Defaults.Exposed

Defaults.Exposed › レポート

サーバーヘッダーが攻撃者に教えていること:スタック開示レポート(2026年)

公開日 2026-06-29

数値は 2026-06-29 時点 · 方法論 v7。 観測された HTTP レスポンスヘッダー(ServerX-Powered-By)から集計したセンサスデータ。評価方法はこちらを参照。

ウェブの大半は、自分が何で動いているかを自ら明かしています。71.4% のサイトがレスポンスヘッダーで自社の Web サーバー名を示し、8.1% はさらに踏み込んで、自社のアプリケーションスタックを——しばしば正確なバージョンとともに——明らかにしています。 これらはいずれも必須ではなく、その一つひとつが、何を狙うか決めようとする攻撃者への無償のヒントになります。バージョンの開示は最悪です。サポート終了(EOL)ソフトウェアを宣伝するヘッダーは、招待状そのものです。

ウェブが告知しているもの

Server ヘッダーは Web サーバーソフトウェアの名前を示します。2026-06-29 時点で、それを送信している 71.4% のサイトのうち、最も一般的な値は次のとおりです。

Server ヘッダー送信しているサイトに占める割合
cloudflare21.7%
nginx16.0%
apache14.9%
openresty9.2%
squarespace4.9%

サーバー名だけならリスクは低めです。本当の露出は X-Powered-By であり、8.1% のサイトがこれを送信しています——そしてこれにはしばしば正確なバージョンが含まれます。最も一般的な値には asp.net や、php/7.4.33 のような特定の PHP ビルドが含まれます。

なぜバージョン開示が重要なのか

既知の脆弱性を求めてインターネットをスキャンする攻撃者は、まさにこれらのヘッダーで絞り込みます。php/7.4.33——もはやセキュリティパッチを受け取らないサポート終了の PHP バージョン——を宣伝しているサイトは、たった一度の探索すら行われる前に、悪用可能かもしれないとすべてのスキャナーに伝えているのです。開示は脆弱性を生み出すわけではありませんが、攻撃者の偵察コストを取り除き、パッチ未適用のサイトをリストの先頭へと押し上げます。

修正は無償で、訪問者にとって何のデメリットもありません。これらのヘッダーを抑制するか、汎用化してください。 スタックのバージョンを一般に向けて広報すべき機能的な理由はありません。

スタックの漏えいを止める方法

  1. X-Powered-By を完全に削除する——訪問者にとって何の役にも立ちません。(PHP/フレームワークでの一つのディレクティブ、またはプロキシでのヘッダー除去で済みます。)
  2. Server を汎用化する——Web サーバーまたは CDN で、バージョンを、あるいはヘッダーそのものを除去します。
  3. いずれにせよスタックにパッチを当て続ける——バージョンを隠すのは時間稼ぎであり、更新の代わりにはなりません。
  4. 再確認する——ヘッダーが消えていることを確認します。

よくある質問

X-Powered-By ヘッダーとは何ですか? アプリケーションのフレームワークを、そしてしばしばその正確なバージョン(例:特定の PHP ビルド)を宣伝するレスポンスヘッダーです。任意であり、訪問者には何の利益もありません——攻撃者にとってのみ有用です。8.1% のサイトがこれを送信しています。

サーバーソフトウェアを明かすのは脆弱性ですか? それ自体は違いますが、情報開示にはあたります。攻撃者があなたの特定のスタックとバージョンに対する既知の脆弱性で絞り込むことを可能にし、偵察をゼロにします。ベストプラクティスはこれを抑制することです。

Server ヘッダーは隠すべきですか? 汎用化する(バージョンを落とす)のは良い習慣です。より大きな効果は、X-Powered-By を削除し、ソフトウェアにパッチを当て続けることです。

これは SEO や訪問者に悪影響を与えますか? いいえ。これらのヘッダーはユーザーには見えず、検索エンジンにも無関係です。削除することは利点しかありません。

ヘッダーが何を明かしているか確認する

あなたのサイトが何を告知しているか——そして何を除去すべきか——を正確に、無料かつプライベートに確認できます。

ドメインをチェック → · HTTP セキュリティヘッダーの成績表 → · 集計データのみ。データは EU 内で保存・処理されます。