REST API診断

28項目のチェック。
潜む情報漏洩を全て洗い出す。

すべてのREST APIエンドポイントをセキュリティリスク視点でスキャン。ユーザー列挙・設定の露出・未認証アクセスを深刻度別に分類し、攻撃者より先に発見します。

今すぐ始める SentinelSecurityの概要

なぜREST API診断が必要なのか？

デフォルトのインストールは、
APIを通じてデータを漏洩している。

標準的なWordPressインストールは、認証なしでREST APIを通じてユーザーデータ・サイト構造・設定情報を公開しています。ワンクリックスキャンで28のセキュリティチェック全リスクを洗い出します。

デフォルト

追加設定なしでREST APIがユーザーデータと設定情報を公開している

28チェック

エンドポイントセキュリティ・認証・CORS・Cookie・WordPress固有リスクを網羅

無料

実践的な改善提案付きの完全なREST API診断を、無料で提供

REST API Endpoints

GET /wp-json/wp/v2/users

GET /wp-json/wp/v2/posts

GET /wp-json/wp/v2/settings

GET /wp-json/wp/v2/comments

GET /wp-json/

要対策: 2/5 エンドポイントが公開状態

User Enum

Data Leak

The Hidden Risk

REST API
データ漏洩リスク

ユーザー列挙

/wp-json/wp/v2/usersへのアクセスでユーザー名やメールアドレスが露出する可能性があります。

認証なしアクセス

多くのエンドポイントがログインなしでアクセス可能で、外部からの情報収集を許します。

攻撃の偵察に利用

露出したプラグイン情報やサイト設定が標的型攻撃の足がかりに利用される可能性があります。

SentinelSecurityなら

公開されたエンドポイントを即座に検出し、適切な対策を提案します。

診断対象

すべてのRESTエンドポイントを、現実のリスクにひもづけて診断。

WordPressは初期状態で数多くのREST APIエンドポイントを公開しています。SentinelSecurityはそのうち28を検査し、専門用語ではなく「サイトに対する実際のリスク」でグループ化して結果を提示します。

28項目／5つのリスクカテゴリ別に診断

ユーザー一覧と管理ツールの一般公開を止める

初期状態では、誰でもREST API経由でユーザー名一覧の取得、一部設定の閲覧、さらにはファイルアップロードまで実行可能。実際にサイトが侵害される原因となる3つの最重要チェックです。

/wp/v2/users
すべての著者のユーザー名を返します — ブルートフォース攻撃のほぼすべてがここから始まります。
/wp/v2/settings
管理者だけが閲覧すべきサイト全体の設定情報を露出させます。
/wp/v2/media · upload
ファイルアップロードが認証ユーザー限定になっているか確認。さもなくば攻撃者にマルウェア投入を許します。

攻撃者が次に狙う7つのエンドポイントを閉じる

明らかな穴を塞いだ後、攻撃者はより巧妙な穴を狙います：レート制限の不在、非公開のはずの下書き投稿、権限チェックが甘いプラグイン独自のエンドポイントなどです。

/wp/v2/users/me
ログインユーザーの情報が匿名訪問者に漏れていないかを検証します。
Rate limit · per IP
スロットリングがないと、攻撃者一人でもパスワード総当たりやDoS目的でAPIを叩き続けられます。
/wp/v2/comments
匿名コメント投稿は、スパムや悪意あるリンクの常套侵入経路です。
/wp/v2/themes · plugins
有効なテーマとプラグインの露出は、攻撃者に即席のCVE攻撃リストを提供します。
Draft & private posts
未公開の下書きが匿名ユーザーから読み取られないことを確認します。
Custom plugin endpoints
多くのプラグインは脆弱なpermission_callbackでエンドポイントを公開しています。リスクの高いものを特定します。
REST nonce validation
有効なnonceがないと、APIがCSRFやリプレイ攻撃を受け入れてしまう恐れがあります。

静かにデータを漏らす8項目を整理する

これらの項目は直ちに深刻な被害をもたらすわけではありませんが、バージョン情報・著者のEXIF GPS・投稿リビジョンなど、攻撃の足がかりとなる情報を少しずつ漏らします。SentinelSecurityは分かりやすい言葉でそれらを可視化します。

Basic authentication
本番環境では無効にすべき。認証情報がリクエストごとにbase64で送信されてしまいます。
Anonymous read-access
ログインを必須にすべきエンドポイントの中で、依然として誰でも読めるものを抽出します。
CORS configuration
ワイルドカード指定のAccess-Control-Allow-Originは、任意の外部サイトにAPI読み取りを許してしまいます。
Media metadata · EXIF
メディアライブラリにアップした写真から、GPS座標やカメラのシリアル番号が漏洩する可能性があります。
WordPress version
APIディスカバリのレスポンスで返却され、脆弱性スキャンを容易にしてしまいます。
/wp/v2/search
投稿IDの列挙に悪用され、非公開設定し忘れたコンテンツを発見されてしまう可能性があります。
Post revisions
記事の古い下書きが、削除したつもりの文章を再浮上させてしまう恐れがあります。
API query filters
プラグイン提供のフィルタが、ユーザー入力を直接SQLに渡してしまうことがあります。そのパターンを検出します。

通常は安全だが、念のため確認したい2エンドポイント

影響度は低いものの、ペネトレーションテストの報告書には頻出します。積極利用していなければ、無効化することで攻撃面から完全に取り除けます。

/oembed/1.0
他サイトへの投稿埋め込みに使われます。埋め込みを使用しない場合は無効化を推奨します。
XML-RPC
現在はもっぱら攻撃者の増幅型ブルートフォースで使われるレガシーAPIです。

APIが実際に何を公開しているかを可視化する

ネームスペース・投稿タイプ・タクソノミー・JWTプラグインなど、API表面を地図化する8つの情報チェック。脆弱性そのものではないものの、他の報告内容を読み解くための必須の文脈です。

REST API enabled
そもそもREST APIが有効か、どのプレフィックスで応答するかを検査します。
REST discovery in HTML
ホームページのHTMLヘッダ内でAPI URLを宣伝していないか検出します。
Application passwords
アプリ別トークン機能（WP 5.6以降）の有効状態を報告します。
JWT auth plugins
代表的なJWT認証プラグインとそのバージョンを特定します。
Post types · taxonomies · namespaces
APIが公開するすべてのカスタム投稿タイプ・タクソノミー・プラグインネームスペースを一覧化します。