悪意のあるユーザにより外部から不正にシステムにアクセスする場合、まず最初に行われるのが「ポートスキャン」という行為です。

これは、サーバーでどのようなサービスが実行されているかを確認する方法です。


例えば、下図のように開いているポート（反応がある）を探し、そのポートを通じて接続を試みます。


システムに接続するためのユーザIDやパスワードを、容易に想像できるようなものに設定していたり、そのサービス自体に不具合やバグなどのセキュリティホールが存在する場合、悪意のあるユーザにより不正アクセスされる危険性が非常に高まります。

それでは、Linuxの「nmap」というコマンドを使用して、ポートスキャンの実行例を確認します。


PORT（ポート番号）、STATE（状態)、SERVICE（サービス)の項目があり、どのポートが開いているか、またそのポートでどのようなサービスが実行されているかを確認できます。

STATE（状態）がopenとなっているポートは解放されており、closedとなっているポートは閉鎖されている状態を表しています。


上記の実行例の場合、下線部②の23番ポートのtelnetサービスがopen状態なのが危険です。

telnetはセキュアな接続を行わない（暗号化されていない）リモートコンピュータとの通信方法なので、悪意のあるユーザによりユーザID、パスワードが盗まれるとサーバが乗っ取られる可能性があります。


また、下線部①の21番ポートのftpサービスがopenなのも要注意です。

ファイル転送に使用されるFTP通信には通常ユーザIDとパスワードを入力する必要がありますが、「anonymous FTP」と呼ばれる機能があり、匿名接続ができるサーバであれば誰でもファイル転送ができるため、コンピュータウィルス等の不正なファイルを送信される可能性があります。


悪意を持ったユーザの攻撃からシステムを守る方法はいくつかありますが、基本的な方法として使用していないポートは解放しないといったことが挙げられます。

上記ポートスキャンの例でいうと、sshという暗号化された通信サービスがopenになっているので、暗号化されていないtelnetをopenにしておく必要はありません。


自身のシステムに対しポートスキャンを行う行為は問題ありません。

しかし、外部からポートスキャンを受けていると気づいた場合は、既に悪意を持つユーザが攻撃の準備をしていると考えられるため、システムのリアルタイム監視や不正侵入防止に関する対策をとる必要があります。

例えば以下のような足し算ができるHTMLフォームがあるとします。

計算するボタンを押下すると「123+456」の計算結果が表示されます。


このWebページのHTMLは以下のように構成されています。※一部抜粋


上記の下線部①、②にはそれぞれ「arg1」「arg2」というname属性が付けられています。

これはWebページのテキストフィールドに入力された文字列が「arg1」「arg2」という名前でWebサーバへ送られることを表しています。


今回のHTMLフォームでは「計算する」ボタンを押下した際、下線部③のaction属性で指定されたURLへアクセスしています。

また、下線部④のmethod属性で指定された方法でデータの受け渡しを行っており、今回はGETメソッドを使用して入力内容を送信することを表しています。


上記の内容を踏まえた上で、HTMLフォームからWebサーバに情報を送信する方法について確認します。


上図はGETリクエストで送られたHTMLフォームの情報を表しています。

１行目のリクエストラインのURLの最後に「?」が付与されており、今まで見てきたURLには無かった文字列が追加されています。

この下線部の部分は「クエリ文字列（Query String）」と呼ばれ、HTMLフォームに入力された文字列をWebサーバに渡すために使用されています。


Webサーバ側はリクエストラインの中に「?」マークが存在する場合、以降をクエリ文字列として認識し、文字列に含まれるパラメータをアプリケーションに渡しています。

今回のように、パラメータ間を「&」で区切ることにより複数のパラメータをWebサーバに渡すことも可能です。

GETメソッドにより引き渡されたパラメータが、アプリケーション側でどう処理されるのか解説します。

以下はGETリクエストで指定された「get_calculator.php」のソースコードを一部抜粋したものです。


枠線部①の部分はクエリ文字列に格納された値を取得して、取り出した値を変数「&arg1」「&arg2」に格納しています。

言語によりパラメータ値の取り出し方は変わりますが、考え方は同一になります。


下線部②の部分は変数「&arg1」「&arg2」の値を足した結果を、変数「&result」に格納しています。

下線部③の部分はecho文でHTMLを出力しています。

これはフォームの「計算する」ボタン押下後の画面に出力されていた「123 + 456 = 579」の文字列を生成し出力するための処理になります。

GETメソッドはURLの末尾にパラメータを付与しWebサーバへ情報を送信していると説明しましたが、Webサーバはその受け取ったGETリクエストをログとしてサーバ内に残しています。

そのためユーザIDやパスワード等の機密情報がパラメータに含まれていると、第三者がログを見た際に機密情報が知られてしまう危険性があります。

POSTメソッドによるパラメータの引き渡しですが、HTMLフォームの見た目はGETメソッドの時と変わらず、Webページを利用するユーザは特に意識することはありません。


ただし、上図に示す通りPOSTリクエストで送られたフォームの情報には異なる箇所が存在します。

まずリクエストラインの下線部①の箇所が、GETではなくPOSTになっています。

また、クエリ文字列がURLに含まれていません。

では何処にパラメータが含まれているかというと、下線部②のメッセージボディの部分に含まれています。


このようにメッセージボディを利用してパラメータを渡すことにより、Webブラウザのアドレスバーにパラメータが表示される事がないため、第三者に情報を見られる可能性が少なくなります。

また、通常メッセージボディをサーバのログに残す事は少ないため、ログが見られる事により情報漏洩する可能性も低くなります。

POSTメソッドにより引き渡されたパラメータが、アプリケーション側でどう処理されるのかをGETメソッドの時と同様に確認してみましょう。

以下はソースコードを一部抜粋したものです。


GETメソッドでパラメータを渡した場合との違いは、枠線部①の「$_GET」が「$_POST」に変化しただけでほとんど違いはありません。

よってGET/POSTのどちらのメソッドでパラメータを渡したとしても、受け取り側のアプリケーションの処理には大きな違いは無いと言えます。