Apacheのバージョン情報を非表示にすることは、サーバーのセキュリティを向上させる重要な対策の一つです。デフォルトでは、ApacheはHTTPレスポンスヘッダーやエラーページにサーバーのバージョン情報を表示します。しかし、この情報が攻撃者にとって貴重な手掛かりとなり、脆弱性のあるバージョンが使用されている場合は特に危険です。

本記事では、Apacheのバージョン情報が表示される仕組みとそのリスクについて解説し、設定ファイルの変更によってバージョン情報を非表示にする方法を詳しく説明します。また、エラーページのカスタマイズやHTTPレスポンスヘッダーの制御といった具体的な手順も紹介します。

セキュリティの強化は、バージョン情報の隠蔽だけでなく、他の対策と組み合わせることでより効果を発揮します。サーバーの安全性を高めるために、ぜひ本記事の手順を参考にしてください。

Apacheのバージョン情報が公開されるリスク

Apacheのバージョン情報が外部に公開されることは、セキュリティ上の大きなリスクとなります。攻撃者はこの情報を利用して、脆弱性が存在するバージョンを特定し、サーバーへの侵入や攻撃を試みます。

具体的なリスクの例

• 脆弱性の悪用
  既知の脆弱性が存在するApacheのバージョンが使用されている場合、攻撃者はその脆弱性を狙った攻撃を仕掛ける可能性があります。
• ターゲットの特定
  サーバーがApacheを使用していることが明らかになると、それだけで攻撃対象にされやすくなります。特に、古いバージョンが使われている場合は標的になる可能性が高くなります。
• スクリプトキディの標的に
  自動化されたスクリプトを使って脆弱性のあるサーバーを探す「スクリプトキディ」と呼ばれる攻撃者にとって、バージョン情報は重要な指標になります。

リスクを減らす重要性

バージョン情報を非表示にするだけで、攻撃者がサーバーに関する情報を収集する難易度が高くなります。これは「セキュリティの防御層」を厚くする一環となり、攻撃を未然に防ぐ効果が期待できます。

バージョン情報が表示される箇所

Apacheのバージョン情報は、特定の条件下で自動的に外部へ公開されます。以下は、バージョン情報が表示される代表的な箇所です。

1. HTTPレスポンスヘッダー

HTTPリクエストに対するレスポンスとして、Apacheはデフォルトで「Server」ヘッダーにバージョン情報を含めます。たとえば以下のような形式で表示されます。

Server: Apache/2.4.57 (Ubuntu)

この情報により、Apacheのバージョンや使用しているOSが明らかになります。

2. デフォルトのエラーページ

存在しないページへのアクセスや、サーバーエラーが発生した場合に表示されるエラーページにもバージョン情報が表示されます。

404 Not Found  
Apache/2.4.57 (Ubuntu) Server at example.com Port 80

3. ディレクトリリスティング

ディレクトリインデックスが有効になっている場合、ディレクトリリストの下部にApacheのバージョン情報が表示されることがあります。

Index of /images  
Apache/2.4.57 (Ubuntu) Server at example.com Port 80

4. アプリケーションログ

内部的なログファイルにもバージョン情報が記録されることがありますが、外部公開はされません。ただし、ログの不適切な管理によって情報が漏洩する可能性があります。

バージョン情報の可視性とリスク

これらの箇所でバージョン情報が表示されることは、攻撃者にとって大きな利点になります。サーバーの脆弱性を特定される前に、これらの情報を隠すことが重要です。次のセクションでは、具体的な設定方法について解説します。

バージョン情報を非表示にする設定方法（基本編）

Apacheのバージョン情報を非表示にするには、Apacheの設定ファイルを編集して、不要な情報が外部に公開されないようにする必要があります。ここでは、最も基本的な設定方法を解説します。

1. httpd.confファイルの場所を確認

Apacheの設定ファイルは、以下のパスに配置されていることが一般的です。環境によって異なる場合がありますので、自身の環境に合わせて確認してください。

• CentOS / Red Hat系: /etc/httpd/conf/httpd.conf
• Ubuntu / Debian系: /etc/apache2/apache2.conf または /etc/apache2/conf-enabled/
• MacOS: /usr/local/etc/httpd/httpd.conf

2. ServerTokensの設定

HTTPレスポンスヘッダーに表示されるバージョン情報を制限するには、ServerTokensディレクティブを使用します。
httpd.confファイルを開き、以下のように設定します。

ServerTokens Prod  

• Prod：Apacheのバージョン情報を完全に非表示にし、「Apache」という文字列のみを返します。
• Full：デフォルト設定で、バージョン情報やOSが表示されます（例: Apache/2.4.57 (Ubuntu)）。

3. ServerSignatureの設定

エラーページやディレクトリリスティングのフッターに表示されるバージョン情報を無効にするには、ServerSignatureディレクティブを設定します。

ServerSignature Off  

この設定により、エラーページにApacheのバージョン情報が表示されなくなります。

4. 設定を反映する

設定を変更した後は、Apacheを再起動して変更を反映させます。

• CentOS / Red Hat系

sudo systemctl restart httpd  

• Ubuntu / Debian系

sudo systemctl restart apache2  

5. 設定変更の確認

変更が反映されているか確認するには、curlコマンドを使用します。

curl -I http://example.com  

Serverヘッダーが「Apache」のみ表示されていれば、設定は正しく反映されています。

これで、Apacheのバージョン情報を非表示にする基本的な設定が完了します。次は、さらに詳細な設定やセキュリティを強化する追加対策について解説します。

サーバー署名の無効化

Apacheのサーバー署名は、エラーページやディレクトリリストの下部に表示される情報で、デフォルトではApacheのバージョンやOS情報が含まれます。この情報は攻撃者にとって有益であるため、無効化することが推奨されます。

1. サーバー署名とは

サーバー署名は、404エラーページや403アクセス拒否ページなどで以下のように表示されます。

Apache/2.4.57 (Ubuntu) Server at example.com Port 80  

この部分を非表示にすることで、サーバーの特性を隠し、攻撃のリスクを軽減できます。

2. サーバー署名の無効化方法

サーバー署名を無効にするには、Apacheの設定ファイル（httpd.conf または apache2.conf）を編集します。

手順：

1. 設定ファイルを開きます。

sudo nano /etc/apache2/apache2.conf  

2. 以下のディレクティブを追加または変更します。

ServerSignature Off  

3. 保存して、Apacheを再起動します。

sudo systemctl restart apache2  

3. 設定の確認方法

サーバー署名が無効化されているかを確認するには、存在しないURLにアクセスしてエラーページを表示します。

curl -I http://example.com/invalid-page  

ServerヘッダーにApacheのバージョンが表示されていなければ、無効化が成功しています。

4. サーバー署名の完全非表示化

場合によっては、サーバーの存在自体を示す情報も隠したい場合があります。その際は、ServerTokensディレクティブと組み合わせて設定します。

ServerTokens Prod  
ServerSignature Off  

これにより、サーバーがApacheであることすら示さないようになります。

サーバー署名の無効化は、外部にサーバー情報を漏洩させない基本的なセキュリティ対策です。次は、HTTPレスポンスヘッダーのカスタマイズ方法について解説します。

HTTPレスポンスヘッダーの変更方法

ApacheのHTTPレスポンスヘッダーには、デフォルトで「Server」ヘッダーが含まれ、ApacheのバージョンやOS情報が表示されます。この情報を最小限に抑えることで、サーバーの特定を防ぎ、セキュリティを強化できます。

1. ServerTokensの設定

Apacheのレスポンスヘッダーに表示される「Server」情報を制御するには、ServerTokensディレクティブを使用します。

設定例：

httpd.conf または apache2.confに以下のように記述します。

ServerTokens Prod  

ServerTokensのオプション一覧：

• Full（デフォルト）：ApacheのバージョンとOS情報が表示される。例：

  Server: Apache/2.4.57 (Ubuntu)  

• Minor：メジャーバージョンとマイナーバージョンが表示される。例：

  Server: Apache/2.4  

• Major：メジャーバージョンのみが表示される。例：

  Server: Apache/2  

• Prod：「Apache」のみが表示され、バージョンやOS情報は非表示。例：

  Server: Apache  

2. 設定ファイルの編集手順

1. 設定ファイルを開きます。

sudo nano /etc/apache2/apache2.conf  

2. ServerTokensを以下のように変更します。

ServerTokens Prod  

3. ファイルを保存して、Apacheを再起動します。

sudo systemctl restart apache2  

3. 設定変更の確認

レスポンスヘッダーが変更されているか確認するには、curlコマンドを使用します。

curl -I http://example.com  

出力例：

HTTP/1.1 200 OK  
Server: Apache  

バージョン情報が表示されていないことを確認します。

4. Headerディレクティブを使った追加対策

さらにセキュリティを強化するために、Headerディレクティブを使用して「Server」ヘッダー自体を変更または削除することが可能です。

<IfModule mod_headers.c>  
    Header unset Server  
    Header always set X-Content-Type-Options "nosniff"  
</IfModule>  

これにより、「Server」ヘッダーがレスポンスから削除され、代わりにX-Content-Type-Optionsヘッダーが追加されます。

5. Apacheの再起動

変更を反映させるために、Apacheを再起動します。

sudo systemctl restart apache2  

これで、HTTPレスポンスヘッダーからApacheのバージョン情報を非表示にし、セキュリティを向上させることができます。

エラーページのカスタマイズ

Apacheでは、404や500などのエラーページにデフォルトでサーバーのバージョン情報が表示されます。これをカスタマイズすることで、バージョン情報の漏洩を防ぎ、サーバーのセキュリティを向上させることができます。

1. デフォルトのエラーページ例

404エラーページなどには以下のような情報が表示されます。

404 Not Found  
Apache/2.4.57 (Ubuntu) Server at example.com Port 80  

この「Apache/2.4.57 (Ubuntu)」部分が攻撃者にサーバー情報を知らせることになります。

2. エラーページをカスタマイズする方法

1. カスタムエラーページの作成

まず、エラーページ用のHTMLファイルを作成します。

sudo mkdir /var/www/html/errors  
sudo nano /var/www/html/errors/404.html  

以下のようなシンプルな404ページを作成します。

“`html

404 Not Found

ページが見つかりません

お探しのページは存在しません。

<h4>2. Apacheの設定ファイルを編集</h4>  
httpd.conf または apache2.confに以下の記述を追加します。  

ErrorDocument 404 /errors/404.html
ErrorDocument 403 /errors/403.html
ErrorDocument 500 /errors/500.html

- `ErrorDocument 404`は404エラー時に表示するページを指定します。  
- 他のエラーコード（403や500など）についても同様に指定できます。  

<h4>3. 設定を反映させる</h4>  
設定を反映させるためにApacheを再起動します。  

sudo systemctl restart apache2

<h3>3. 設定の確認</h3>  
存在しないURLにアクセスし、カスタムエラーページが表示されることを確認します。  

curl -I http://example.com/nonexistent-page

表示例：  

404 Not Found

バージョン情報が表示されず、カスタムページが適用されていれば成功です。  

<h3>4. より詳細なエラーページを作成する</h3>  
CSSやJavaScriptを使用して、デザイン性の高いエラーページを作成することも可能です。ブランドイメージに合わせたデザインを作成することで、セキュリティだけでなくユーザー体験の向上にもつながります。  

これで、エラーページをカスタマイズし、Apacheのバージョン情報を隠す設定が完了しました。次は、設定変更後の確認方法について解説します。
<h2>設定変更後の確認方法</h2>  
Apacheのバージョン情報を非表示にする設定を行った後は、適切に反映されているか確認することが重要です。ここでは、HTTPレスポンスヘッダーやエラーページを検証し、設定が正しく適用されているかを確認する方法を解説します。  

<h3>1. HTTPレスポンスヘッダーの確認</h3>  
Apacheのバージョン情報がHTTPレスポンスヘッダーに表示されていないかを確認します。  

<h4>curlコマンドを使用した確認方法</h4>  
以下のコマンドでHTTPヘッダー情報を取得します。  

curl -I http://example.com

実行結果の例（設定反映後）：  

HTTP/1.1 200 OK
Server: Apache
Content-Type: text/html

「Server: Apache」とだけ表示され、バージョン情報が削除されていることを確認します。  

<h3>2. エラーページの確認</h3>  
存在しないURLにアクセスし、エラーページでバージョン情報が表示されていないかを確認します。  

curl -I http://example.com/nonexistent-page

実行結果の例（設定反映後）：  

HTTP/1.1 404 Not Found
Content-Type: text/html

エラーページでApacheのバージョンやOS情報が表示されていなければ、設定が正しく反映されています。  

<h3>3. ディレクトリリスティングの確認</h3>  
ディレクトリリスティングが有効になっている場合も確認します。  

curl http://example.com/images/

設定が適用されている場合、ディレクトリリストの下部にサーバー情報が表示されません。  

<h3>4. nmapでの詳細確認</h3>  
より詳細に確認するためには、nmapを使用してサーバー情報をスキャンする方法も有効です。  

nmap -sV example.com

実行結果の例（設定反映後）：  

PORT STATE SERVICE
80/tcp open http

Apacheのバージョン情報が表示されなければ、設定が正しく反映されています。  

<h3>5. ブラウザでの確認</h3>  
ブラウザから直接存在しないURLにアクセスし、エラーページを確認します。  

例：  

http://example.com/nonexistent-page

バージョン情報が表示されていないカスタムエラーページが表示されれば、設定は成功しています。  

<h3>6. 反映されない場合の対処法</h3>  
- 設定ファイルが正しい場所に配置されているか確認してください。  
- 設定変更後にApacheを再起動したか再確認します。  
- 設定ミスがないか、スペルミスなどをチェックします。  

これで、Apacheの設定変更が正しく反映されているかを確認する方法が完了です。次は、さらなるセキュリティ強化策について解説します。
<h2>より強固なセキュリティ対策の併用</h2>  
Apacheのバージョン情報を非表示にすることは基本的なセキュリティ対策ですが、これだけではサーバーの防御として不十分です。攻撃者は他の手段で情報を収集し、脆弱性を突く可能性があります。そこで、追加で実施すべき強固なセキュリティ対策をいくつか紹介します。  

<h3>1. ファイアウォールの設定</h3>  
不要なポートを閉じ、外部からのアクセスを制限することで攻撃のリスクを軽減します。  

<h4>UFW（Uncomplicated Firewall）での設定例：</h4>  

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable

これにより、HTTPとHTTPSの通信のみを許可し、他のポートへのアクセスを遮断します。  

<h3>2. ModSecurityの導入</h3>  
ModSecurityはApache用のWebアプリケーションファイアウォールで、不正なアクセスや攻撃をブロックします。  

<h4>インストールと有効化：</h4>  

sudo apt install libapache2-mod-security2
sudo a2enmod security2
sudo systemctl restart apache2

これにより、SQLインジェクションやXSS攻撃などを防ぐルールセットが適用されます。  

<h3>3. SSL/TLSの導入と強化</h3>  
通信を暗号化することで、盗聴や改ざんのリスクを防ぎます。Let's Encryptなどの無料SSL証明書を使用できます。  

<h4>Let's Encryptの導入例：</h4>  

sudo apt install certbot python3-certbot-apache
sudo certbot –apache

これにより、サイトがHTTPSで安全にアクセスできるようになります。  

<h3>4. ディレクトリリスティングの無効化</h3>  
ディレクトリリスティングが有効になっていると、攻撃者がサーバー内のファイル構造を確認できてしまいます。これを無効化します。  

Options -Indexes

<h3>5. アクセス制限</h3>  
管理者用のディレクトリやページにはIPアドレス制限を設定します。  

Require ip 192.168.1.0/24

これにより、特定のIPアドレスからのみアクセス可能になります。  

<h3>6. Apacheのモジュール制御</h3>  
不要なApacheモジュールは無効化し、攻撃対象の範囲を減らします。  

sudo a2dismod autoindex
sudo systemctl restart apache2

<h3>7. 定期的なアップデート</h3>  
ApacheやOSの脆弱性は時間とともに発見されます。定期的にアップデートを行い、常に最新のセキュリティパッチを適用します。  

sudo apt update && sudo apt upgrade

<h3>8. ログの監視</h3>  
不正アクセスの兆候を早期に発見するためにログを監視します。  

sudo tail -f /var/log/apache2/access.log
sudo tail -f /var/log/apache2/error.log
“`

これらのセキュリティ対策を併用することで、Apacheサーバーの防御力が大幅に向上します。バージョン情報の非表示と合わせて実施することで、攻撃者の侵入リスクを最小限に抑えることができます。

まとめ

本記事では、Apacheのバージョン情報を非表示にする方法と、サーバーのセキュリティを強化する追加対策について解説しました。

バージョン情報の漏洩は、攻撃者にサーバーの脆弱性を特定されるリスクを高めます。ServerTokensやServerSignatureの設定変更、エラーページのカスタマイズを行うことで、この情報の露出を防ぐことができます。

さらに、ModSecurityの導入やファイアウォール設定、SSL/TLSによる通信の暗号化など、複数のセキュリティ対策を併用することで、サーバーの防御力を一層高めることが可能です。

セキュリティは一度設定したら終わりではなく、定期的なメンテナンスと監視が必要です。今回の設定を参考に、Apacheサーバーを安全に運用してください。