Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

脆弱性放置のウェブサイトは閉鎖の検討を - IPAが注意喚起

情報処理推進機構(IPA)は、旧バージョンのコンテンツマネジメントシステム(CMS)を利用しているなど、管理が行き届かないウェブサイトについては、閉鎖も含めて対策を検討するよう注意を喚起している。

コンテンツマネジメントシステム(CMS)は、ウェブサイトのコンテンツを簡単に更新できるソフトウェア。システム導入後は専門的な知識がなくても、気軽に内容を更新できるため、多方面で利用されている。

一方、オープンソースなどでさまざまなCMSが提供されているが、そのほとんどは脆弱性が報告されており、セキュリティアップデートを実施している。脆弱性を悪用した改ざん攻撃も多発しており、安全に利用するためには、常日頃のメンテナンスが欠かせない。

20140619_ip_001.jpg
マルウェア感染の流れ(図:IPA)

脆弱性を突かれてウェブサイトが改ざんされた場合、ウェブサイトの閲覧者にマルウェアが拡散されるおそれがあり、「被害者」でありながらも「加害者」となってしまうおそれもある。

これまでもサイト改ざんについて、同機構を含め、専門家から広く注意喚起が行われているが、こうした問題を受けて同機構では、国内において利用が多い「Movable Type」と「Web Diary Professional」に注目。これらシステムを利用するウェブサイトについて調査を実施した。

同調査を通じて、同機構では脆弱性を含む「Movable Type」の利用サイトを70件、開発が終了している「Web Diary Professional」の利用サイト170件を確認したという。いずれも脆弱性が存在する「改ざんサイト」予備軍だった。

(Security NEXT - 2014/06/19 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

ホスティングサービス上のWAF検知、約34%が「WordPress」狙い - SQLi攻撃目立つ
サーバなど4分の1の機器で不用意にポート公開 - サイト1割強がメンテ経路を開放
「WordPress」のプラグイン狙う攻撃が急増 - 前四半期の10倍超に
ウェブ経由のマルウェア、「WordPress」改ざんサイトから多数検知
「RIG EK」による感染被害が急増 - 警察が約300の踏み台サイトに指導
2016年2Q、引き続き多発するウェブ改ざん被害 - DoS攻撃は一服
サイト改ざんが1.5倍強、ランサムウェア感染のDBD攻撃なども - DoS攻撃は約8倍に
2015年4Qはサイト改ざんが4割増 - CMSの脆弱性が標的に
WordPressや顧客情報保有サイトが標的に
ウェブ経由の攻撃エクスプロイト、「Java」狙い9割