ある有名サイト*1にアクセスしたら、リバース・プロキシのエラー画面があらわれた。保守中なのか、過負荷等によるサーバー不調なのかはわからないが、エラー画面はWebサーバー・ソフトウェア*2に標準添付されているものが使われている。
問題なのは、標準添付される画面から製品名やバージョン番号の情報がもれてしまう*3ということではなく、
このサイトは、専門家がセキュリティー脆弱性調査や過負荷試験を行っていない
ということがばれてしまうことだ*4。これらの作業が行われていれば実施結果報告書に「エラー画面が出た」「デフォルトの画面が使われている」という指摘が書かれるから放置されるはずがない。
ハッカーに「それならば攻撃したらすぐサーバーが落ちるはずだ。攻撃してみよう」と思わせることになる。悪い者にやる気を与えてはいけない。
ここで、お金をかけて専門家を雇えとは言わない。でも、お金をかけていないということをわざわざインターネットを通じて世界中に発信する必要はない。
セキュリティー対策というと「情報資産を守る」ということに主眼が置かれるが、そのためには
- 積極的に特定の情報資産やシステム資源を守る
- 間接的に不要な情報を与えたり、悪意を持った者*5やウィルスなどに不要な処理能力を提供しない
という両面の対策が必要だ。製品標準のエラー画面を出すサーバーは、専門家によるテストが行われていないことを暗に公表してしまう「おしゃべりなサーバー」である。間接的対策が不十分である。
エラー画面の内容を変更するにはHTML画面を「ただいま混んでいます」という趣旨のものに差し替えて設定ファイルを書き換えるだけでいい。
面倒くさがらずにやればいいのに