誰でもWeb管理画面に入れる気前のいい会社：星野君のWebアプリほのぼの改造計画（2）（2/4 ページ）

[杉山俊春, Illustrated by はるぷ，三井物産セキュアディレクション株式会社]

サーバ上にある「admin」フォルダの謎

　平野部長からもらった資料（本当に“大ざっぱ”だった）を読み、サーバ室の配線を確認したところ、Webサーバの位置付けや利用のされ方をざっくりと把握することができた。

　星野君は、前回セミナー申し込みフォームを作っていたときに見つけた、サーバ上にある「Admin」というフォルダが気になっていたので中身を確認してみた。今回の仕事の対象となっているWeb管理用のツールは、どうやらこのフォルダの中に置いてあるようだ。

　サーバ上には、「Admin」以外にも「test」「old」などという名前のフォルダがたくさんあった。おそらく、バックアップなどの目的で置いているのだろう（※1）。

【※1】
テスト用フォルダやバックアップ用フォルダは脆弱性を含んだバージョンが保管されている場合が多いため、攻撃者の格好のターゲットになりやすい。これらのファイルはHTTPでアクセスできない場所か、可能であれば別の媒体に保存するべきである。

　Webブラウザからこれらのフォルダにアクセスしてみたところ、案の定作りかけのテストファイルやバックアップファイルが格納されていた。先週、まこと先輩に教わったことを考えると、これらの開発・テスト用のファイルがサーバ上にあるのはよくない。星野君は、それらをHTTPでアクセスできる場所から削除した。

「Admin」フォルダを封鎖せよ

　これで、Webサーバ上に管理用のWebアプリケーションがあることが確認できた。

星野君　「（Adminなんて分かりやすいフォルダ名を付けたら外部からアクセスされて危ないかもしれない（※2）。どうしよう、場所は変えられないし……）」

【※2】
「Admin」という名前のフォルダやファイルも攻撃者のターゲットになりやすい。

　まずは、今回も山下君にメッセンジャーで相談してみることにした。

星野君　「うちのWebサーバの管理ツールがAdminってフォルダに置いてあって、Webブラウザからアクセスできちゃうんだけど、これって大丈夫かなぁ？」

山下君　「そのフォルダにアクセス制限ってかかってる？」

星野君　「アクセス制限ってどうやるの？」

　山下君によると、「.htaccess」というファイルを作成してアクセス制限すればいいとのこと。ひとまず、以下の設定で.htaccessを作成しAdminフォルダに設置した。

order deny,allow deny from all allow from 10.1.77.41

　これで、10.1.77.41以外からのアクセスは受け付けない設定になった。しかし、いままでずっとアクセス制限なしで設置されていたのが気掛かりだ。不安になった星野君は調べてみることにした。