Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

毎月100件超のウェブ改ざん、委託状況含めてチェックを

同センターが被害を確認した代表的なケースとして、コンテンツマネジメントシステム(CMS)で構築されたウェブサイトにおいて脆弱性が突かれるケースがあり、その1例として、3月に公開され、別名「Drupalgeddon 2.0」とも呼ばれる「Drupal」の脆弱性「CVE-2018-7600」を挙げた。脆弱性判明後、実証コードの公開より攻撃が発生、悪意あるプログラムがリモートより設置される被害が相次いだという

また脆弱性対策が甘いeコマースサイトや会員制サイトにおいて個人情報の流出が多発していることから、個人情報保護委員会より注意喚起が行われていることにも触れ、「改ざん」や「情報流出」などが生じた場合、サービスの停止や損害賠償など、事業に影響を及ぼす可能性があると指摘。こうした被害を未然に防止するため、定期的に点検を実施するよう呼びかけた。

もっとも頻繁にチェックすべき項目として、ウェブサーバ上に設置されているファイルの状態を挙げ、1週間に1度を目安にバックアップを実施し、比較して不正なファイルの設置や改ざんなどが行われていないか確認するよう求めている。

さらに数週間から1カ月に1回程度を目安として、ウェブサーバで利用するソフトウェアについて、プラグインや拡張機能なども含め、最新の状態となっているか確認するようアドバイスしている。

ただし、「Drupalgeddon」はもちろん、過去の「WordPress」「Apache Struts」などのケースも踏まえると、あくまでも上記は目安である点に注意が必要だ。影響度が大きい脆弱性が急遽公開され、修正されるケースもあり、利用しているソフトウェアの脆弱性情報については感度を高めておく必要があるだろう。

(Security NEXT - 2018/07/19 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

警察庁、サイバー被害のオンライン通報窓口を設置 - 相談なども対応
2023年の不正アクセス認知件数、前年比2.9倍に急増
インシデント件数が約1割増 - 「スキャン」報告が倍増
3Qの脆弱性届け出、ウェブサイト関連が増加
3Qのインシデント、前期四半期比25%減 - 「サイト改ざん」が大幅減少
クラウド利用に約6割が不安、アクセス権限の誤設定を2割弱が経験
Pマーク事業者の個人情報関連事故報告、前年度の約2.3倍に
2Qの脆弱性届け出、ソフトとウェブともに減少
IPA 、「重要情報を扱うシステムの要求策定ガイド」を公開
2Qのインシデント件数、前四半期比6%減 - 「スキャン」半減

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.