Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ウェブ改ざんに悪用される脆弱性、9カ月間で155件 - 「WordPress」と「Drupal」に集中

情報処理推進機構(IPA)より、脆弱性データベース「JVN iPedia」への登録状況が公表されたが、ウェブサイトの改ざんに悪用に利用される脆弱性が目立っている。2012年よりもペースは鈍化しているが、引き続き注意が必要な状況だ。

ウェブサイトの改ざん被害は、2013年に入ってから増加しており、JPCERTコーディネーションセンターによれば、ピークを迎えた6月から7月にかけては、1カ月あたり1000件を超えるなど深刻な状況となっている。

IPAが発表した「JVN iPedia」の登録状況を見ると、コンテンツマネジメントシステム(CMS)や、ウェブサーバ管理ソフト、ミドルウェアなど、2012年に引き続き、改ざんにつながるおそれもある脆弱性が多数登録されている。

「XOOPS」「Movable Type」「Joomla!」「Drupal」「WordPress」「Parallels Plesk Panel」「Apache Struts」の主要7製品における累積登録件数は1879件。2013年に入ってからは9月末の時点であらたに155件が追加された。

年間361件が登録された2012年のペースを下回るものの、多数脆弱性が登録されている状況に変わりない。またこのうち1807件がCMSに関する脆弱性だった。

CMSの「Joomla!」に関しては、2010年をピークに登録件数が減少する傾向にあるが、一方で「WordPress」と「Drupal」の登録が集中。特に2013年にかけてその傾向が顕著となっている。

ウェブサイトの改ざんに関するこれら脆弱性は、深刻度の高いものが多い。CVSSのスコアが「7.0」以上の「レベルIII(危険)」が688件、「レベルII(警告)」が981件で、あわせると約89%に及ぶ。またCMSに限って見ても、「レベルIII」の脆弱性は1807件中660件と3分の1以上を占める。

IPAでは、脆弱性を含んだ古いバージョンのソフトを使っていると、攻撃に悪用されるリスクが高くなるとして、日ごろより脆弱性の情報を収集し、製品のバージョンアップを速やかに実施するよう求めている。

(Security NEXT - 2013/10/18 ) このエントリーをはてなブックマークに追加

PR

関連記事

2023年の不正アクセス認知件数、前年比2.9倍に急増
インシデント件数が約1割増 - 「スキャン」報告が倍増
3Qの脆弱性届け出、ウェブサイト関連が増加
3Qのインシデント、前期四半期比25%減 - 「サイト改ざん」が大幅減少
クラウド利用に約6割が不安、アクセス権限の誤設定を2割弱が経験
Pマーク事業者の個人情報関連事故報告、前年度の約2.3倍に
2Qの脆弱性届け出、ソフトとウェブともに減少
2Qのインシデント件数、前四半期比6%減 - 「スキャン」半減
地方金融機関の7割、セキュリティリスクを評価できる人材が不足
1Qの脆弱性届け出 - ソフトとウェブサイトのいずれも増加