2026.05.25 2026.06.04

【Webサーバ指紋編】技術スタックを当てて攻撃面を絞り込む｜CTF思考フレームワーク R03

安全に生きたい編集部

こんにちは、アンペンです！偵察ルートR03はWebサーバ指紋編。HTTPレスポンス・Cookie名・404ページ・JSライブラリ・TCP/IPスタックの『細かい癖』から技術スタックを当て、既知の弱点へ一直線に攻撃面を絞り込む技を扱います。受動偵察の総仕上げに近い回です。

ふだん何気なく見ているWebサイトですが、実は黙っていても“自分の素性”をぽろぽろ漏らしています。何のソフトで動いていて、どのバージョンで、どんな言語で書かれているか。攻撃者はその“つぶやき”を拾い集めて、狙いを定める。逆に守る側は、その“つぶやき”を黙らせてしまえば、攻撃の的を絞らせずに済むわけです。

サイトを見ただけで「中身の技術」ってバレるの？

かなりバレる。Serverヘッダ・X-Powered-By・Cookie名・404の体裁・JSのバージョン…どれか一つでも残っていれば芋づる式。Wappalyzer/WhatWeb/httpxが定番で、バージョンが出た瞬間に既知CVEと紐づくんだ。

まず結論

指紋(フィンガープリンティング)とは、応答の細かい癖からサーバの技術スタックとバージョンを特定する作業。採取経路は(1)HTTPヘッダ(Server/X-Powered-By/Cookie名)、(2)エラー・デフォルトページ(404/500/welcome)、(3)JSライブラリとmeta generator、(4)TCP/IPスタック(nmap -O・p0f)、(5)総合ツール(Wappalyzer/WhatWeb/httpx)の5つ。バージョンが判明すればCVE→Exploit-DB→PoCで一発攻撃へ直結する。守る側の鉄則は『バージョンを名乗らせない＝Serverヘッダ除去＋カスタム404＋依存ライブラリ即時更新』。指紋は消せる情報なので、消すこと自体が立派な防御になる。

この記事で分かること

指紋採取の5経路と、それぞれで何が漏れるか
受動的指紋と能動的指紋の違い(検知リスク)
Wappalyzer/WhatWeb/httpxの使い分け
判明バージョンをCVE→Exploit-DBに紐付ける流れ
守る側の指紋情報最小化チェックリスト

難易度:初〜中級所要時間:11分体験:自分のサイトで指紋確認おすすめ:R02の後

📖 はじめてのWebセキュリティR03｜Webサーバ指紋編
技術スタックを当てて攻撃面を絞り込む、受動偵察の総仕上げ。シリーズ一覧を見る →

⚠️ 大事なお約束
他者サイトへの実攻撃・許可のないスキャンは違法です。本記事の手順はCTF・自分が運用するサイト・書面で許可された対象でのみ実施してください。指紋採取自体は受動的でも、その先のCVE試行は明確な攻撃行為です。

Contents

指紋採取の5経路
1. 図解:指紋から攻撃へのパス
なぜ指紋が攻撃に直結するのか
CTFでやってみよう:自サイトの指紋確認
1. 自分が運用するWebサイトを「攻撃者の目」で指紋採取する
守る側:指紋情報の最小化
まとめ:『5経路＋CVE紐付け』を1本の道で捉える
次に読みたい記事
参考資料

指紋採取の5経路

「どこから情報が漏れるか」を経路ごとに押さえておくと、守るときに『塞ぐべき穴』が一覧になります。それぞれ具体的に何が見えるかを並べます。

①HTTPレスポンスヘッダ:Server: Apache/2.4.49 や X-Powered-By: PHP/8.1.2、X-AspNet-Version、X-Generator が直球。さらにCookie名が決定打で、PHPSESSID=PHP、JSESSIONID=Java、ASP.NET_SessionId=.NET、laravel_session=Laravel と一発で言語が割れる
②エラー・デフォルトページ:差し替えていない404/500/403の体裁、初期状態の「It works!」「Welcome to nginx!」、スタックトレースに出るファイルパスやフレームワーク名
③JSライブラリ・meta generator:jquery-3.5.1.min.jsのようにファイル名でバージョンが丸見え。React/Vue/Angularのビルド指紋、<meta name="generator" content="WordPress 6.4">、/wp-content/パスでCMSが確定
④TCP/IPスタック指紋:nmap -Oやp0fが、TTL初期値・TCPウィンドウサイズ・オプションの並び順からOS(Linux/Windows/BSD)を推定。アプリを隠してもOS層の癖は残る
⑤総合ツール:Wappalyzer(ブラウザ拡張)、whatweb(CLI)、httpx -tech-detect(大量URLを一括)、nmap -sV(サービスバージョン)。複数を突き合わせて精度を上げる

怖いのは、これらが“どれか一つ消し忘れただけ”で芋づる式にバレる点です。ヘッダは消したのにCookie名が PHPSESSID のまま、とか、本文は隠したのにJSファイル名にバージョンが残っている、とか。攻撃者は5経路を順に当て、1つでも当たればそこを足がかりにします。だから守る側は“全部消す”が基本——1枚でも札を残すと、そこから読まれてしまうんです。

図解:指紋から攻撃へのパス

指紋採取→技術スタック特定→バージョン確定→既知CVE検索→PoC入手→実攻撃。1本の道としてつながっているので、攻撃者は「最初の1つの指紋」を起点に一気にエスカレートします。だからこそ守る側は入口の指紋を消すのが最もコスパの良い対策です。

HTTPヘッダ・エラーページ・JSライブラリ・TCPスタック・総合ツールの指紋採取経路図解 — 図1：Webサーバ指紋採取の経路と、攻撃へのエスカレーション

ここで覚える用語:受動的指紋(Passive)と能動的指紋(Active)
意味:受動的指紋は通常のHTTPアクセスやパケット観察だけで判定する手法(p0fやWappalyzerが代表)で、相手に異常な通信を送らないため検知されにくい。能動的指紋は不正メソッドや異常URL・特殊ヘッダをわざと送り、その反応で確定させる手法(nmap -sVのプローブ)で、精度は高いがログに残り検知されやすい。
例:ブラウザでサイトを普通に開いてWappalyzerが動くのは受動。OPTIONSや壊れたリクエストを投げて反応を見るのは能動。
使いどころ:偵察は「受動で当たりを付け→必要な所だけ能動で確定」が定石。守る側は能動プローブをWAFのアノマリ検知で捕まえる。

なぜ指紋が攻撃に直結するのか

🧥 たとえるなら、洋服の縫い目で工場を当てる

同じデザインの服でも、熟練の職人は縫い目の入り方・タグの縫製・洗濯表示の書式を見ただけで「これは○○工場の××年製」と言い当てます。Webサーバ指紋もまったく同じで、見た目のページは似ていても、ヘッダの一語・Cookieの名前・404の余白といった『無意識に残る癖』からバージョンまで特定できてしまうのです。そして工場と製造年が分かれば「その年式のロットには既知の不良がある」と分かるように、バージョンが割れた瞬間にその版に紐づく既知の弱点(CVE)へ一直線につながります。

衣服の縫い目やタグから製造工場と年式を特定する仕立て屋のたとえイラスト — 図2：細かい癖から版を当てる＝指紋採取の本質

ここで覚える用語:CVE → Exploit-DB → PoC
意味:CVEは公開された脆弱性に振られる世界共通の番号(例:CVE-2021-41773)。Exploit-DBはそのCVEを突くPoC(概念実証コード)を集めた公開データベース。PoCは「本当に攻撃が成立する」ことを示す最小コード。
例:指紋でApache 2.4.49と判明→CVE-2021-41773(Path Traversal/RCE)が即ヒット→Exploit-DBに動くPoCがある。
使いどころ:攻撃側はsearchsploit apache 2.4.49で一瞬で探す。だから守る側は同じ検索を先に自分でやって、PoCが存在するバージョンを使い続けていないか確認するのが最重要。

CTFでやってみよう:自サイトの指紋確認

やってみよう / 自分の環境・CTFのみ

自分が運用するWebサイトを「攻撃者の目」で指紋採取する

下の手順を上から実行すると、攻撃者が最初の数分で集める情報をそのまま自分で先取りできます。各ステップに「なぜやるか」を添えました。

curl -sI https://example.com でヘッダを全ダンプ → なぜ:Server/X-Powered-By/Set-Cookieが一番手軽で確実な情報源だから
curl -s https://example.com/zzz_notexist で404の体裁を確認 → なぜ:差し替えていないデフォルト404はフレームワーク特定の決定打になるから
Wappalyzer拡張でトップページの技術スタック一覧を取得 → なぜ:CMS/JS/解析タグを受動的に一括判定できるから
whatweb https://example.com をCLIで実行して記録 → なぜ:再現性のあるテキスト結果が残り、後で差分を追えるから
開発者ツールのNetworkタブでJSライブラリ名＋バージョンを確認 → なぜ:フロントの古いライブラリはXSS等の温床になりやすいから
判明バージョンを searchsploit ○○ / cve.mitre.org で検索 → なぜ:攻撃者と同じ目線で「動くPoCのある穴」を先に潰すため
nmap -sV -O(自ホストのみ)でサービス/OS推定 → なぜ:アプリを隠してもネットワーク層の指紋が残るのを確認するため
結果を表にして「消せる指紋／更新すべき版」を仕分け → なぜ:対策に優先順位を付け、コスパ良く潰すため

他者サイトへのスキャンや実攻撃は禁止。手順4・7の能動的ツールは必ず自分のサイト・CTFのみで。許可なきnmapは法に触れます。

守る側:指紋情報の最小化

守る発想はシンプルで、「名乗らない・差し替える・古くしない」の3点です。具体的な設定を経路ごとに並べます。

指紋を出さないチェックリスト

Apache: ServerTokens Prod ＋ ServerSignature Off でバージョン非表示
Nginx: server_tokens off;、必要なら headers-more で more_clear_headers Server;
X-Powered-By: PHPは expose_php = Off、アプリ側でも header_remove("X-Powered-By")
Cookie名: PHPSESSID等のデフォルト名を独自名に変更し言語を隠す
エラーページ: 404/403/500をカスタムに差し替え、スタックトレースを本番で非表示に
meta generator: WordPressなら remove_action('wp_head','wp_generator') で版表記を削除
依存ライブラリ: npm audit／Dependabot／Renovateで常に最新化(古い版こそ指紋＋脆弱性)
WAF/CDN: Cloudflare等でレスポンスヘッダを書き換え、デフォルトページを隠蔽

Apache/Nginx設定・X-Powered-By削除・カスタム404・meta generator削除・ライブラリ更新の指紋最小化図解 — 図3：指紋情報を最小化する守り側チェックポイント

「名乗らない」だけでこんなに守れるんだ…！

そう、版を隠せば「どのCVEを試せばいいか」が攻撃者に分からなくなる。ただし隠すだけでは穴は残るから、必ず更新とセットでね。次はR04、ディレクトリ列挙。リンクされてない隠しエンドポイントを掘り出すよ。

まとめ:『5経路＋CVE紐付け』を1本の道で捉える

今回のポイント

指紋の5経路:ヘッダ／エラーページ／JS・generator／TCPスタック／総合ツール
受動で当たりを付け、能動で確定。能動はログに残る
版が判明→CVE→Exploit-DB→PoCで一気に攻撃化する
守りは名乗らない・差し替える・古くしないの3点
「隠す」と「更新する」は必ずセットで(隠すだけでは穴は残る)

今日の持ち帰りは『サイトに自己紹介させない』。指紋は、消そうと思えば消せる情報です。Serverヘッダを伏せ、404を差し替え、Cookie名を変える——どれも設定一つ。ただし“隠す”はあくまで時間稼ぎで、古い版を使い続ければ穴は残ります。だから『名乗らない』と『最新に保つ』は、必ずワンセットで覚えておいてください。

次はR04、ディレクトリ列挙編。指紋で当たりを付けたサーバの『リンクされていない隠し扉』を掘り出します。