メインコンテンツにスキップ
すべての製品を見る
コンピュート
ストレージ
ネットワーク
Databases
サービス
開発者ツール
産業分野
料金
コミュニティ
当社と連絡を取る
エクスペリアブログ
カテゴリー
13
  1. クラウド関連の概要
    51
  2. コンピュート
    27
  3. コンテナ(Kubernetes、Docker)
    35
  4. Databases
    22
  5. 開発者ツール
    43
  6. Linode 
    263
  7. Linux
    69
  8. マルチクラウド
    4
  9. ネットワーク
    33
  10. オープンソース
    6
  11. パートナーネットワーク
    7
  12. セキュリティ
    65
  13. ストレージ
    24
著者 58
  1. Alex Leung 7
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Ari Weil 1
  9. Bradley LaBoon 1
  10. Blair Lyon 9
  11. Billy Thompson 10
  12. Christopher Aker 175
  13. Cassie Bubnis 1
  14. Daniele Polencic 4
  15. David Monschein 2
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 7
  23. Justin Cobbett 6
  24. Jon Frederickson 1
  25. Jorge Gaona 1
  26. Jonathan Hill 2
  27. Justin Mitchel 4
  28. James Steel 5
  29. Jamie Sherkness 8
  30. Linode 70
  31. Linode Events 8
  32. The Linode Security Team 122
  33. The Linode Network & Security Teams 1
  34. LINQ 1
  35. Leslie Salazar 1
  36. Michelle Berg 1
  37. Mitch Donaberger 1
  38. Mike Fischler 1
  39. Mike Maney 10
  40. Maddie Presland 20
  41. Mike Quatrani 4
  42. Nathan Melehan 2
  43. Nigel Poulton 1
  44. Philip McGuinness 1
  45. Prasoon Pushkar 1
  46. Peter Sari 1
  47. Rick Myers 7
  48. Richard Tubb 1
  49. Sal Carrasco 1
  50. Salman Iqbal 1
  51. Stuart Macleod 1
  52. Shawn Michels 1
  53. Linode Support 14
  54. Tom Asaro 18
  55. Travis Baka 2
  56. Talia Nassi 17
  57. Tim Vereecke 1
  58. Yuri Goldfeld 1
ブログセキュリティ緩んだ唇はウェブサイトをも沈める

緩んだ唇はウェブサイトも沈める

アレックス・レオンのヘッドショット。
Alex Leung
2024年10月21日
角度をつけたブラウザウィンドウのイラスト。マウスカーソルがウェブサイトのアドレスのセキュリティロックマークに近づいている。テキストには「Loose Lips Can Sink Websites Too」とあり、「Sink」と「Websites」は太字で強調されている。

ウェブサイトを安全に保つことを考えるとき、私たちはしばしば複雑なファイアウォール、多層防御、強固な暗号化を想像する。しかし、セキュリティ・チェーンの弱点がそれほど明白でないこともあります。それは、誤った設定や公開されたバージョン番号のような単純なものです。緩いコンフィギュレーション設定がウェブサイトを沈めることもあるのです。このブログでは、技術スタックのバージョン番号の公開がいかに深刻な脆弱性につながるか、そしてセキュリティを強化するために何ができるかについて掘り下げていきます。

実際の例公開されたPHPバージョン

定期的なセキュリティ評価中に、あるウェブサイトのサーバー構成によって、古いバージョンのPHPが公然と宣伝されているのを発見した。これは、やってはいけないことの典型的な例です。Wappalyzerのようなツールを使ってざっと見たところ、PHPのバージョンは8.2.19でした。表面的には小さな見落としのように見えるかもしれないが、その影響は深刻である。

この特定のバージョンのPHPには、いくつかの致命的な脆弱性があります。その中でも特に問題なのはCVE-2024-4577で、攻撃者がリモートから任意のコードを実行できる可能性があります。言い換えれば、このバージョンのPHPを使用していることを明らかにするだけで、このウェブサイトは玄関に「Welcome Hackers(ハッカー歓迎)」の看板を掲げているのと同じことになる。

このバージョンに関連する脆弱性の詳細については、 Tenableの分析を参照のこと。

なぜ公開されたバージョン番号が重要なのか?

CMSであれ、サーバーであれ、スクリプト言語であれ、あらゆる技術スタックにはライフサイクルがある。脆弱性にパッチを当てたり、パフォーマンスを向上させたりするために、定期的に新しいバージョンがリリースされます。しかし、ウェブサイトが稼働している正確なバージョンを公開すると、悪質な行為者は各バージョンの既知の脆弱性を簡単に相互参照し、それに応じて攻撃を仕立てることができる。これはサイバー・サプライ・チェーン攻撃として知られており、攻撃者は組織の技術スタック内の特定のソフトウェア・バージョンを標的とし、組織全体のセキュリティを侵害する。

実用的な修正:緩んだ唇を引き締まった唇に変える

では、あなたのウェブサイトから重要な情報が漏れていないことを確認するにはどうすればいいのでしょうか?手始めに、サーバーの設定を見直し、機密情報が世界中に流出していないことを確認しましょう。最も一般的な犯罪者の一人であるPHPの簡単な修正方法を説明しましょう:PHPです。

  1. あなたの php.ini 設定ファイル.このファイルはPHPの多くの設定を制御し、多くの場合、以下の場所にあります。 /usr/local/lib/php.ini.
  2. ラインの位置 と書かれている:
    expose_php = On  
  3. 設定を変更する に:
    expose_php = Off  
  4. HTTPサービスを再起動して、変更を適用します。

この小さな修正で、サーバーがPHPのバージョンをブロードキャストしないようにすることができます。これは簡単な修正ですが、攻撃対象範囲を大幅に狭めることができます。

バージョン難読化を超えて:包括的なLAMPスタックのセキュリティ

バージョン番号を難読化することは素晴らしい第一歩ですが、真のセキュリティには全体的なアプローチが必要です。LAMPスタック(Linux、Apache 、MySQL、PHP)を運用している場合、攻撃者が他の侵入口を見つけられないように、各コンポーネントをセキュアにする必要がある。つまり、設定を厳しくし、権限を管理し、ファイアウォールや侵入検知システムのようなツールを導入することだ。

例えば、MySQLのインストールを確実にロックダウンすることで、機密データを危険にさらすデータベース攻撃を防ぐことができます。同様に、適切なファイルパーミッションを設定し、Apache で使用されていないモジュールを無効にすることで、攻撃者が侵入経路を見つけたとしても、その範囲を制限することができます。

Fail2Banを使えば、SSHログインをブルートフォースした形跡のあるIPアドレスを自動的にブロックすることができます。

定期的な監査とベストプラクティス

LAMPスタックのセキュリティ確保は一度だけの作業ではありません。LynisやMySQL Security Toolsのようなツールを使って定期的に監査を行うことで、設定の弱点を特定し、新たな脅威に対してスタックを強く保つことができます。つまり、システムスキャンを実行し、ログを分析し、潜在的なギャップがないか構成を継続的にテストすることです。

ウェブサイトの保護は、バージョン番号を隠すだけではありません。公開されたバージョンは一般的な脆弱性ですが、それはパズルの1ピースに過ぎません。LAMPスタックを完全に保護するためには、設定管理、アクセス制御、継続的な監視など、包括的なアプローチが必要です。

SSHのロックからMySQLのパーミッションの厳格化、Apacheの高度なセキュリティルールの実装まで、LAMPスタックの各パーツの安全性をさらに深めるには、 LAMPスタックの安全性に関する完全ガイドをご覧ください。ステップバイステップの手順と高度なテクニックを紹介し、サーバを一から保護することで、Webアプリケーションの堅牢で安全な基盤を確保します。

こちらもどうぞ...

非生産用サブドメインに注意を払う」というテキストが入ったイラスト
アレックス・レオンのヘッドショット。

非生産サブドメインに注意を払う

2024年10月17日
アレックス・レオン
セキュリティ・チームは、組織のメインのプロダクション・ドメインに注目しがちです。なぜ本番用以外のサブドメインに注意を払うことが重要なのかを学んでください。
セキュリティ
ストップウォッチと "Cutting Latency, Not Security "と書かれたチェックマークの盾が描かれたイラスト。
フィリップ・マクギネスのヘッドショット。

セキュリティではなくレイテンシーの削減

2024年10月3日
フィリップ・マクギネス著
コンテンツ・セキュリティ・ポリシー(CSP)は、ウェブサイトやウェブアプリケーションを攻撃から守るためにブラウザに実装されているセキュリティ機能です。
セキュリティ
クラウドパワー企業:アカマイのフィールド・コンピュート・テクノロジー担当ディレクター、ジョセフ・グローバーによる「クラウドのセキュリティ」特集。

クラウド・パワード・エンタープライズクラウドのセキュリティ

オンデマンド
2024年9月20日
ID・アクセス管理、データ暗号化、脅威検知、データ・セキュリティ・ポスチャー管理など、クラウド・セキュリティの最新戦略やテクノロジーを、クラウド・セキュリティのリーディング・カンパニーのエキスパートとともにご紹介します。
セキュリティ

コメント 

コメントを残す

あなたのメールアドレスは公開されません。必須項目には*印がついています。