態(バックアップ/リカバリ手順)を確保。
  • 本番移行直後はアクセス数が少ない時間帯を選ぶのも有効。

5-4. 独自実装コードの修正

5-2.項と同じですが、ここでは実際に検出した事例を紹介しつつ、もう少し深堀してみましょう。
このページではつぎの1つだけを書きます、そのほかの詳細は別ページにまとめますので参考にしてください。

PHP 8 では、PDO::prepare() 後に execute() する前に beginTransaction() を呼び出すと、
PDOException: There is no active transaction が発生し、commit() 前に例外でスクリプトが終了 します。

この問題は4-2.項に書いた構文チェック(PHP -l *.php) の方法では検出できません。 php実行で動きが変わったことで検出はできますが、事後検出となってしまいます。エラーログでも検出できますが、例外catchして捨ててしまっていると情報が得られません。 このようなものもまとめて検出する仕掛けも用意したほうが良いでしょう。




6.最終確認と移行後のフォローアップ

移行が完了したら、以下の「最終確認」と「フォローアップ体制」を整えておきましょう。

  • フロント・管理画面ともに主要な操作をもう一度全体的に確認。
  • エラーログ・サーバーログを監視し、想定外の警告/エラーが出ていないか。
  • アクセス数の急変やページ表示速度の変化がないか、モニタリング。
  • プラグイン・テーマの更新状況を定期的にチェック。PHP 8 対応が正式にされていないものがあれば優先的に対応。
  • 将来バージョン(PHP 8.x → 8.y/9 が出た場合)にも備えた“アップグレード体制”をあらかじめ整えておく。

7.まとめ&今後の視点

  • PHP 8 には多くのメリット(性能向上、モダンな構文、型安全性向上など)があり、可能であれば早めの移行がおすすめです。 (bounteous.com)
  • ただし、「すぐに切り替え=安心」ではなく、既存実装・プラグイン・テーマ・カスタムコードが PHP 8 に対応しているかを丁寧に確認・修正する必要があります。
  • 本記事で紹介した「作業方針→差分理解→チェック手順→対処→最終確認」の流れを実践すれば、移行時のリスクを大きく下げることができます。
  • 今後、PHP 自体のバージョンアップ(例えば PHP 8.1/8.2 以降)も視野に入れ、「バージョンアップ可能な設計」「コードのモダン化(型宣言/非推奨箇所の排除)」を早めに進めておくと、将来的には“また大変”という状況を回避できます。
  • 最後に、移行後も「アクセス・表示速度・エラーログ」という観点を継続してモニタリングすることを強くお勧めします。

難解になってきた、スパム(詐欺)メールの読み解き。

以下、 いっぱい来ている詐欺メール(怪しいメール)のうち、ひとつを生成AIに判別してもらいました。
プロンプトは次のように入れました。「***」は伏字にしています。

メールの調査依頼 怪しいメールが来ました。調査をお願いします 文面は以下の通りです
--------------------------------------------
 社長からの指示で発注書を送付いたします。 ご確認よろしくお願いいたします。https://***.zh-oulu.com/article/ppt

GPT4、 Grok4ともに「そのメールは 非常に高い確率でフィッシング(詐欺)メール です。」の判定です。

これのメールについては正解(True Positive)に違いないのでしょうが、問題はFalse Positive (スパムメールと誤判定してしまう)こともありました。 具体的には税務署からの物理郵送物でした。 GPT4は、 それは詐欺メールだと判定してしまいました。 税金支払わなかったたら追徴課税が来てしまいします。まるで、詐欺メールのように、恐ろしい。。。 税務署にはGPTに聞いても詐欺メールと判定されないように努力してほしい。  しかし、 どういう判定基準なのかは、税務署など正式な役所の人よりも、詐欺側のほうが研究して、改善?して攻撃してくるので恐ろしい。
 20年以上前から電子署名などの仕組みはあるが、うまく活用できていない。 証明書のお値段が年間何万円もかかるのも、広まらない理由でもあるが、もう一つは1通ごとに証明書を計算しないといけないので配信処理のCPUコストが高くなってしまうこともあるだろう。 なかなか難しい。 ただ、スパムフィルターも通り抜けている。。。
参考になるのは「https://ymg.nagoya/spam-mail-3057/」同じ攻撃を受けている人の投稿の存在。 この情報があれば、確実に詐欺と判断できますね。

以下、今回のメールのGrokの読み解き

調査結果の概要

ご提供いただいたメールの内容を調査しました。このメールは、典型的なフィッシング詐欺の特徴を強く示しており、絶対にリンクをクリックしたり、情報を入力したりしないよう強くおすすめします。以下に詳細をまとめます。

メールの特徴と危険性

  • 内容の不自然さ: 「社長からの指示で発注書を送付いたします」という文言は、ビジネスメールとして一見普通ですが、送信元が不明瞭で、具体的な会社名や詳細が欠如しています。こうした曖昧な表現は、受信者を油断させてリンクをクリックさせるための典型的な手口です。
  • リンクのURL: https://www.zh-oulu.com/article/ppt
  • このドメイン(zh-oulu.com)は、フィンランドのオウル大学(University of Oulu)と関連づけられた偽装名ですが、実際には正規の大学サイトではありません。類似ドメイン(例: web-zh-oulu.com)は、信頼性評価サイトで極めて低いスコアを付けられており、詐欺サイトの可能性が高いと判定されています。
  • ページの内容を直接確認したところ、ほとんど有用な情報がなく(「Insufficient relevant content」)、これはフィッシングサイトの典型的な兆候です。こうしたページは、アクセス後にリダイレクトやスクリプトを実行し、個人情報を盗むためのトラップを仕掛けています。
  • 特に、このURLは携帯電話番号の奪取を狙った不正サイトとして、X(旧Twitter)上で明確に警告が出されています。ページに表示されるフォームなどで番号を入力させるよう誘導する可能性が高いです。

なぜフィッシング詐欺か?

  • 類似事例の多さ: オウル大学関連のドメインを悪用したフィッシング攻撃は過去に複数報告されており、大学側もスパムやフィッシングの注意喚起を繰り返しています。 これは、信頼できる機関の名前を借りて信用を偽装する手口です。
  • 一般的なリスク: クリックすると、マルウェア感染、個人情報(電話番号、メールアドレス、パスワード)の盗用、またはさらなる詐欺メールの連鎖を引き起こす可能性があります。FTC(米連邦取引委員会)も、こうした「発注書」や「確認依頼」を装ったメールをフィッシングの典型例として警告しています。

推奨アクション

  1. リンクを無視: 絶対にクリックせず、URLをコピーしてブラウザのアドレスバーに直接貼り付けないでください。メール全体を削除するか、迷惑メールフォルダに移動。
  2. 送信元を確認: メールヘッダーをチェックし、送信元ドメインが本物の会社(例: @yourcompany.com)と一致するか確認。疑わしい場合は、直接会社に電話で問い合わせを。
  3. 報告する:
  • Gmail/Outlookなどのメールクライアントで「スパム報告」。
  • 日本国内の場合、警察のサイバー犯罪相談窓口(#9110)やIPA(情報処理推進機構)のフィッシング報告フォームへ。
  • 国際的に、PhishTank(https://phishtank.org/)にURLを登録。
  1. 予防策:
  • 2段階認証を有効化。
  • アンチウイルスソフトでメールをスキャン。
  • 疑わしいメールは常に上司やIT部門に相談。

このようなメールは増加傾向にあり、2024-2025年でも同様の事例がRedditなどで報告されています。 追加の詳細が必要でしたら、メールのヘッダー情報などを共有いただければ、さらに深掘りします。ご注意ください!

リスク設定の最適化:想定外をどう設計するか、つまり”想定する範囲”の設計思想が重要な時代に

要約

  • 異常気象による災害が頻発・激化し、従来の「想定外」が想定すべき範囲になる時代に入りつつあり、防災・設計・制度はそれに応じた想定設計を見直す必要がある。
  • 日本では気候変動による降水強度の増加、豪雨・洪水・熱波などの頻度の上昇、農林水産業への被害額の拡大などが顕著である。
  • 「完全安全」設計を追求するコストは高く、トレードオフがあるため、“柔軟な再構築”の発想だけでなく、“別解”(分散社会化・リスク共有・価値観の転換など)を社会設計として検討する必要がある。

1. 想定外が想定になる時代

近年、日本では「想定外」の異常気象が次々と発生し、それがもはや例外ではなく「標準的なリスク」として扱うべき現象になっている。気象庁の「日本の異常気象」のデータを含むレポートによれば、降水量・日照時間・気温などが平年値から大きくかけ離れる現象の頻度が増加傾向にあり、それが生活・農業・インフラ等に重大な影響を及ぼすことが明確になってきた。 (気象庁データ)

2. 日本での被害額・頻度の具体例

  • 令和2年7月豪雨
    2020年7月に発生した豪雨では、広範囲で河川の氾濫等が発生し、農林水産業への被害額が 2,208億円 に上った。加えて、同年中の台風等による農林水産関係の被害を含めると 2,473億円 相当。 (環境省)
  • 熱波・高温現象
    気温偏差・日照・猛暑日数の増加も記録されており、近年の夏季や梅雨の気候異常が健康被害・インフラへの負荷を増大させている。例えば令和2年冬には、平均冬気温偏差が +1.66℃となり、統計開始以降の記録を更新。 (農林水産省)
  • 農林水産業への継続的被害
    異常気象・自然災害により、我が国農作物の作況指数が不作となる年の頻度が増え、収穫量が平年を大きく下回るケースもあり、経済的ダメージも重い。 (農林水産省)
  • 2023年の被害
    2023年には、梅雨前線・台風等による河川の氾濫等で 農林水産関係の被害額が1,928億円 に達した。 (環境省)
  • 保険セクターにおける影響
    金融庁の「気候関連リスクに係る第2回シナリオ分析」では、風災・水災リスクの上昇により保険金支払額が増え、それに伴う保険料の上昇が予想される旨が報告されている。特に築古建物などリスクが高い対象でアップ率が保険支払額全体の増加を上回る可能性。 (金融庁)

3. 品質管理・設計領域での「想定範囲」の見直し

工業設計・品質管理の世界でかつて標準だった「3シグマ」「6シグマ」といった設計基準は、かつては安全・性能を保証する枠として機能してきた。しかし、気候・環境・インフラ条件の変化(降水強度の増加、熱ストレス、資材・施工環境の変動など)により、従来の想定値が急速に陳腐化している。また、コスト競争も激化し、過剰安全を取ると価格競争力が落ちるため「どこまで安全性を確保するか」の線引きが厳しくなってきている。

4. コストと被害のトレードオフ:最適化の必要性

想定範囲を広げて安全マージンを取ると、設計・建設・維持コストが増大する。たとえば河川管理・治水設計・堤防の高さや排水能力を余裕を持たせる設計は、その分の資材投入・工法・土地利用コストがかかる。他方で、想定を狭く取った場合、「100年に一度」の洪水が平年頻度の10〜20年に一度のレベルで発生するよう変わってきたという予測もあり(たとえば降水強度が1〜3割程度増加するとの予測)。このような変化は、設計想定の再検討を強く促す。 (防災ポータル)

5. 社会設計案:柔軟な再構築重視の方向

柔軟性と復元力(レジリエンス)を中心とする設計がこれからますます必要になる。以下日本で進んでいる事例:

  • 防災情報システム・サービス市場:2024年度の国内市場規模は 2,150億円。自治体の導入意欲が高まり、防災DX・情報共有・データ分析等の技術活用が進んでいる。 (プレスリリース・ニュースリリース配信シェアNo.1|PR TIMES)
  • マイクログリッド・地域エネルギー自立化:先に述べた通り、太陽光+蓄電+自家消費モデルの実験・導入が農業ハウス等で行われており、災害時の基本機能保持を目指している(電力復旧が遅れると被害が拡大するため)。具体的数字は公表段階が地域ごとに異なるが、補助金制度の整備など政策支援が増えている。

6. 別解を問い、制度・文化を再設計する

データが示すとおり、従来の「想定+安全マージンを上げる」戦略だけではリスク・コスト・被害双方を十分に抑えられないケースが増えてきている。そのため社会設計の別解を積極的に模索する必要がある。その具体方向を日本の事例・国際知見を踏まえて以下に整理する。

  • 分散社会化の事例
    地理的に災害の集中が予想される地域の人口・インフラ密集を避ける都市計画。例えば地方移住促進、地方分校・地方拠点の通信サーバーやデータセンターの分散配置など。今後、日本のデータセンター業界などで地方分散を含めた設計方針を表明する企業が増加しており、これが自然災害リスク軽減の一助となる可能性。
  • 保険・共済の役割の進化
    金融庁の報告や損保会社の調査では、風水災リスクが増す中で保険商品の料率変更や契約条件変更の可能性が高まっていることが指摘されている。被保険者側では防災・減災サービスを活用して被害を低減するインセンティブをどう設けるか、また公的なリスク補助・共済制度をどう設計するかが鍵となる。 (金融庁)
  • 文化・価値観の転換
    日本では「被害を最小にする」「効率を上げる」「技術で解決する」という価値観が根強いが、それに加えて「一定の不便を織り込む」「被害を前提に設計する」「復旧・再構築の資源・時間を社会が共有する」という価値観を育てることが重要である。これには教育・メディア・民間・行政の意識改革が含まれる。

7. 結論:設計・制度・文化の三重の再構築を

日本のデータが示す通り、想定外の頻度・被害額は明らかに上昇しており、安全設計・災害対策をそのままにしておくことはリスクが高い。「完全安全」設計は理想だが、現実的コストがかかりすぎる。不確実性の増す時代には、想定範囲を定期的に見直すこと、レジリエンスを重視する設計を進めること、そして制度・文化の別解を模索することが不可欠である。未来の社会設計とは、技術や制度だけでなく、人間の価値観・集合的選択をも含む再構築的なプロジェクトである。

出典リスト(主なデータ元)

  1. 環境省「令和2年度 食料・農業・農村白書」/「白書」第1章:異常気象に伴う気象災害の農林水産業被害額 2,208億円等。 (環境省)
  2. 気象庁「日本の異常気象」関連データ(降水強度、気温偏差等) (防災ポータル)
  3. 環境省「令和5年版 環境・循環型社会・生物多様性白書」:2023年の農林水産関係被害額 1,928億円等。 (環境省)
  4. 金融庁「気候関連リスクに係る第2回シナリオ分析(保険セクター)」:物理的リスクの増大と保険料・保険金支払いの上昇可能性。 (金融庁)
  5. 株式会社シード・プランニング「防災情報システム・サービス市場の実態:2024年度国内市場規模 2,150億円」 (プレスリリース・ニュースリリース配信シェアNo.1|PR TIMES)

BRAVIAでの再生でかくかく動きが時々とまる を 解決

結論は、BRAVIAの2023年3月ころにアップデートされたソフトウェアのバグと推測します。設定で回避できました。

さて、1年以上問題なく使えて動いていたBRAVIAですが、急にときどきとまる事象が発生しました。
hsbox(ホスボックス)のせいじゃないかと濡れ衣を着せられたhsboxですが、予想どおり濡れ衣でした。 hsboxはBRAVIAと組み合わせても何も問題ないのでつかってみてください。話がずれてしまいました。

最初、電波状態が悪いのではないかとアンテナケーブル等を変えてみましたが、並列でつながっているHDDレコーダでの受信は問題ないので、局所的な問題ということは明らかでした。テレビでアンテナレベルと確認すると”60”で、低いかなと思われるレベルですが、テレビの表示では「受信可能範囲内」でした。 念のためテレビにつながっているアンテナケーブルを4K/8K用の最新のものに交換してみましたが、レベルは全く変わりませんでした。 → ある意味予想通り。。。

 ネット検索の結果、次のような情報を発見
https://bbs.kakaku.com/bbs/K0001247735/SortID=24293158/

モーションフローの設定を カスタム → オートに 変更して直ったという情報もみつけた。

モーションフローの設定を確認したところ「オート」になっていた。
これを「オフ」に切り替えて試してみると。
→ かくかく の動きはなくなりました。

以上。

→ これはどうみてもモーションフローのソフトウェアのバグなんじゃないでしょうか。。。 
  

WordPress5.4.2セキュリティ修正リリース   5.2.7も自動適用

 2020/6/10にWordPress5.4.2がリリースされた。これにはセキュリティ修正が含まれている。 修正 https://core.trac.wordpress.org/query?milestone=5.4.2&group=component&col=id&col=summary&col=milestone&col=owner&col=type&col=status&col=priority&order=priority

 このリリースにはセキュリティ修正のほかに強化も含んでいる。5.4系を使っているなら上げるほうがよいだろう。 5.2系は 5.2.7でとりあえずよいのか…。 5.2.6、5.2.7の修正内容は見えない感じです。

パッチはリリースしているのに、修正内容が分からないのはいまいちです..

WordPress5.4.1リリース  セキュリティ修正を含む が … 5.2.6も自動適用された

 2020/4/29にWordPress5.4.1がリリースされました。これには7件のセキュリティ修正が含まれています。ただ相変わらず修正内容に関する情報公開がぬるい。修正のほかに強化項目も含まれているので何用のリリースなのか分かりにくい。

■5.4.1での修正内容は

 情報公開で、分かりにくいポイントはいくつかあるが、ぱっと見どれがセキュリティ修正かわからない。NVD、JVNには4/30時点では、まだ情報公開されていないようです。修正内容のほとんどはバグ作り込みが、WP5.4となっています。そして2件の修正対象のバグ作り込みバージョンは5.3となっています。 これはREST APIに関するものです。 この修正では、5.2以前のものはなさそうなので、 5.2系を使っているところは様子見でよさそう。

 REST APIの件がセキュリティ修正かどうかが気になる。 #49648はプロパティのアトリビュートが取れない問題、#49645も同様にREST APIを使ったシーンで情報が取れない問題だ。これは、セキュリティかどうかに関係なくアップデートしておいたほうがよさそうです。 アップデートするとなると気になるのは、5.4や5.4.1で強化された項目の残バグの状況です。 

■残留バグ、つぎの修正の予定は?

すでに5.4.2を作業中のようです。これも強化を含む修正で、5.1で作り込んだバグの修正も含みそうです。 

■それで、どうする?

5.4.1については、 5.3系には適用するのでよいでしょう。 5.2以前は5.4.2が出るのを待つので良いでしょう。5.2は5.2.6が自動適用されました。
それからNVDなどの情報もチェックしましょう。

■追記:5.2.6の内容は?

5.4.1の修正内容ではなく、5.4.2で作業中のテーマの更新を先行して出したようです。WordPressの修正一覧ではマイルストーン、バージョンともに5.2.6はまだ登録されていません。 修正内容もチェックしておきましょう。

WordPress5.4がそろそろリリースされそう。 セキュリティ修正は?

 2019/12/13にWordPress5.3.1 セキュリティパッチがリリースされてから、セキュリティ修正はまだないが、5.4でどうなるかちょっとみてみた。 修正内容の管理も5.4もできている。

■5.4での修正内容は

 今時点で5.4がリリースされるような状況ではない感じがする。 最悪5.4はスキップして、5.5か という感じさえする。というのは、#49685 など、マイルストーンを5.5としている。修正できたら5.4にセットしなおすのかもしれないが。。。

それから、5.3以前の作り込みバグの修正はなさそうです。いずれも5.4での問題の修正とされている。

■4/2追記:

5.4リリースされていました。
結構クローズされていない状態でリリースされているようだ。 修正内容の項目数は、先日みたときより4倍くらいに増えている。まだまだ修正中という感じですね。となると、5.4.1のリリースもすぐかもしれない。 それから、5.4での強化のいろづけが簡単にできるようになるのはよさそう。。。 でも、大きめの残バグがあるので、5.4へのバージョンアップは修正パッチが出てからにしよう。

・脆弱性

2020年もプラグインがらみの脆弱性が多数報告されている。 プラグインのほうもチェックしておかないと。。。

スパム対策設定の成果

先のスパム設定の成果

設定対策後1ヶ月が経過しました。 先に公開した設定で、検出できなかったスパムは0件でした。 ただ、誤検知、つまり通常の配信メールなのにスパムと判定されたメールが4件ありました。これらは、除外設定で暫定回避して誤検出を抑制しています。

正式な誤検出対策の方法

誤検出を検出されたときに1件づつ除外設定をしなければならないのは面倒です。そこで、誤検出してしまった原因を確認して、その条件を除外することとします。
 DNSの逆引きで、unknownとなった送受信ログがあるものを対象としていますが、メースシステムの送受信でDNSで名前解決をせずに動作しているメールサーバーの存在が原因でした。つまり、メールの送信元がファイアウォール内のイントラネットであって、そこから中継サーバを経てインターネットに送信されています。

普通、メールサーバならイントラネット内でもDNSで名前解決するようにシステム設計するものなのですが、それなりにインターネットサービスをしている企業であっても名前解決・逆引きできないメールサーバがいくつかあります。DNS設定くらいしておいてほしいのですが、そんなことを言っても解決できないので、対処方法を考えてみます。
  問題はイントラネット内でのUnknownですので、Unknwonが10.x.xとか192.168.xとかのイントラネットIPなら除外する回避設定を正式対処としてみます。正規表現でUnknownかつ(10.xx.xx)でも(192.168.x)でもxxxでもない場合にスパムと判定するように見直します。といっても、メーラのフィルタにこのルールを設定できるのか疑問ですが。

スパム対策設定その後

先のスパム設定の結果と追加対策

対策前の1週間: 対象のスパムなどのメール は 284通。 これは振り分け前なので一部MLも含んでいる。 半数はスパム候補として判定されマークされている。一番対策したかったのは、メーラーやSpamAssassinでスパム判定し漏れてメインのメールボックスに入ってくる新しめ?のスパムでした。 100通/週くらいありました。

対策後の1週間;メインのメールボックスに入るスパムはほぼなくなり、1週間で2,3通でした。スパム判定の下メール内訳は次の通り、
先に追加したスパム判定ルールで検出したスパム:222通。うち、97通はメーラーやSpamAssassinでスパム判定し漏れたものでした。 追加したルールで引っかからず、メーラーやSpamAssassinで検出したものは157通ありました。 
 誤判定がないとは言えませんが、誤判定してしまうような環境から送信されたメールは不要としてしまってもよいかもしれません。数はほとんどないのでどうしても必要ならホワイトリストに入れることで回避できます。 スパムに困っている人は参考にしてください。