Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IS同調による改ざん広がる - 狙いはCMS管理の甘さ

国内外問わず過激派組織「ISIS(Islamic State)」を名乗る改ざん被害が確認されている。米連邦捜査局(FBI)は、おもな原因として、脆弱性を解消していない「WordPress」用のプラグインを挙げて注意を促しているが、セキュリティ企業は、ほかにも狙われる部分があると警鐘を鳴らしている。

「ISIS」を名乗る改ざんは、3月初旬に日本国内の複数ウェブサイトで確認され、注目を集めたが、国内外問わず、コンテンツマネージメントシステム(CMS)であるWordPressを利用する企業や報道機関、公共団体のほか、政府機関など、多くのウェブサイトで被害が確認されていることから、米連邦捜査局(FBI)が注意を喚起したもの。

おもな原因は、脆弱性を解消していない「WordPress」用のプラグイン。こうしたウェブサイトに対する攻撃の多くは、業種や企業名などから攻撃対象を絞り込んでいるわけではなく、脆弱性を修正していない旧バージョンのWordPress用プラグインを使用しているサイトが、無差別に狙われていると見られている。攻撃ツールも簡単に入手できる状態だ。

FBIでは、高度な攻撃ではないものの、ビジネスなどへ与える影響は小さくないと危険性を指摘。改ざんを行っているのは、ISISのメンバーではなく、同調した人物であり、ISISの売名行為のために行っていると分析している。

(Security NEXT - 2015/04/13 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

会員サイトへPWリスト攻撃、一部改でざんやポイント使用 - ロート製薬
サービス全体を対象としたIoT脆弱性診断 - サイバートラスト
茶類の通販サイトでクレカ情報流出の可能性 - 「Magento」の脆弱性突かれる
ドローン・ジャパンがサイト改ざん被害 - 閲覧でマルウェア感染のおそれ
PWリスト攻撃で顧客情報改ざん、第三者クレカ情報が不正登録
葛飾区、改ざんで閉鎖していた施設サイトを再開 - 1カ月半ぶり
救急医療機関の情報サイトが改ざん被害、公開を停止 - 鳥取県
病院や施設など24サイトが改ざん - 北海道の医療法人
「ベネッセの介護相談室」が改ざん被害 - 外部サイトへ誘導
セキュアブレイン、インフラやウェブアプリの脆弱性診断サービス