ネットde診断について
お名前.com ネットde診断は、GMOグループ「GMOサイバーセキュリティbyイエラエ」の技術を活用した、
高水準の脆弱性診断を無料でご利用いただける機能です。
お名前.comでドメインをご契約の場合、どなたでも何度でもご利用いただけます。
お申込みは不要で、お名前.com Naviより簡単に診断を行うことができ、結果はメールにてお届けいたします。
- ※ ネームサーバーが初期状態など、Webサイトが公開されていない状態では診断できません。
- ※ リダイレクト設定を行われている場合、リダイレクト先は診断対象外となります。
また、診断結果がB以上の評価だった場合、定期的なサイバー攻撃対策に取り組んでいることを示す
「サイトシール」を貼ることができる為、信頼性のあるWebサイトであることを証明する安心材料の一つになり、
競合サイトとの差別化要素となります。 (サイトシールを貼る方法はこちら)
※サイトシールは定期的なサイバー攻撃対策の取り組みを保証するもので、100%の安全を保障するものではございません。
診断手順は、以下ガイドをご確認ください。
▼お名前.com Naviガイド ネットde診断
【注意事項】
- 弊社サーバが込み合っている場合、診断結果メールの送信に最大で3日程度の時間がかかる場合がございます。
- 診断後は、一時再診断できなくなりますが、お名前.com Naviへログインをし直した後に、再診断が可能です。
- 本サービスの利用規約に則ってご利用ください。
- 現在PCのみ対応しております。
- お名前.com、お名前.com レンタルサーバーのサービス仕様上、検知対象となってしまう項目がございます。(※下記参照)
- お名前.com Navi内の「診断」機能に関するお問い合わせは、お名前.com お問い合わせページからご連絡ください。
- 「検知された脆弱性検知項目の対策」につきましては、お名前.comではサポートいたしかねます。
※お名前.com、お名前.com レンタルサーバーのサービス仕様上、検知対象となってしまう項目
下記は「お名前.com」「お名前.com レンタルサーバー」のサービス仕様上検知対象となる可能性が高い脆弱性項目です。
これらの対策は基本的にお客様にご対応いただけないことをあらかじめご了承ください。
サイトを運用するうえでは、基本的に問題はございませんのでご安心ください。
- 既知の脆弱性が存在するソフトウェアの利用
- FTP プロトコルが有効
- 脆弱な SSH 暗号アルゴリズムのサポート
- バージョン情報の検出
- OCSP Stapling が有効になっていないサーバ
- SSH プロトコルが有効
- セキュリティヘッダ "HTTP Strict Transport Security (HSTS)" の未設定
- セキュリティヘッダ "Content-Security-Policy" の未設定もしくは設定の不備
診断結果の主な項目について
会員情報にご登録のメールアドレス宛てに送信される、診断結果レポートよりご確認いただける
主な項目について、ご案内いたします。
※「検知された脆弱性検知項目の対策」につきましては、お名前.comではサポートいたしかねます。
対策法はGMOサイバーセキュリティ byイエラエ社の「SaaS版ネットde診断」で会員登録し、
ログイン後に再度診断することによりご確認いただけます。
| タイトル | 説明 | 影響 | 対策 |
|---|---|---|---|
| 既知の脆弱性が存在するソフトウェアの利用 | 脆弱性が報告されているバージョンのソフトウェア(CVE番号, ...)を検出しました。 | バージョン情報をもとに、既知の脆弱性による攻撃を受ける可能性があります。 検出されたバージョンのソフトウェアに既知の脆弱性の影響が無いとしても、調査によって他の要因による脆弱性が検出され、攻撃への糸口となる可能性があります。 | 当該脆弱性が修正されたセキュリティパッチの適用を推奨します。 |
| サポートの終了したソフトウェアの利用 | サポートの終了したソフトウェア(ソフトフェアのバージョン情報,...)の利用を検出しました。 サポートの終了したソフトウェアは、セキュリティ更新プログラム等の提供が終了しているため、利用を継続するにあたりリスクが高い状態にあります。 | サポートの終了したソフトウェアは新たな脆弱性が発見された際にパッチが配布されないばかりでなく、脆弱性の報告自体されなくなるため、潜在的に脆弱性を抱えている可能性があります。 さらに、サポートの終了したソフトウェアを利用し続けることで、不要な攻撃を招く原因となる可能性があります。 | 最新のバージョンの利用を推奨します。 |
| 既知の脆弱性が存在する WordPress の利用 | 脆弱性が報告されているバージョンの WordPress を検出しました。検出した (WordPressバージョン情報, ...)には既知の脆弱性(CVE番号, ...)が存在します。 | 攻撃者は取得したバージョン情報を基に既知の脆弱性を狙った攻撃を行います。 検出されたバージョンの WordPress に既知の脆弱性の影響が無いとしても調査によって他の要因による脆弱性が検出され、攻撃への糸口となる可能性があります。 | |
| 古いGNU Bashにおける任意コード実行の脆弱性 | GNU bashの環境変数の処理に関連する任意のコード実行等を可能とする脆弱性(ShellShock)を検出しました。 | サーバOS上での任意コマンド実行による侵入行為や、サービス停止などの危険性があります。 | |
| 古いMicrosoft Schannelにおける任意コード実行の脆弱性 | Microsoft Schannel を用いて暗号化された HTTPS を提供する Microsoft IIS や RDP (Remote Desktop Protocol) 等が動作する Windows Server 上でシステム停止や任意のコード実行を許す可能性があります。 | サーバOS上での任意コマンド実行による侵入行為や、サービス停止などの危険性があります。 | |
| 公開されるべきでない情報が閲覧可能(システム設定情報) | 本来公開されるべきではないシステムの設定情報(URL,...)が外部から閲覧可能であることを確認しました。 | システム情報等に含まれるデータが漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。 これらのページが閲覧できることにより堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 | 当該ファイルが不要な場合は、当該ファイルの削除を推奨します。 当該ファイルが必要な場合は、適切なアクセス制御の実施を推奨します。 |
| Git フォルダの公開 | Git フォルダ(URL,...)が公開されています。 | Git で管理している情報が漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。 また、これらのページが閲覧できることにより、堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 | |
| 公開されるべきでない情報を閲覧可能(データベース) | データベース関連情報(URL,...)が外部から閲覧可能であることを確認しました。 | システム情報等が漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。これらのページが閲覧できることにより堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 また、認証されていないユーザーがBIG-IP 管理ポートを介して任意のシステムを実行する可能性があります。| | |
| 公開されるべきでない情報を閲覧可能(バックアップ) | 本来公開されるべきではないバックアップファイル(URL,...)が外部から閲覧可能であることを確認しました。 | 認証情報や設定情報等の機密データやログ、コンテンツ等のデータが漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。 これらのページが閲覧できることにより堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 | |
| 公開されるべきでない情報を閲覧可能(SSH) | 本来公開されるべきではない認証情報と思わしき情報(URL,...)が外部から閲覧可能であることを確認しました。認証情報が有効で有ると想定したリスクレベルとしています。 | 認証情報が漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。これらのページが閲覧できることにより堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 | |
| 公開されるべきでない情報を閲覧可能(awsコンフィグ) | awsのコンフィグファイル(URL,...)が外部から閲覧可能であることを確認しました。 機密情報が漏洩する可能性があります。 | システム情報等に含まれるデータが漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。 これらのページが閲覧できることにより堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 | |
| 公開されるべきでない情報を閲覧可能(ログ) | 本来公開されるべきではないログファイル(URL,...)が外部から閲覧可能であることを確認しました。 | ログとして出力されるデータが漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。 これらのページが閲覧できることにより堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 | |
| 公開されるべきでない情報が閲覧可能(シェル設定情報) | 本来公開されるべきではないシェルの設定情報(URL,...)が外部から閲覧可能であることを確認しました。 | シェルの設定に含まれるデータが漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。 これらのページが閲覧できることにより堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 | |
| 公開されるべきでない情報を閲覧可能(コマンド履歴) | 本来公開されるべきではないコマンド履歴ファイル(URL,...)が外部から閲覧可能であることを確認しました。 | コマンド履歴として出力されるデータが漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。 これらのページが閲覧できることにより堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 | |
| 公開されるべきでない情報を閲覧可能(.envファイル) | 環境変数を設定するファイル(URL,...)が公開されることでファイル内に含まれる鍵情報などの機密情報が漏洩する可能性があります。 | システム情報等に含まれるデータが漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。 これらのページが閲覧できることにより堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 | |
| ディレクトリトラバーサル | 利用者が送信した入力値がサーバ上のディレクトリ・ファイル名の指定に使用されているため、それを悪用し本来アクセスできてはならないと考えられる領域のファイルにもアクセスすることが可能です(URL, ...)。 | サーバ内のファイルが漏洩する可能性があります。 Webサーバが動作しているユーザ権限 でアクセスできるファイルが外部から取得可能です。 | 任意のファイル名を指定できるような実装は可能な限り避けることを推奨します。 |
| 公開されるべきでない情報を閲覧可能(WordPress 設定ファイル) | 診断対象の WordPress では設定ファイルのバックアップと考えられるファイル(URL,...)が外部から閲覧可能であることを確認しました。 | データベースのホスト名やユーザ名、パスワード等の機密情報が漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。 これらのファイル閲覧できることにより堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 | 外部公開が不要なファイルは、ファイルの削除を推奨します。 |
| データベースバックアップのディレクトリリスティング(WordPress) | 診断対象の WordPress ではデータベースのバックアップファイルが格納されているディレクトリのリスティング機能が有効になっているため、バックアップファイルの一覧情報及びバックアップデータ(URL,...)が取得可能であることを確認しました。 | 診断対象のWordpressに関するシステム情報や、また利用者のユーザデータ等が漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。 また、これらのファイル閲覧できることにより堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 | |
| 公開されるべきでない情報を閲覧可能(WordPress ダンプファイル) | 診断対象の WordPress ではデータベースのダンプファイル(URL,...)が外部から閲覧可能であることを確認しました。 | 診断対象のWordpressに関するシステム情報や、また利用者のユーザデータ等が漏洩するとともに、その情報を用いた他の攻撃につながる可能性があります。 また、これらのファイル閲覧できることにより堅牢では無いホストであるという印象を攻撃者に与え、さらなる調査や攻撃に繋がる可能性があります。 | |
| 新規 WordPress ユーザが追加可能 | 検出された WordPress のログイン画面(URL,...)から新規ユーザ登録が可能であることを確認しました。 | 外部の第三者による投稿等のコンテンツ作成や削除、更新、またデフォルトで付与される権限によってはサーバが乗っ取られる可能性があります。 | 当該機能が不要な場合は、機能の停止を推奨します。 |