Shifter の安全性に関する取り組み

平素より Shifter をご利用いただき、ありがとうございます。

Shifter では、WordPress で管理するウェブサイトを静的化したファイルのみを公開する仕組みや、サイトを編集する時にだけ WordPress を起動させる仕組みによって、第三者からの不正アクセスなどのセキュリティリスクを大幅に低減した安全性の高いサービスをご提供しています。

さらに、安全性向上のための取り組みとして、 Shifter のダッシュボード（ go.getshifter.io ）に対しても脆弱性診断ツールを使用したセキュリティテストを定期的に実施※しています。今回の診断から、より包括的なセキュリティ確保のため、新たに API も診断対象に加えました。

脆弱性診断の結果につきましては、本ページにて随時公開いたします。
Shifter を運用いただく際や、 Shifter の導入を検討される際に、ぜひご活用ください。

※ユーザーの皆さまによる Shifterダッシュボード への脆弱性診断は禁止させていただいております。

脆弱性診断の概要

実施時期

2024年11月
( 次回実施予定：2025年1月)
※API を対象に加えるための準備のため、今回のみ診断を11月に延期としておりました。次回からは従来通り1月に診断を実施する予定です。

診断方法

Shifter のダッシュボード（ go.getshifter.io ）に対し、脆弱性診断ツールを使用したセキュリティテストを実施しました。

主な検査項目は以下の通りです。

• SQL インジェクション（情報漏洩・改ざん対策）
  SQL⽂のエラーが出るような検査データを送信し、HTTP レスポンスのステータスやエラー⽂⾔などを確認。
• クロスサイトスクリプティン（セッションハイジャック・なりすまし対策）
  Html タグを含む検査データを送信し、HTTP レスポンスでそれらがエスケープされているかを確認（検査リクエスト送信時のレスポンスで発⾒した反射型 XSS および、検査リクエスト送信後に別の画⾯で後から発⾒した蓄積型 XSS を確認）。
• コマンドインジェクション（情報漏洩・改ざん対策）
  OS のコマンドが実⾏できるような検査データを送信し、コマンドが実⾏されたかのレスポンスを確認。
• リモートファイルインクルージョン（情報漏洩・改ざん対策）
  リモートファイルを読み込み、任意のコードが実⾏できるような検査データを送信し、コードが実⾏されたかのレスポンスを確認。
• ディレクトリトラバーサル （情報漏洩対策）
  OS 内のファイルが外部から表⽰できるような検査データを送信し、そのファイル内容が表⽰されているかを確認。

診断結果

今回の診断では、全ての検査項目において問題が無いことを確認しました。

Shifter は、皆様のフィードバックに基づいて常に改善を行っています。
何かお気づきの点がございましたら、お気軽にチャットサポートまでご連絡ください。