無料ツールでウェブサイトのセキュリティチェックをする
ここ最近顧客情報が流出したなどのニュースがいつも流れていますが、これは会社の内部の人間による犯行である場合もありますが、その多くは外部からウェブサイトをハッキングされて顧客情報などを奪われるケースが非常に多くなっています。顧客情報などが流出してしまうと企業にとっては大打撃になるわけですから、ウェブサイトがハッキングされたりしないようセキュリティチェックをして脆弱性のない強固なウェブサイトにする必要があります。
現在運用しているウェブサイトのセキュリティチェックをするには、そういうチェックをして報告してくれる会社に依頼するか、高額なツールを購入する必要がありました。
しかし高額なお金を出すことなく、無料かつ信頼性のあるソフトウェアでウェブサイトの脆弱性をチェックして報告してくれるソフトウェアを実際に試してみましたので、そのツールの導入方法と使い方を解説します。
また企業であれば PCI-DSS 等のセキュリティ関連の認定を受ける場合に、ウェブサイトのセキュリティチェックは必ず実施されますので、脆弱性チェックは非常に重要です。
必ずチェックすべき脆弱性とは?
脆弱性とは Wikipedia によると、次のような定義となっています。脆弱性(ぜいじゃくせい)は、英語の vulnerability の日本語訳である。この分野での意味は「弱点」であり、セキュリティホール(安全性欠陥)と類似している。ただし、セキュリティホールがより具体的な欠陥を指す傾向があるのに対して、脆弱性は欠陥だけではなく、たとえ意図した(要求仕様どおりの)動作であっても、攻撃に対して弱ければ、つまり「弱点」があれば用いるという点が異なる。たとえば、災害や、悪意のある者がパスワードを管理者から聞き出してしまうような攻撃(ソーシャルエンジニアリング)といった、原因がコンピュータシステムだけに収まらない弱さに対しても用いられる。また、ハードウェアおよびそれを含めたシステム全般の欠陥や弱点については脆弱性のほうが好まれる。ウェブサイトの攻撃手法として有名なものには次のようなものが頻繁に話題になっっています。
- SQL インジェクション (SQL Injection)
- クロスサイト・スクリプティング (XSS : Cross Site Scripting)
もしこれらの攻撃に対して対策を打っていない場合、ウェブサイト経由でデータベースに入っている情報が抜き出されてしまったりしますので、最低限この2つだけは確認して確実に対処しましょう。
私のシステムは絶対に大丈夫!!という自信があっても、実は自分では気付かなかった盲点があるとハッカーに侵入されてしまいます。かならずセキュリティチェックツールを使って確認しておくことが非常に重要です。
無料で使えるセキュリティチェックツール VEGA VULNERABILITY SCANNER を導入する
様々なセキュリティチェックツールを使ってみた結果、VEGA VULNERABILITY SCANNER (VEGA 脆弱性スキャナ) という無料のツールが最も使い勝手がよく、様々なチェックが簡単に行えるツールでした。また結果の確認も非常に簡単でした。VEGA VULNERABILITY SCANNER の特徴は次の通りです。
- オープンソースなので完全無料
- GUI ツールなので使い易い
- マルチプラットフォーム対応 (Windows / Linux / MacOS)
- 拡張性が高い (JavaScript を使って機能拡張可能)
- チェックしたい URL を設定すれば、自動的にサイトをスキャンしてくれる
- Proxy サーバーとして動作させることで、通信内容をチェックできる
またセキュリティチェック項目は多数存在しますが、以下の重要な脆弱性チェックに完全に対応しています。
- Cross Site Scripting (XSS)
- SQL Injection
- Directory Traversal
- URL Injection
- Error Detection
- File Uploads
- Sensitive Data Discover
次に Vega を導入する手順を説明していきます。
VEGA VULNERABILITY SCANNER をダウンロードしてインストールする
VEGA VULNERABILITY SCANNER にアクセスして下の図の DOWNLOAD ボタンを押します。以下の図の画面に飛びますので、下の図のように DOWNLOAD ボタンを押します。
すると以下のように各 OS 毎のダウンロードリンクが表示されますので、お使いの OS 用のファイルをクリックしてダウンロードします。
ここでは Windows OS 用の Microsoft Windows 64-bit JRE をダウンロードします。
ダウンロードしたファイルをダブルクリックするとインストールが始まります。Next ボタンを押して進みます。
次にライセンスへの同意画面が表示されますので I Agree ボタンを押します。
インストール場所を聞かれますが、そのまま Install ボタンを押します。
そして以下の画面が表示されればインストール完了です。Run Vega 1.0 のチェックは付けたまま、Finish ボタンを押します。
すると下の画像のように VEGA VULNERABILITY SCANNER が起動します。
VEGA VULNERABILITY SCANNER の簡単な使い方
まず最初に脆弱性をチェックしたいウェブサイトの URL を登録する必要がありますので、下の図の赤色で囲まれたボタンを押します。以下の画面が表示されますので、チェック対象の URL を入力します。http://...../ でも https://...../ のどちらでもチェック可能です。URL を入力したら Finish ボタンを押します。
注) 自分のウェブサイトの URL 以外は入力しないようにしましょう!
VEGA VULNERABILITY SCANNER は対象のウェブサイトの応答内容を解析しながら処理を実行していますので完了までには時間がかかりますが、かなり深いところまで脆弱性をチェックしてくれます。
私が持っている別のウェブサイトを最後まで脆弱性チェックした結果は次の通りとなりました。もうボロボロですね・・・。泣)
チェック結果は重要度順に High、Medium、Low、Info という順に問題が指摘されます。まず High から順番に処理していくべきです。
下の図の左下の問題をクリックすると、右側に問題点を詳細に解説してくれます。
VEGA VULNERABILITY SCANNER ツールを活用して、ウェブサイトを強固なものにしましょう。