攻撃者がWebサイトを狙うとき、最初から特定の企業だけを調べるとは限りません。公開されているサービス、検索結果に残った管理画面、古いソフトウェア、人の操作ミスなど、外から見える手がかりを組み合わせて候補を絞り込みます。本記事では、元の記事で扱っていた代表的な発見手法を、防御側が理解して備えるための観点で整理します。
攻撃者が探す主な手がかり
攻撃対象を探す入口は一つではありません。攻撃者は、インターネット上に公開された情報を広く調べ、弱点になりそうな箇所を探します。特に見られやすいのは、次のような情報です。
- 外部から接続できるポートやサービス
- 管理画面やログイン画面のURL
- 古いWebサーバやソフトウェアのバージョン情報
- 誤って公開された設定ファイルやテキストファイル
- 従業員を狙ったフィッシングのきっかけになる情報
防御側にとって重要なのは、これらを「攻撃の手順」としてではなく、自社サイトを外から点検するチェック項目として理解することです。関連する基礎知識は、Webシステムの脆弱性を見つける方法と攻撃手法の基本でも整理しています。
自動化ツールによる公開サービスの確認
インターネット上には多くのWebサイトやサーバが公開されています。攻撃者は、手作業で一つずつ探すのではなく、検索サービスやスキャンツールを使って、外部から見えるサービスを効率よく把握しようとします。
Shodanのような検索サービス
Shodanのような検索サービスは、インターネットに接続された機器やサーバの公開情報を検索できる仕組みです。公開ポート、サービス名、応答情報などが手がかりになるため、古いサービスや想定外に公開された機器が見つかる場合があります。
防御側では、自社のドメインやIPアドレスに関係する公開情報を確認し、不要なサービスが外部に出ていないか、意図しない管理画面が見えていないかを点検することが大切です。
Nmapによるポート確認
Nmapは、許可されたネットワークやサーバに対して、どのポートが開いているかを確認するために使われる代表的なツールです。運用管理の棚卸しにも使われますが、同じ情報は攻撃者にとっても手がかりになります。
nmap -p 80,443 example.comこの例では、対象サーバでHTTPとHTTPSのポートが応答するかを確認します。実務では、必ず自社が管理している範囲、または明確に許可を得た範囲だけで確認し、不要な公開ポートを閉じる、管理画面を制限する、古いサービスを更新するといった対策につなげます。
検索エンジンを使った情報収集
Google Dorkingと呼ばれる手法では、検索演算子を使って、特定の条件に合うページやファイルを探します。攻撃者は、管理画面らしいURL、誤って公開されたファイル、機密情報につながる文字列などを探すことがあります。
site:example.com inurl:adminこのような検索は、自社サイトの公開状態を確認する目的でも使えます。検索結果に出してはいけないページが見つかった場合は、アクセス制御、認証、noindex設定、不要ファイルの削除を見直す必要があります。
公開してはいけないファイルの確認
設定ファイル、バックアップファイル、パスワードを含むテキスト、検証用ファイルなどがWeb上に残っていると、攻撃の足がかりになります。公開ディレクトリに不要なファイルを置かないこと、ファイル権限を見直すこと、検索結果に残った情報を削除申請することが基本です。
古いソフトウェアとバナー情報
古いWebサーバやソフトウェアは、既知の脆弱性を調べる入口になりやすい領域です。攻撃者は、HTTPヘッダーやサーバの応答に含まれる情報から、利用されているソフトウェアやバージョンを推測することがあります。
バナーグラビングで見える情報
バナーグラビングとは、サーバやネットワーク機器の応答から、サービス名やバージョン情報などを確認する方法です。元記事では、HTTPレスポンスヘッダーからApacheやNginxなどの情報を確認する例が扱われていました。
防御側では、不要なバージョン表示を抑える、サーバやCMSを更新する、使っていないプラグインを削除する、定期的に構成を棚卸しすることが有効です。攻撃を完全に防ぐ単独の対策ではありませんが、攻撃者に余計な手がかりを与えにくくできます。
ソーシャルエンジニアリングとフィッシング
技術的な弱点だけでなく、人の判断や操作ミスも攻撃対象になります。フィッシングでは、偽のメールや偽のWebサイトを使い、ID、パスワード、認証情報などを入力させようとします。
Webサイト運営では、管理者や担当者が不審なメールを見分けられるようにすること、ログイン情報を使い回さないこと、多要素認証を設定すること、メール認証を整えることが重要です。フィッシング対策の文脈では、DMARCを含むメール認証の基本もあわせて確認すると理解しやすくなります。
防御側が確認したい基本チェック
攻撃者に見つかりやすい状態を減らすには、特別な対策だけでなく、日々の運用管理が欠かせません。まずは次の項目を定期的に確認します。
- 外部公開しているポートとサービスは必要最小限か
- 管理画面や検証環境が検索結果に出ていないか
- 古いCMS、プラグイン、ライブラリ、サーバソフトウェアが残っていないか
- 不要なファイルやバックアップが公開ディレクトリに置かれていないか
- 担当者がフィッシングや不審なログイン通知に対応できるか
- ログ、アラート、バックアップの確認手順が決まっているか
これらは一度だけ確認すれば終わるものではありません。Webサイトの更新、機能追加、運用担当者の変更に合わせて、継続的に見直すことが重要です。
まとめ
攻撃者は、自動化ツール、検索エンジン、古いソフトウェアの情報、フィッシングなどを組み合わせて、攻撃しやすいWebサイトを探します。防御側は、外から見える情報を把握し、不要な公開範囲を減らし、更新管理とユーザー教育を続けることで、狙われやすい状態を減らせます。
greedenでは、アイデアを形にするシステム開発やソフトウェア設計を支援しています。セキュリティを意識した設計、既存システムの改善、業務に合わせた開発相談があれば、こちらからお問い合わせください。