先日「ウイルスバスター for Home Network」という、LANに接続するだけでネットワークを保護してくれるセキュリティ製品を購入しました。
こんなシンプルな箱です。ポータブルHDDくらいの大きさ。
普通にネットを見たり、Skypeしたりする分には問題なかったのですが、Wordpress の広告ウィジェットを変えようとしたところでブロックされてしまうようになりました。
症状
WordPress のウィジェットに特定の広告コードを入力すると、ウィジェットの保存ボタンを押しても処理が進まない。ウイルスバスター for Home Network のタイムラインを見たところ、「WEB Cross-site Scripting」としてブロックしたと報告されていた。
原因
楽天のモーションウィジェットや、Googleアドセンスなどのコードは、<script~ から始まるタグで記述されているため、どうやら私がクロスサイトスクリプティング(XSS)でサーバーを攻撃していると勘違いされているらしい。ひどい。。そのため、広告ウィジェットだけでなく、固定ページにちょっとしたスクリプトを書こうとしてもブロックされる。
結果
日本のサポートに問い合わせてもまっとうな回答が得られなかったので、本家サポートで対応をお願いしました。なるべく早く修正版を提供してもらえるよう対応していただいています。修正版が出るまでは、「設定 > ネットワーク保護」の項目を一時的にOFFにすることで対応してくださいとのことでした。
以下は、各サポートとのやり取りの記録です。参考までに。
対応履歴:サポートに問い合わせてみた
<script~ タグを何でもかんでもブロックしてしまえ!というのは、セキュリティ製品としてはあまりに乱暴な判断基準じゃない?ということで、サポートセンターに問合せをしてみた。
日本のサポートは「BBソフトサービス株式会社」という会社がしているらしい。
問合せメールをネットに公開してはいけないようなので概要だけ。
私:ブログに広告貼ろうとするとXSSでブロックされちゃうんですけど。
サポ:広告をXSSと判断しているので製品では回避できない。ブログ提供者に連絡して。
私:XSSの判定がおかしいよ。ブログに広告貼るのは至って普通の行為だし、scriptタグだから全部カットってのは乱暴じゃない?
サポ:問題のURLと契約情報を教えて。
私:URLなんてログインしないと見れないのに、知ってどうするの?そして契約情報を教えるのは構わないけど、どこまでこちらの通信ログを見る予定?システム構成や発生条件などはいくらでも情報提供するけれど、私の個人サイトの情報を教えても意味ないから教えたくないんだけれど。
サポ:じゃあ「危険な Webサイトへのアクセスから保護」で「承認済みWebサイトのリスト」に登録するといいよ。
私:「承認済みWebサイトのリスト」に登録したけど相変わらずXSSでブロックされます。
サポ:問題のURLと契約情報を教えて。
私:だから、URLなんて~(繰り返し)
サポ:問題のURLと契約情報を教えて。
私:だから、URLなんて~(繰り返し)
~まったく同じやり取りを1か月ほどかけて5回くらい繰り返す~
私:(きりがない・・・)
対応履歴2:英語のサポートに問い合わせてみた
BBソフトサービス株式会社さんとのやり取りに困り果てたとき、ふと「トレンドマイクロってワールドワイド企業じゃん。英語サポートに聞いてみよう」と思い立った。
探してみたところ、英語サイトでのサポートページを発見。製品名は「Home Network Security」になるらしい。
https://esupport.trendmicro.com/en-us/home/pages/technical-support/home-network-security/home.aspx
以下、つたない英語でのやりとり。
私:Home Network Security が WordPressの広告コードをXSSとしてカットしちゃうんだけど。
サポ:Home Network Security をOFFにしたらどうなる?
私:製品がOFFのときは問題起きないよ。ついでに「承認済みWebサイトのリスト」っていうのにサイトを追加してみたけど、機能していないみたい。<script~のコードがあると失敗するんだけど、今時アフィリエイトのリンクでよくあるコードだから、ブロックされるのは変だと思うんだ。
サポ:不便をかけてごめんなさいね。「承認済みWebサイトのリスト」にはちゃんとURLで登録してる?
私:「承認済みWebサイトのリスト」にはこんな風に登録しているよ。→スクリーンショット
サポ:XSSとしてブロックされちゃう件は、Wordpressに連絡したほうがいいと思う。
私:XSSでブロックされるのはWordpressに処理が届く前だから、Wordpressが対処する問題ではない。Home Network Security が私を悪人だと見なしている判定基準が間違っていると思う。
サポ:ブロックされた時のスクリーンショットを送って頂戴。あと「承認済みWebサイトのリスト」はWebサイトのフィルターしかしないから、ネットワーク攻撃のチェックには働かないの。Home Network Security 自体をOFFにしていると危険だから、代わりに「ネットワーク保護」をOFFにして試してみて。
私:「ネットワーク保護」をOFFにしたら、ちゃんと動きました。あと、ブロックされた時のスクリーンショットを送ります。
サポ:「ネットワーク保護」をOFFにしたら、回避できたみたいね。問題は解消したかな。また何かあったら連絡してね。
私:え。ちょっと待って。「ネットワーク保護」のOFFは単なる一時しのぎだよね。
サポ:「ネットワーク保護」のOFFは回避策で、修正版を提供できるように準備しているよ。
私:ありがとう!!!
10日ほどでここまで話が進みました。返信ごとに話が進んでいることに、すごく感動しました。