無料でできるWebサイト脆弱性チェック

「Webサイトから個人情報が流出！」「ホームページの改ざんが発覚！」といったニュースは後を絶ちません。脆弱性診断とは自社のWebサイトに攻撃される問題がないかを調べることを指します。脆弱性診断の目的はWebサイトを安全に運用することです。その為、問題が発見された場合はWebサイトの改修を行うために脆弱性診断の結果を利用します。脆弱性を放置すると自社が加害者になるリスクがある為、Webサイトが安全かどうか定期的に確認する必要があります。この記事では下記の内容について記載していますのでご参考にして頂ければと思います。

・感染しているかを簡単にチェックしたい場合の無料ツール
トレンドマイクロ、VirusTotal

・攻撃されたかをチェックしたい場合の無料ツール
iLogScanner

・Webサイトリリースや改修が必要な場合の有償サービス
Web脆弱性診断サービス

・Web脆弱性診断とは
診断項目

・社内ネットワークに弱点がないかをチェックしたい場合の有償サービス
プラットフォーム脆弱性診断サービス
診断項目

感染しているかを簡単にチェックしたい

トレンドマイクロ

無料でできるWebサイトのセキュリティチェックの１つに、ウイルスバスターを販売しているトレンドマイクロ社の無料サービスがあります。使い方は下記URLにアクセスし、フォームにWebサイトのURLを入力して「今すぐ確認」ボタンをクリックするだけです。危険、不審と表示されたらこちらまでご相談ください。
https://global.sitesafety.trendmicro.com/?cc=jp

VirusTotal

VirusTotal VirusTotal は、無料のマルウェアチェックサービスです。ウイルス、ワーム、トロイの木馬、あらゆる種類のマルウェアを素早く検出できます。 Hispasec社が開発し、現在はGoogleが買収して運営を行っています。万が一Virustotal等のツールで「MaliciousSite」と表示されたらこちらまでご相談ください。
https://www.virustotal.com/ja/

攻撃されたかをチェックしたい

情報処理推進機構が提供しているiLogScannerです。Webサイトのログを解析することで攻撃の痕跡を確認することができます。下記URLからダウンロードし、インストールして手順書に従い利用してください。痕跡が発見された場合はこちらからお問い合わせください。
https://www.ipa.go.jp/security/vuln/iLogScanner/

Webサイトのリリースや改修が必要

中小企業情報セキュリティ.comでは、Web脆弱性診断サービスを実施しております。こちらは有償サービスとなりますが、自社Webサイトが安全な状態かどうか各種チェックを行い、脆弱性の有無やリスクの危険度についてレポートをご提出いたします。リリース前のWebサイトのチェックや時間が経過したサイトのチェックにお役立てください。脆弱性診断サービスの詳細はこちらをご覧ください。

Web脆弱性診断とは

マルウェアに感染しているかどうかについては、上記無料ツール等でチェック可能ですが、この先も感染しないように、自社Webサイトに脆弱性が無いかどうかを確認する為には、最低限下記項目の診断が必要となります。

SQLインジェクション

SQL文の構成を文字列連結で実施する際、アプリケーションの変数をSQL文のリテラルとして正しく構成されているか等。

SQLインジェクションの被害事例はこちらから

クロスサイトスクリプティング

HTTPレスポンスヘッダのコンテンツタイプフィールドに文字コードの指定の実施か等。

クロスサイトリクエストフォージェリ

処理の実行にて再度パスワード要求の有無等。

OSコマンドインジェクション

シェルを起動可能とする言語機能が使われているか等。

ディレクトリ・リスティング

Webサイトの設定ファイル、「Indexes」が管理されているか等。

メールヘッダ・インジェクション

HTMLで宛先を指定しているか等。

ディレクトリ・トラバーサル

外部からのパラメータでWebサーバ内のファイル名を直接指定可能とするか等。

意図しないリダイレクト
HTTPヘッダ・インジェクション

Webサイトにてリバースプロキシとしてキャッシュサーバを構築しているか等。

認証機能
セッションID管理の不備
アクセス認可制御の不備、欠落
Webクローラへの耐性

社内ネットワークの脆弱性診断

社外へ向けた不正な通信があるときは情報漏洩の可能性アリ

ウイルス感染が発覚してから原因調査をした結果、1年以上前から海外へ不正な通信を発していたケースもあります。
＊弊社代表が撮影協力を行いました。引用元：https://www.nhk.or.jp/ohayou/digest/2019/11/1127.html

社内の脆弱性診断とは

Webサイトの脆弱性診断だけでなく、社内ネットワークの脆弱性診断も、企業としては必要となります。中小企業情報セキュリティ.COMでは社内ネットワークの脆弱性を診断し、下記項目を明確にし、レポートにて報告するサービスを提供しております。詳しくはこちらをごらんください。

社内ネットワークの診断項目

PC（Windows・Mac）
■OSの脆弱性
　⇒使用しているOSに脆弱性は潜んでいないか？（最新版にアップデートされているか）
■社内PCで使用しているアプリケーションに脆弱性は潜んでいないか？
　⇒MicroSoft製のOffice、ウェブブラウザ、Adobe製のPDF、Reader、Flash、Java等のアプリケーションに脆弱性は潜んでいないか？（最新版にアップデートされているか）（サードパーティ製の検査はスタンダードプランのみ）
■ファイアウォールの設定が正しいか
　⇒間違った設定になっていないか？脆弱性のある必要のないポートが空いていないか？　　　　

サーバ（Linux系・Windows他）
■OSの脆弱性
　⇒サーバで使用しているOSに脆弱性は潜んでいないか（最新版にアップデートされているか）
■サーバアプリケーションに脆弱性は潜んでいないか？
　⇒サーバアプリケーションのバージョンに問題がないか（最新版にアップデートされているか）
■ファイアウォールの設定が正しいか
　⇒間違った設定になっていないか？脆弱性のある不要なポートが空いていないか？　　　　

ネットワーク機器（ルータ・スイッチ等）
■ファームウェアの脆弱性
　⇒使用しているルータに脆弱性は潜んでいないか？脆弱性のあるファームウェアではないか？（最新版にアップデートされているか）
■設定ミスによる脆弱性
　⇒初期パスワードのまま使用していないか？WAN側から管理画面にアクセスできないか？　

その他端末（プリンタ・複合機・サイネージ・Webカメラ・IoT機器等）

■ファームウェアの脆弱性
　⇒使用しているIoT機器に脆弱性は潜んでいないか？脆弱性のあるファームウェアではないか？（最新版にアップデートされているか）
■設定ミスによる脆弱性
　⇒初期パスワードのまま使用していないか、初期設定のまま重要なポートが空いていないか

中小企業情報セキュリティ.COMでできること

Webサイトや社内セキュリティの脆弱性診断を実施したことがない場合は下記バナーからお気軽にご相談ください。