2019/10/21

Laravel フレームワークでデバッグモードが無効になっていない Web サイトが見つかる

2019 年 10 月 21 日 Emil Hozan 著

共同調査によって、多くの Web サーバで機密データが外部に公開されてしまっている実態が明らかになりました。Comparitech が 2019 年 10 月 17 日に公開したブログ記事によると、PHP の Laravel フレームワークを使用する 700 以上の Web サイトで、Web サイト管理者がデバッグモードを無効にしていなかったことがわかりました。700 の Web サイトのうちの最大 20% に機密性の高い構成が含まれていると推定されており、ほとんどが慈善団体や小規模企業の Web サイトでしたが、政治団体の Web サイトも含まれていました。

デバッグモードを利用すると、Web 開発者や Web サイト管理者がエラーや構成ミスを簡単に特定できるため、本番稼働していないサイトであれば非常に便利ですが、本番稼働に移行する前に必ずこのモードを無効にする必要があります。このモードにすることで外部に公開されてしまう恐れがある情報としては、データベースの場所、パスワード、秘密鍵、その他の機密データなどがあります。

当然ながら、該当するすべての Web サイトに対し、責任ある方法でこの事実が報告されました。ここで興味深いのは、1 年前にも同様の報告がされていたという事実です。2 人のセキュリティ研究者が同様の調査を実施し、566 のパブリック IP アドレスに今回と同様の構成ミスがあることを発見しました。Web サイトを外部に公開する前に、この構成を今一度確認する必要があります。

対策の重要なヒント

何より重要なのは、この脆弱性はソフトウェアの欠陥ではなく、人的エラーであることです。ソフトウェア構成は、プログラミングされた手順に従ってデバッグエラーを報告するか否かを判断するに過ぎません。したがって、Laravel の Web 開発者がデバッグモードの無効化に関する文書を参照し、その効果を十分に理解しておく必要があります。

さらに、同様のユーザエラーのインスタンスやクラウドバケットの構成ミスにも同様の問題が存在します。クラウドのセキュリティは大きく変わりましたが、セキュリティとプライバシーが確保されるようにするには、すべての関係者が常に十分な注意を怠らないようにする必要があります。具体的には、Web 開発者、Web サイト管理者、さらには、このギャップを解消する善意のセキュリティ研究者がこれらの責任を負うことになります。