オープンディレクトリは、機密データ、知的財産、技術データが漏洩し、攻撃者がシステム全体を侵害する可能性があるため、組織にとって深刻なセキュリティ脅威となります。インターネットインテリジェンスプラットフォームであるCensysの最新調査によると、現在、世界中のオープンディレクトリで、完全なデータベースや文書を含む2,000TBを超える保護されていないデータにアクセス可能です。
ジャンプ先:
- オープンディレクトリとは何ですか? また、どうすれば見つけることができますか?
- Censys調査によるオープンディレクトリ統計
- オープンディレクトリではどのようなデータがセキュリティ上のリスクをもたらすのでしょうか?
- インターネット上にはなぜこれほど多くのオープンディレクトリが存在するのでしょうか?
- オープンディレクトリのセキュリティに関するベストプラクティスと考慮事項
オープンディレクトリとは何ですか? また、どうすれば見つけることができますか?
オープンディレクトリとは、ブラウザから直接アクセスでき、ウェブサーバーによって公開されているフォルダのことです。これは、指定されたフォルダにインデックスファイルが見つからない場合にディレクトリ一覧を表示するようにウェブサーバーが設定されている場合に発生します。ウェブサーバーの設定によっては、ユーザーがフォルダの内容を表示できる場合とできない場合があります。Censysによると、ほとんどのウェブサーバーのデフォルトの動作では、ディレクトリ一覧は表示されません。
オープン ディレクトリは、Web サーバーに応じて若干の違いを伴って表示されます (図 A )。
図A
オープンディレクトリはGoogle Dorksで見つけることができます。Google Dorksは、Google検索エンジンでオープンディレクトリなどの特定のコンテンツを検索するために使用できるクエリです。同様の検索はCensysでも行うことができます。
なぜ検索エンジンは、これらのオープンディレクトリの表示をユーザーに禁止しないのでしょうか?Censysの研究者はTechRepublicに対し、「一見すると合理的なアプローチのように思えるかもしれませんが、これはそもそもオープンディレクトリがインターネット上に公開されているという根本的な問題への対策にすぎません。検索エンジンが検索結果を表示しないからといって、悪意のある攻撃者がそれらを見つけられないわけではありませんが、防御側がこれらのインスタンスを容易に発見して修復することが難しくなる可能性があります。また、これはすべてのオープンディレクトリが「悪質」であるという前提に基づいています。多くのオープンディレクトリが意図せず公開されている可能性はありますが、すべてが悪質であるとは限りません。」と述べています。
Censys調査によるオープンディレクトリ統計
Censysは、313,750台のホストと、それらのオープンディレクトリに保存されている合計477,330,039個のファイルを発見しました。これらのファイルの最終更新日時を分析したところ、ファイルの大半は2023年に作成または変更されていました(図B)。
図B
自律システム レベルでのオープン ディレクトリのホスティングに関して、Censys は、どのホスティング サービスが最も使用されているかをより正確に把握するために、上位 100 の AS を 4 つのカテゴリ (ホスティング、クラウド、コンテンツ配信ネットワーク、および通信) に分割しました。
ホスティング:ほとんどのデータは、個人や中小規模の組織向けに、仮想ホスティング、共有ホスティング、仮想プライベート サーバー、専用サーバーなどの基本的な管理型および非管理型のホスティング サービスを提供する企業によってホストされています。
クラウドプロバイダーは、通常のホスティングと比較して、データを保存およびアクセスするためのさまざまな方法を提供するという点で異なります。
Akamai や Cloudflare などのCDN は、他のカテゴリと比較して組織よりも多くの個人が関与する通信会社よりも上位の 3 位 (図 C )です。
図C
ホスティング分野において、公開されているオープンディレクトリの数が最も多いのはUnifiedLayer-AS-1で、オープンディレクトリを含むホスト数は14,000台を超えています。次に多いのはHetzner-ASで、ホスト数は7,000台を超えています。さらにLiquid Webが約5,500台のホストで続いています(図D)。
図D
オープンディレクトリではどのようなデータがセキュリティ上のリスクをもたらすのでしょうか?
Censys は、ファイル拡張子に基づいて、これらのオープン ディレクトリに保存されているファイルを分類しました (図 E )。
図E
ログファイルは、ホスティングインフラやそのアクセス方法に関する機密情報が含まれている可能性があるため、攻撃者にとって特に興味深いものです。特にアプリケーションのデバッグログは、環境に関する多くの有用な情報を提供し、アクセスログにはIPアドレスが含まれている可能性があります。攻撃者はこれらの情報すべてを悪用し、悪用可能な脆弱性を発見したり、アプリケーションとそれらに接続するユーザー間の情報を得たりすることで、標的型攻撃を実行する可能性があります。
データベースは、個人識別情報、企業秘密、知的財産、組織またはそのインフラに関する技術情報などが含まれている可能性があるため、非常に機密性が高いものです。公開ディレクトリでは、100~150MBのサイズのデータベースファイルが合計1,154件発見され、そのうち605件は300~350MBでした(図F)。
図F
Censys はこれらのデータベース ファイルの内容を閲覧しませんでしたが、研究者はファイル パスとファイル名内の単語の頻度を調べました (図 G )。
図G
「backup」という単語の713回の出現は、データベースのバックアップに含まれるファイルを示しています。一方、「dump」という単語の334回の出現は、データベースの完全なコピーを示しています。データベースファイルのパスや名前に使用されている他の単語も、機密情報が共有されている可能性を示しています(図H)。
図H
Censys は、43,533 件のデータベース ファイルに開発関連の単語 (dev、test、staging) が含まれており、25,427 件のデータベース ファイルに運用関連の単語 (prod、live、p rd) が含まれていることを発見しました。これは、攻撃者が脆弱性や弱点を悪用したり、機密情報を侵害したりするために使用できる、データベース関連情報の潜在的な金鉱です。
その他の単語は、それほど深刻ではない問題を示している可能性があります。たとえば、「schema」は完全なコンテンツではなくデータベース スキーマを示している可能性があります、「aarch64/ppc641e/EPEL」はオープン ソース ソフトウェアとともに配布されるデータベースである可能性があり、「references」はおそらくテスト データです。
データベースファイル以外にも、スプレッドシートから機密情報が漏洩する可能性があります。370GBを超えるスプレッドシートファイルが漏洩しており、その中には、請求書、予算、口座、取引、財務、支払いといった機密性の高い単語がファイル名に含まれているものもあります(図I)。
図I
潜在的に公開されている資格情報は、さまざまなファイルのオープンディレクトリにも存在する可能性があります (図 J )。
図J
HTTP基本認証パスワード(.htpasswd)は、テキストベースの設定ファイルで、認証情報が含まれる場合があります。これらのファイル内のパスワードは平文で保存されているわけではありませんが、ブルートフォース攻撃によって解読される可能性があります。パスワードや認証方法を含むその他のファイルには、SSH秘密鍵、アプリケーションの認証情報、Unixパスワードファイルなどがあります。
他のファイル形式も、それらを公開する組織にとって脅威となる可能性があります。例えば、アーカイブやメールは内部情報、機密情報、または秘密情報を漏洩する可能性があります。また、機密コードや設定ファイルも情報を漏洩させる可能性があり、攻撃者がさらなる脆弱性を見つけるために悪用する可能性があります。
インターネット上にはなぜこれほど多くのオープンディレクトリが存在するのでしょうか?
ほとんどの主要な Web サーバーでは、インデックス ファイルが含まれていないフォルダーを参照しようとしたときに、デフォルトでディレクトリの一覧表示が有効になっていないため、オンラインで利用できるオープン ディレクトリがこれほど多く存在する理由については、いくつかの仮説が考えられます。
- 一部のサーバーでは、システム管理者が古いサーバー上のファイルに素早くアクセスできるようにディレクトリリストを有効にするなど、設定が急ぎすぎた可能性があります。管理者は古いデータのダウンロードを許可されたものの、操作後のサーバーのクリーンアップを怠った可能性があります。
- Pythonの組み込みHTTPサーバーは、コマンドラインで起動すると現在のディレクトリを公開します。プロセスが停止されない限り、そのフォルダは公開され続けます。
- こうしたオープン ディレクトリの多くは、顧客データに対して最低限のセキュリティしか実装していないホスティング リセラーのディレクトリと似ています。特に、管理インターフェイスとして cPanel や Plesk を使用するものが多く、それらのインターフェイス以外のものはすべて無視されています。
Censysの研究者に、サイバー犯罪者がこのようなオープンディレクトリを作成して訪問者にマルウェアを感染させる可能性について尋ねたところ、彼らは次のように答えました。「可能性はあります。しかし、誰かがオープンディレクトリを閲覧してファイルをダウンロードするのを待つよりも、はるかに効果的なマルウェア配信メカニズムが存在します。マルウェアがオープンディレクトリにホストされている場合、脅威アクターが別のホストにアクセスした後、そのホストにファイルをリモートでダウンロードする可能性が高くなります。」
オープンディレクトリのセキュリティに関するベストプラクティスと考慮事項
組織は、インフラストラクチャ内のオープンディレクトリを常に監視する必要があります。オープンディレクトリを介したファイル共有は、ITにおける不適切な慣行であり、止めるべきです。ファイル転送は、SFTPなどの他の方法やプロトコル、あるいは安全な社内または外部ストレージを介して行う必要があります。可能であれば、これらのフォルダを保護するために多要素認証を導入する必要があります。
オープンディレクトリの中には、意図的に公開されているものもあれば、ミスによって公開されているものもあります。このようにデータを公開するのは組織だけではありません。個人も同様であり、Webサーバーのセキュリティ保護方法を知らない場合もあります。こうした個人にオープンディレクトリを報告するのは困難です。なぜなら、多くの場合、Webサイトはセキュリティを真剣に考慮していない汎用的なサービスを使用して作成されているため、セキュリティ上の問題を報告する手段を提供していないからです。一方、大規模な組織では、ルートフォルダに適切なsecurity.txtファイルが用意されていたり、LinkedInなどのサイトでセキュリティ担当者に簡単に連絡できる連絡先が用意されていることがよくあります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
