おしゃべりなサーバー

雑感

 ある有名サイト*1にアクセスしたら、リバース・プロキシのエラー画面があらわれた。保守中なのか、過負荷等によるサーバー不調なのかはわからないが、エラー画面はWebサーバー・ソフトウェア*2に標準添付されているものが使われている。
 問題なのは、標準添付される画面から製品名やバージョン番号の情報がもれてしまう*3ということではなく、

このサイトは、専門家がセキュリティー脆弱性調査や過負荷試験を行っていない

ということがばれてしまうことだ*4。これらの作業が行われていれば実施結果報告書に「エラー画面が出た」「デフォルトの画面が使われている」という指摘が書かれるから放置されるはずがない。
 ハッカーに「それならば攻撃したらすぐサーバーが落ちるはずだ。攻撃してみよう」と思わせることになる。悪い者にやる気を与えてはいけない。
 ここで、お金をかけて専門家を雇えとは言わない。でも、お金をかけていないということをわざわざインターネットを通じて世界中に発信する必要はない。
 セキュリティー対策というと「情報資産を守る」ということに主眼が置かれるが、そのためには

  • 積極的に特定の情報資産やシステム資源を守る
  • 間接的に不要な情報を与えたり、悪意を持った者*5やウィルスなどに不要な処理能力を提供しない

という両面の対策が必要だ。製品標準のエラー画面を出すサーバーは、専門家によるテストが行われていないことを暗に公表してしまう「おしゃべりなサーバー」である。間接的対策が不十分である。
 エラー画面の内容を変更するにはHTML画面を「ただいま混んでいます」という趣旨のものに差し替えて設定ファイルを書き換えるだけでいい。

面倒くさがらずにやればいいのに

*1:執筆中、誤って実名でサイト名を書くところだった。そんなことをしたら犯罪を助長することになる。サーバーに送信する前に気づいたからよかったが、危ないところだった。個人的な書き込みとはいえ、気をつけなければならない

*2:代表例として、Apacheデファクト・スタンダードとして有名

*3:ハッカーがWebサイトを不正アクセスするために使うソフトウェアを選ぶなど、攻撃手段を選ぶにあたって攻撃対象を調査にかかるが、その手間が若干減る。この程度なら、すぐに不正アクセスが行われるということではない。

*4:やったことはやったが、担当者の知識が中途半端だった、という可能性もある

*5:不正アクセスによるサーバーの乗っ取りなど