ご利用ガイド ネットde診断について
目次
ネットde診断の概要については こちら
ネットde診断のご利用方法については こちら
ネットde診断について
ネットde診断は、GMOグループ「GMOサイバーセキュリティbyイエラエ」の技術を活用した、高水準の脆弱性診断をご利用いただける機能です。
ConoHaでドメインをご契約の場合、どなたでも個別でのお申込みは不要で、コントロールパネルより診断を行うことができ、診断結果はメールにてご通知されます。
※ConoHaで管理していないドメインではご利用いただくことは出来ません。
※初期ドメイン(***.conohawing.com)ではご利用いただくことは出来ません。
※WordPressを含むWebサイトの公開がされていないドメインではご利用いただくことは出来ません。
※対象のWebサイトにてベーシック認証などのアクセス制限を設定されている場合、診断することが出来ません。
※Webサイトにてリダイレクト設定を行われている場合、リダイレクト先は診断対象外となります。診断結果がB以上の評価だった場合、定期的なサイバー攻撃対策に取り組んでいることを示す「サイトシール」を貼ることができる為、信頼性のあるWebサイトであることを証明する安心材料の一つになり、競合サイトとの差別化要素となります。
サイトシールの発行・設定については こちら
- ※サイトシールは定期的なサイバー攻撃対策の取り組みを実施していることを保証するもので、100%の安全を保障するものではございません。
利用時の注意事項
- ・ネットde診断のお申込みが混み合っている場合、診断結果メールの送信にお時間がかかる場合がございます。
- ・診断後、一時的に再診断ができなくなりますので、再診断をご希望の場合はお時間を空けて実施ください。
- ・本サービスの 利用規約 に則ってご利用ください。
- ・現在PCでのご利用のみ対応しております。
- ・ConoHa WINGのサービス仕様上、検知対象となってしまう項目がございます。(※下記項目一覧参照)
- ・コントロールパネル内の「脆弱性診断」機能に関するお問い合わせは、お問い合わせフォームからご連絡ください。
- ・「検知された脆弱性検知項目の対策」につきましては、ConoHaのサポート対象外となります。
【ConoHa WINGのサービス仕様上、検知対象となる可能性がある項目】
下記はConoHa WINGのサービス仕様上検知対象となる可能性が高い脆弱性項目です。
これらの対策はサービスの性質上、お客様にご対応いただけない項目となることあらかじめご了承ください。
Webサイトを運用するうえでは、基本的に問題はございませんのでご安心ください。
・既知の脆弱性が存在するソフトウェアの利用
・FTP プロトコルが有効
・脆弱な SSH 暗号アルゴリズムのサポート
・バージョン情報の検出
・OCSP Stapling が有効になっていないサーバ
・SSH プロトコルが有効
・セキュリティヘッダ “HTTP Strict Transport Security (HSTS)” の未設定
・セキュリティヘッダ “Content-Security-Policy” の未設定もしくは設定の不備
診断結果の主な項目について
メールにて通知される診断結果レポートよりご確認いただける主な項目についてご案内致します。
- ※「検知された脆弱性検知項目の対策」につきましては、ConoHaではサポート出来ません。
対策法の一例はGMOサイバーセキュリティ by イエラエ社の「SaaS版ネットde診断」で会員登録し、ログイン後に再度診断を実施することによりご確認いただけます。
| 項目名 | 既知の脆弱性が存在するソフトウェアの利用 |
|---|---|
| 概要 | 脆弱性が報告されているバージョンのソフトウェア(CVE番号, …)を検出しました。 |
| 影響内容例 | バージョン情報をもとに、既知の脆弱性による攻撃を受ける可能性があります。 検出されたバージョンのソフトウェアに既知の脆弱性の影響が無いとしても、調査によって他の要因による脆弱性が検出され、攻撃への糸口となる可能性があります。 |
| 対策例 | 当該脆弱性が修正されたセキュリティパッチの適用を推奨します。 |
| 項目名 | サポートの終了したソフトウェアの利用 |
|---|---|
| 概要 | サポートの終了したソフトウェア(ソフトフェアのバージョン情報,…)の利用を検出しました。 サポートの終了したソフトウェアは、セキュリティ更新プログラム等の提供が終了しているため、利用を継続するにあたりリスクが高い状態にあります。 |
| 影響内容例 | サポートの終了したソフトウェアは新たな脆弱性が発見された際にパッチが配布されないばかりでなく、脆弱性の報告自体されなくなるため、潜在的に脆弱性を抱えている可能性があります。 さらに、サポートの終了したソフトウェアを利用し続けることで、不要な攻撃を招く原因となる可能性があります。 |
| 対策例 | 最新のバージョンの利用を推奨します。 |
| 項目名 | 既知の脆弱性が存在する WordPress の利用 |
|---|---|
| 概要 | 脆弱性が報告されているバージョンの WordPress を検出しました。検出した (WordPressバージョン情報, …)には既知の脆弱性(CVE番号, …)が存在します。 |
| 影響内容例 | 攻撃者は取得したバージョン情報を基に既知の脆弱性を狙った攻撃を行います。 検出されたバージョンの WordPress に既知の脆弱性の影響が無いとしても調査によって他の要因による脆弱性が検出され、攻撃への糸口となる可能性があります。 |
| 対策例 | 最新のバージョンの利用を推奨します。 |
| 項目名 | 古いGNU Bashにおける任意コード実行の脆弱性 |
|---|---|
| 概要 | GNU bashの環境変数の処理に関連する任意のコード実行等を可能とする脆弱性(ShellShock)を検出しました。 |
| 影響内容例 | サーバOS上での任意コマンド実行による侵入行為や、サービス停止などの危険性があります。 |
| 対策例 | 最新のバージョンの利用を推奨します。 |
| 項目名 | 古いMicrosoft Schannelにおける任意コード実行の脆弱性 |
|---|---|
| 概要 | Microsoft Schannel を用いて暗号化された HTTPS を提供する Microsoft IIS や RDP (Remote Desktop Protocol) 等が動作する Windows Server 上でシステム停止や任意のコード実行を許す可能性があります。 |
| 影響内容例 | サーバOS上での任意コマンド実行による侵入行為や、サービス停止などの危険性があります。 |
| 対策例 | 最新のバージョンの利用を推奨します。 |
| 項目名 | 公開されるべきでない情報が閲覧可能(システム設定情報) |
|---|---|
| 概要 | 本来公開されるべきではないシステムの設定情報(URL,…)が外部から閲覧可能であることを確認しました。 |
| 影響内容例 | システム情報等に含まれるデータが漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。 これらのページが閲覧できることにより堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 |
| 対策例 | 当該ファイルが不要な場合は、当該ファイルの削除を推奨します。 当該ファイルが必要な場合は、適切なアクセス制御の実施を推奨します。 |
| 項目名 | Git フォルダの公開 |
|---|---|
| 概要 | Git フォルダ(URL,…)が公開されています。 |
| 影響内容例 | Git で管理している情報が漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。 また、これらのページが閲覧できることにより、堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 |
| 対策例 | 当該ファイルが不要な場合は、当該ファイルの削除を推奨します。 当該ファイルが必要な場合は、適切なアクセス制御の実施を推奨します。 |
| 項目名 | 公開されるべきでない情報を閲覧可能(データベース) |
|---|---|
| 概要 | データベース関連情報(URL,…)が外部から閲覧可能であることを確認しました。 |
| 影響内容例 | システム情報等が漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。これらのページが閲覧できることにより堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 また、認証されていないユーザーがBIG-IP 管理ポートを介して任意のシステムを実行する可能性があります。 |
| 対策例 | 当該ファイルが不要な場合は、当該ファイルの削除を推奨します。 当該ファイルが必要な場合は、適切なアクセス制御の実施を推奨します。 |
| 項目名 | 公開されるべきでない情報を閲覧可能(バックアップ) |
|---|---|
| 概要 | 本来公開されるべきではないバックアップファイル(URL,…)が外部から閲覧可能であることを確認しました。 |
| 影響内容例 | 認証情報や設定情報等の機密データやログ、コンテンツ等のデータが漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。 これらのページが閲覧できることにより堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 |
| 対策例 | 当該ファイルが不要な場合は、当該ファイルの削除を推奨します。 当該ファイルが必要な場合は、適切なアクセス制御の実施を推奨します。 |
| 項目名 | 公開されるべきでない情報を閲覧可能(SSH) |
|---|---|
| 概要 | 本来公開されるべきではない認証情報と思わしき情報(URL,…)が外部から閲覧可能であることを確認しました。認証情報が有効で有ると想定したリスクレベルとしています。 |
| 影響内容例 | 認証情報が漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。これらのページが閲覧できることにより堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 |
| 対策例 | 当該ファイルが不要な場合は、当該ファイルの削除を推奨します。 当該ファイルが必要な場合は、適切なアクセス制御の実施を推奨します。 |
| 項目名 | 公開されるべきでない情報を閲覧可能(awsコンフィグ) |
|---|---|
| 概要 | awsのコンフィグファイル(URL,…)が外部から閲覧可能であることを確認しました。 機密情報が漏洩する可能性があります。 |
| 影響内容例 | システム情報等に含まれるデータが漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。 これらのページが閲覧できることにより堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 |
| 対策例 | 当該ファイルが不要な場合は、当該ファイルの削除を推奨します。 当該ファイルが必要な場合は、適切なアクセス制御の実施を推奨します。 |
| 項目名 | 公開されるべきでない情報を閲覧可能(ログ) |
|---|---|
| 概要 | 本来公開されるべきではないログファイル(URL,…)が外部から閲覧可能であることを確認しました。 |
| 影響内容例 | ログとして出力されるデータが漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。 これらのページが閲覧できることにより堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 |
| 対策例 | 当該ファイルが不要な場合は、当該ファイルの削除を推奨します。 当該ファイルが必要な場合は、適切なアクセス制御の実施を推奨します。 |
| 項目名 | 公開されるべきでない情報が閲覧可能(シェル設定情報) |
|---|---|
| 概要 | 本来公開されるべきではないシェルの設定情報(URL,…)が外部から閲覧可能であることを確認しました。 |
| 影響内容例 | シェルの設定に含まれるデータが漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。 これらのページが閲覧できることにより堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 |
| 対策例 | 当該ファイルが不要な場合は、当該ファイルの削除を推奨します。 当該ファイルが必要な場合は、適切なアクセス制御の実施を推奨します。 |
| 項目名 | 公開されるべきでない情報を閲覧可能(コマンド履歴) |
|---|---|
| 概要 | 本来公開されるべきではないコマンド履歴ファイル(URL,…)が外部から閲覧可能であることを確認しました。 |
| 影響内容例 | コマンド履歴として出力されるデータが漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。 これらのページが閲覧できることにより堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 |
| 対策例 | 当該ファイルが不要な場合は、当該ファイルの削除を推奨します。 当該ファイルが必要な場合は、適切なアクセス制御の実施を推奨します。 |
| 項目名 | 公開されるべきでない情報を閲覧可能(.envファイル) |
|---|---|
| 概要 | 環境変数を設定するファイル(URL,…)が公開されることでファイル内に含まれる鍵情報などの機密情報が漏洩する可能性があります。 |
| 影響内容例 | システム情報等に含まれるデータが漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。 これらのページが閲覧できることにより堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 |
| 対策例 | 当該ファイルが不要な場合は、当該ファイルの削除を推奨します。 当該ファイルが必要な場合は、適切なアクセス制御の実施を推奨します。 |
| 項目名 | ディレクトリトラバーサル |
|---|---|
| 概要 | 利用者が送信した入力値がサーバ上のディレクトリ・ファイル名の指定に使用されているため、それを悪用し本来アクセスできてはならないと考えられる領域のファイルにもアクセスすることが可能です(URL, …)。 |
| 影響内容例 | サーバ内のファイルが漏洩する可能性があります。 Webサーバが動作しているユーザ権限でアクセスできるファイルが外部から取得可能です。 |
| 対策例 | 任意のファイル名を指定できるような実装は可能な限り避けることを推奨します。 |
| 項目名 | 公開されるべきでない情報を閲覧可能(WordPress 設定ファイル) |
|---|---|
| 概要 | 診断対象の WordPress では設定ファイルのバックアップと考えられるファイル(URL,…)が外部から閲覧可能であることを確認しました。 |
| 影響内容例 | データベースのホスト名やユーザ名、パスワード等の機密情報が漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。 これらのファイル閲覧できることにより堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 |
| 対策例 | 外部公開が不要なファイルは、ファイルの削除を推奨します。 |
| 項目名 | データベースバックアップのディレクトリリスティング(WordPress) |
|---|---|
| 概要 | 診断対象の WordPress ではデータベースのバックアップファイルが格納されているディレクトリのリスティング機能が有効になっているため、バックアップファイルの一覧情報及びバックアップデータ(URL,…)が取得可能であることを確認しました。 |
| 影響内容例 | 診断対象のWordpressに関するシステム情報や、また利用者のユーザデータ等が漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。 また、これらのファイル閲覧できることにより堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 |
| 対策例 | 外部公開が不要なファイルは、ファイルの削除を推奨します。 |
| 項目名 | 公開されるべきでない情報を閲覧可能(WordPress ダンプファイル) |
|---|---|
| 概要 | 診断対象の WordPress ではデータベースのダンプファイル(URL,…)が外部から閲覧可能であることを確認しました。 |
| 影響内容例 | 診断対象のWordpressに関するシステム情報や、また利用者のユーザデータ等が漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。 また、これらのファイル閲覧できることにより堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 |
| 対策例 | 外部公開が不要なファイルは、ファイルの削除を推奨します。 |
| 項目名 | 新規 WordPress ユーザが追加可能 |
|---|---|
| 概要 | 検出された WordPress のログイン画面(URL,…)から新規ユーザ登録が可能であることを確認しました。 |
| 影響内容例 | 外部の第三者による投稿等のコンテンツ作成や削除、更新、またデフォルトで付与される権限によってはサーバが乗っ取られる可能性があります。 |
| 対策例 | 当該機能が不要な場合は、機能の停止を推奨します。 |
- 問題は解決できましたか?
-
お役立ち情報
ConoHaではサポートコンテンツの他にも以下のようなお役立ち情報をご用意しております。ぜひご活用ください。
