知って得するセキュリティのはなし その38
米大統領公式サイト等に重大な欠陥、「デバッグモード」で放置
1.このニュースをザックリ言うと
- 10月17日(現地時間)、IT関係のレビュー・比較を行う英Comparitech社より、米トランプ大統領の公式サイト等少なくとも768のWebサイトに脆弱性を確認したと同社ブログで発表されました。
- 脆弱性はこれらのWebサイトで使用しているソフトウェア「Laravel」の「デバッグモード」によるもので、デバッグモードが有効な設定のまま運用されていたことにより、サイトのデータベースのロケーションやパスワード、暗号キー等のセンシティブな情報が露呈していたとのことです。
- 同社では同11日大統領公式サイトの運営に報告し、5日後に問題は解決済みとの返答を受けたとしています。
2.執筆者からの所感等
- LaravelはPHPによるWebサイト構築を行うためのいわゆる「Webアプリケーションフレームワーク」の一つで、近年非常に高い人気を得ています。
- デバッグモードが有効になっている場合、Webアプリケーションからのエラーメッセージ以外にも広範囲な情報をブラウザー上で見ることが可能となり、攻撃者にとっては様々な攻撃を行うための手掛かりとなる恐れがあります。
- このようなデバッグモードは開発時の環境でのみ有効とし、不特定多数のユーザーが閲覧する本番環境ではこれを無効にすることや、テスト用のページ・バックアップファイル等をアクセス可能な状態で残さないよう削除する等の対策をとること、また不必要な情報の露呈がないか可能な限り第三者機関の診断を受けることが肝要です。