夏休み更新の前にやっておきたいブログのセキュリティ点検 (2)
>> 対策は基本の基本を守ること
特集
特集
前述の内容を踏まえると、運用が事実上放棄されているブログサーバは、攻撃者にとって格好の餌食となることは自明だ。
では、ブログを運用する管理者が気をつけるべき点は何だろうか?
と言っても、基本的なことだけを押さえておけば、さほど難しいことではない。初歩的な対策を以下に5つ上げてみた。
(1) 最新バージョンにアップデート
(2) 適度な強度のあるパスワード設定(DB含む)
(3) 適切なパーミッション設定(コンフィグファイルは特に注意)
(4) デフォルトの名称の変更(ディレクトリ、adminユーザ名など)
(5) インストールファイルの削除
といった内容だ。
これだけを気にかけるだけでも、セキュリティレベルは向上する。さらに、もうひとつ基礎として忘れてはならないのが、 Apache などのWebサーバのハードニングだ。
例えば、Apache の 2.2.2、及び1.3.5以下のバージョンには Expectヘッダーに XSS の脆弱性が存在する。その為、Webアプリケーションがセキュアな状態になったとしても、Apacheの脆弱性を悪用される可能性があるためだ。そういった意味では、Webアプリケーションの運用は「心・技・体」の関係では無いが、運用者とアプリケーション、さらにサーバの状態のバランスを整えることが重要なのである。今後、より複雑なWebアプリケーションが登場すると思うが、その場合でも同様である。
とはいうものの、ブログサービスの利用やアウトソースをしているユーザの方が多いかと思うので、それらについても記載しておく。
>> ブログサービス利用者が気をつけるべきこと【個人編】
多くの読者がブログサービスを利用していると思う。大部分のサービスは、ある程度の強度を持っていると思われるが、心配であれば次の項目をチェックしてみるのも良いだろう(不正アクセスにならない程度のチェックにしよう)。
・Netcraft (http://www.netcraft.com)でWebサーバのバージョンを確認
・Google.com でおかしな情報が漏洩していないかをチェック(例:site:ブログサービスのドメイン filetype:php inurl:install)。
・コメント欄でタグが有効であるかの確認。
ただし、あまり深く調査すると法に触れる可能性もあるので、これくらいで止めておこう。
>> ブログサービス利用者が気をつけるべきこと【企業編】
フルスクラッチでブログを開発し、運用している企業の場合は専門の業者に確認してもらうことをお勧めする。筆者の経験上、オリジナルで脆弱性の全くないアプリケーションをあまり見たことがない。また、アウトソースをしている場合は、前述の項目に加え、次の点も調べておく…
【執筆:二根 太】
──
(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》
