どこからもリンクされていないのに、なぜ不正アクセスが
どうやら星野君は、以前Webのチェックを行ったときにこのファイルを見落としてしまっていたようだ。それもそのはず、このファイルは現在の会社のWebページのどこからもリンクされていなかったのだ。しかも、現在稼働中のWebアプリケーションと同じフォルダの中にあったため、気が付かなかったのだ。
赤坂さん 「これじゃあ、脆弱なWebアプリケーションが残ってても見落としちゃうよねぇ」
星野君 「う〜ん。不正アクセスしてきた人は、こんなファイルがあるってどうして分かったんだろう……」
赤坂さん 「検索エンジンとか調べてみた?」
星野君 「え?検索エンジン??」
赤坂さん 「そう。検索エンジン。いまはWeb上からリンクを張られてなくても、以前にリンクが張られていたことがあれば、検索エンジンに引っ掛かって残っちゃってるかもしれないよ」
検索エンジンには、ドメイン名を指定したり、ファイルの拡張子を指定したりして検索を行える機能を備えているものが多い。例えば、Googleで「www.example.com」のサイト内の拡張子が「cgi」のファイルを探したければ、検索語を以下のように指定することで検索が可能である。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
検索エンジンによってリストアップされてしまうようなファイルは、すべて公開されているものと見なし、セキュリティに問題がないかどうかを見直す必要がある。非公開にしていたつもりのファイルが、実は検索エンジンなどから丸見えだったりすることも少なくない。
また、たとえ検索エンジンに引っ掛からなくとも、過去のページの状態を保存しているInternet Archiveなどを使うことによって、どのようなファイルがあるかなどを知られてしまう可能性も存在する。
星野君 「ホントだ……。検索エンジンで出てきちゃいますね……」
赤坂さん 「きっとそこからたどってきたんだろうね」
一通り現象は確認できたので、星野君と赤坂さんは万が一に備えてOSをクリーンインストールしたうえで、不要なファイルが紛れ込んでいないかもう一度チェックし直すことにした。
高橋さん 「あれ?赤坂さん、こんなとこで何してんの?」
高橋さんが戻ってきた。タバコにしては長いこと席を外していたので、何か別の作業でもしていたのだろうか。
赤坂さん 「えっと……。あ!高橋さんとミーティングをしに来たんでした」
高橋さん 「ああっ!忘れてた。ごめんごめん。ずっと喫煙所でタバコ吸ってた……。ミーティング、午後からにしてもらっていい?」
次回予告:
今度は対策したはずのWebアプリケーションに攻撃が!プログラムのコードは問題ないように見えるのに……どうして??
Profile
杉山 俊春(すぎやま としはる)
三井物産セキュアディレクション株式会社
テクニカルサービス事業部検査グループ
コンサルタント
セキュリティコンサルタントとして、主にWebアプリケーションのセキュリティ検査などに従事している。大手就職活動支援サイト、ショッピングサイトなどの検査実績を持つ。
Copyright © ITmedia, Inc. All Rights Reserved.