Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

毎月100件超のウェブ改ざん、委託状況含めてチェックを

同センターが被害を確認した代表的なケースとして、コンテンツマネジメントシステム(CMS)で構築されたウェブサイトにおいて脆弱性が突かれるケースがあり、その1例として、3月に公開され、別名「Drupalgeddon 2.0」とも呼ばれる「Drupal」の脆弱性「CVE-2018-7600」を挙げた。脆弱性判明後、実証コードの公開より攻撃が発生、悪意あるプログラムがリモートより設置される被害が相次いだという

また脆弱性対策が甘いeコマースサイトや会員制サイトにおいて個人情報の流出が多発していることから、個人情報保護委員会より注意喚起が行われていることにも触れ、「改ざん」や「情報流出」などが生じた場合、サービスの停止や損害賠償など、事業に影響を及ぼす可能性があると指摘。こうした被害を未然に防止するため、定期的に点検を実施するよう呼びかけた。

もっとも頻繁にチェックすべき項目として、ウェブサーバ上に設置されているファイルの状態を挙げ、1週間に1度を目安にバックアップを実施し、比較して不正なファイルの設置や改ざんなどが行われていないか確認するよう求めている。

さらに数週間から1カ月に1回程度を目安として、ウェブサーバで利用するソフトウェアについて、プラグインや拡張機能なども含め、最新の状態となっているか確認するようアドバイスしている。

ただし、「Drupalgeddon」はもちろん、過去の「WordPress」「Apache Struts」などのケースも踏まえると、あくまでも上記は目安である点に注意が必要だ。影響度が大きい脆弱性が急遽公開され、修正されるケースもあり、利用しているソフトウェアの脆弱性情報については感度を高めておく必要があるだろう。

(Security NEXT - 2018/07/19 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

国内インシデント、前四半期比9.4%増 - サイト改ざんが1.8倍
1Qの脆弱性届出は99件 - ウェブサイト関連が低水準
まもなくGWの長期休暇 - セキュリティ対策の確認を
先週注目された記事(2025年3月23日〜2025年3月29日)
2024年の不正アクセス届出166件 - 脆弱性や設定不備が標的に
中小企業4社に1社でインシデント被害 - 約7割で「取引先に影響」
2024年4Qのインシデントは約8%増 - 「FortiManager」脆弱性の侵害事例も
先週注目された記事(2024年10月27日〜2024年11月2日)
3Qの脆弱性届出は116件 - 前四半期から4.5%増
3Qのインシデントは2割減 - ただし「サイト改ざん」は倍増

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.