Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ウェブ改ざんに悪用される脆弱性、9カ月間で155件 - 「WordPress」と「Drupal」に集中

情報処理推進機構(IPA)より、脆弱性データベース「JVN iPedia」への登録状況が公表されたが、ウェブサイトの改ざんに悪用に利用される脆弱性が目立っている。2012年よりもペースは鈍化しているが、引き続き注意が必要な状況だ。

ウェブサイトの改ざん被害は、2013年に入ってから増加しており、JPCERTコーディネーションセンターによれば、ピークを迎えた6月から7月にかけては、1カ月あたり1000件を超えるなど深刻な状況となっている。

IPAが発表した「JVN iPedia」の登録状況を見ると、コンテンツマネジメントシステム(CMS)や、ウェブサーバ管理ソフト、ミドルウェアなど、2012年に引き続き、改ざんにつながるおそれもある脆弱性が多数登録されている。

「XOOPS」「Movable Type」「Joomla!」「Drupal」「WordPress」「Parallels Plesk Panel」「Apache Struts」の主要7製品における累積登録件数は1879件。2013年に入ってからは9月末の時点であらたに155件が追加された。

年間361件が登録された2012年のペースを下回るものの、多数脆弱性が登録されている状況に変わりない。またこのうち1807件がCMSに関する脆弱性だった。

CMSの「Joomla!」に関しては、2010年をピークに登録件数が減少する傾向にあるが、一方で「WordPress」と「Drupal」の登録が集中。特に2013年にかけてその傾向が顕著となっている。

ウェブサイトの改ざんに関するこれら脆弱性は、深刻度の高いものが多い。CVSSのスコアが「7.0」以上の「レベルIII(危険)」が688件、「レベルII(警告)」が981件で、あわせると約89%に及ぶ。またCMSに限って見ても、「レベルIII」の脆弱性は1807件中660件と3分の1以上を占める。

IPAでは、脆弱性を含んだ古いバージョンのソフトを使っていると、攻撃に悪用されるリスクが高くなるとして、日ごろより脆弱性の情報を収集し、製品のバージョンアップを速やかに実施するよう求めている。

(Security NEXT - 2013/10/18 ) このエントリーをはてなブックマークに追加

PR

関連記事

2021年のフィッシング報告、後半に増加 - 狙う業種は「金融」から「通信事業者」に
2022年1Qのインシデント、前四半期から15.2%減
2021年の不正アクセス認知は1516件 - 前年から約46%減
フィッシング検知、年末年始や年度替わりに増加傾向
EC事業者の4社に1社、不正アクセスや不正注文を経験
ECサイトの情報流出被害、4割で1000万円超 - 責任範囲や技術の理解乏しく
「WordPress」関連事故の背景に知識や予算の不足
2021年のマルウェア届出、前年の2倍 - ランサム感染被害は39件
インシデント件数、前四半期から1割増 - 「マルウェアサイト」は3.4倍に
2021年3Qはインシデントが約25.9%増 - 「サイト改ざん」が倍増