Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ウェブ改ざんに悪用される脆弱性、9カ月間で155件 - 「WordPress」と「Drupal」に集中

情報処理推進機構(IPA)より、脆弱性データベース「JVN iPedia」への登録状況が公表されたが、ウェブサイトの改ざんに悪用に利用される脆弱性が目立っている。2012年よりもペースは鈍化しているが、引き続き注意が必要な状況だ。

ウェブサイトの改ざん被害は、2013年に入ってから増加しており、JPCERTコーディネーションセンターによれば、ピークを迎えた6月から7月にかけては、1カ月あたり1000件を超えるなど深刻な状況となっている。

IPAが発表した「JVN iPedia」の登録状況を見ると、コンテンツマネジメントシステム(CMS)や、ウェブサーバ管理ソフト、ミドルウェアなど、2012年に引き続き、改ざんにつながるおそれもある脆弱性が多数登録されている。

「XOOPS」「Movable Type」「Joomla!」「Drupal」「WordPress」「Parallels Plesk Panel」「Apache Struts」の主要7製品における累積登録件数は1879件。2013年に入ってからは9月末の時点であらたに155件が追加された。

年間361件が登録された2012年のペースを下回るものの、多数脆弱性が登録されている状況に変わりない。またこのうち1807件がCMSに関する脆弱性だった。

CMSの「Joomla!」に関しては、2010年をピークに登録件数が減少する傾向にあるが、一方で「WordPress」と「Drupal」の登録が集中。特に2013年にかけてその傾向が顕著となっている。

ウェブサイトの改ざんに関するこれら脆弱性は、深刻度の高いものが多い。CVSSのスコアが「7.0」以上の「レベルIII(危険)」が688件、「レベルII(警告)」が981件で、あわせると約89%に及ぶ。またCMSに限って見ても、「レベルIII」の脆弱性は1807件中660件と3分の1以上を占める。

IPAでは、脆弱性を含んだ古いバージョンのソフトを使っていると、攻撃に悪用されるリスクが高くなるとして、日ごろより脆弱性の情報を収集し、製品のバージョンアップを速やかに実施するよう求めている。

(Security NEXT - 2013/10/18 ) このエントリーをはてなブックマークに追加

PR

関連記事

2017年3Q、「ウェブ改ざん」が大幅減 - 「フィッシング」「マルウェアサイト」は増加
中小企業の6.2%がサイバー攻撃を経験 - 標的型攻撃が最多、ランサムも
2017年1Qのインシデントは4856件 - サイト改ざんが41%増
4社に3社が過去1年間にインシデントを認知 - 標的型攻撃は8社に1社
ECサイトの約半数が1年以内にサイバー攻撃を経験 - 7割で被害
「RIG EK」による感染被害が急増 - 警察が約300の踏み台サイトに指導
2016年4Qのインシデント、前四半期比1.5倍に - 制御システム関連も高い増加率
2016年2Qの脆弱性届出は230件 - ウェブサイト関連が増加
2016年3Qのインシデント、ウェブ改ざん半減するもマルウェアサイトやDoS攻撃が増加
相談件数が2000件を突破、ワンクリック詐欺も最多記録を更新 - IPAまとめ