「Forbidden」「サンプル」をセキュリティ的に翻訳せよ：セキュリティ対策の「ある視点」（3）（3/3 ページ）

[辻 伸弘（ソフトバンク・テクノロジー株式会社），＠IT]

隠れた脅威、それは「デフォルトコンテンツ」

　さまざまなアプリケーションでは、インストール時にマニュアルやヘルプ、サンプルスクリプトといったファイルもインストールされることが多い。これは、サーバの運用方法やプログラムの動作チェックなどのために用意されているものである。Apacheでいうと「manual」ディレクトリ（http://サーバのIPアドレス/manual/）や「icons」ディレクトリ（http://サーバのIPアドレス/icons/）がそれに当たる。

　Apacheの場合では、「manual」ページにアクセスすることにより、1.3系であるか、2.0系であるかということが分かる【注2】。

図2　Apacheでインストールされるマニュアルページ（左：1.3系 右：2.0系）

【注2】

余談となるが、この両ディレクトリはIndexesが有効となっている。詳しくは、第2回の「ディレクトリ非表示の意味をもう一度見つめ直す」を参照していただきたい。

　Apacheの場合では、このようなデフォルトのコンテンツがあることで直接的に侵入につながったり、重要情報の漏えいにつながるわけではないので、今回は、Apacheに関連するアプリケーションサーバ「Tomcat」の脆弱性も紹介しようと思う。

　Tomcatをインストールした際には、デフォルトでインストールしたサーバのTCP8080番ポートにブラウザで接続すると下記のようなコンテンツが表示される。

図3　Tomcatに接続する

　このページが表示されることで、Tomcatがインストールされているということ、Tomcatのバージョンがいくつかということが分かる。ここまでは、前述したApacheの「manual」ディレクトリと似ているのだが、今回紹介するのはデフォルトでインストールされるTomcatのサンプルアプリケーションである。

　サンプルアプリケーションは、動作チェックなどに用いられるものであるため、あまりセキュリティ面を考慮して設計されていない場合がある。過去にIISでもサンプルスクリプトを悪用することで、システム内部のファイルを表示できる脆弱性が発見されたこともある。

　Tomcatにも最近、サンプルプログラムにクロスサイトスクリプティングの脆弱性が発見され、情報が公開されている。脆弱性の原因は、非常に初歩的なエスケープ処理のミスである。

図4　Apache Tomcat のCal2.JSPにおけるクロスサイトスクリプティングの脆弱性の再現画面

【参考記事】

Apache Tomcatのサンプルコードに脆弱性 − ＠IT

http://www.atmarkit.co.jp/news/200706/15/apache.html

　このような脆弱性がサンプルスクリプトにおいて発見されることは少なくない。サンプルスクリプトは運用上不必要というだけでなく、このように予期しない脆弱性をシステム上に残してしまう可能性がある。発見される脆弱性の中にはOSのコマンドをサンプルプログラム経由で実行、重要ファイルの不正閲覧を可能にするものもあるため、サンプルスクリプトの存在がシステムの命取りとなる場合も考えられる。

　対策としては、運用上必要がないと思われるマニュアルやサンプルスクリプトなどは、思わぬ被害の原因となる可能性があるため、削除することが推奨される。

　いま一度、自身の管理下のシステム上で、現在必要のないファイルが配置されていないかどうか、新しいサービスやアプリケーションを追加した場合には、運用に必要のないコンテンツが配置されていないかという確認を行うことをお勧めする。

「知ることは最大の防御なり」を再度認識しよう

　「ユーザーディレクトリ機能が有効」「デフォルトのコンテンツの存在」というのは、デフォルトのインストールによって有効、存在しているものであるがゆえに、リリース前のチェックでは見落とされがちである。

　実際に、ペネトレーションの現場でもこの問題がよく検出される傾向にある。過去の検査では、Webアプリケーションにおいてはさまざまな対策が取られていたにもかかわらず、このようなデフォルトのコンテンツに含まれるサンプルプログラムに脆弱性があったため検査対象の評価としてセキュリティレベルが低いと判断せざるを得ないものもあった。

　チェックで見落とされる傾向にあるということは、独自に開発したWebアプリケーションの改修やOSなどの修正プログラムの適用などとは違い、意識されずに運用を行ってしまうことが多いと考えられる。だが、それにより発現する事象は、企業にとって計り知れないものになるかもしれない。

　開発、構築、運用、どのような場合においても「意識の欠如」というものが大きなセキュリティホールを顕在化させるきっかけとなり得るのである。本記事の読者もセキュリティホールを生み出さないよう「知り」そして「意識」することを忘れないでほしい。

「次回」へ

「セキュリティ対策の「ある視点」」バックナンバー

• Q.E.D.――セキュリティ問題を解決するのは「人」
• たった1つの脆弱性がもたらすシステムの“破れ”
• 報告、それは脆弱性検査の「序章」
• ASV検査、ペネトレテスターの思考を追う
• プレイバックPart.II：シフトした脅威の中で
• プレイバックPart.I：ウイルスのかたち、脅威のかたち
• ハニーポットによるウイルス捕獲から見えてくるもの
• SNMPコミュニティ名、そのデフォルトの価値は
• 人の造りしもの――“パスワード”の破られ方と守り方
• 魂、奪われた後――弱いパスワードの罪と罰
• 魂まで支配されかねない「名前を知られる」という事件
• 己を知り、敵を知る――Nmapで見つめ直す自分の姿
• DNS、管理者として見るか？ 攻撃者として見るか？
• メールサーバ防御でも忘れてはならない「アリの一穴」
• 「Forbidden」「サンプル」をセキュリティ的に翻訳せよ
• ディレクトリ非表示の意味をもう一度見つめ直す
• たった2行でできるWebサーバ防御の「心理戦」