毎月100件超のウェブ改ざん、委託状況含めてチェックを

ウェブアプリケーションのセキュリティ診断は、1年に1回や機能の追加などを行ったタイミングで実行することを挙げ、くわえてサイトの管理に用いるログインIDやパスワードの適切な管理や、DDoS攻撃対策などあわせて呼びかけている。

さらにこうしたチェックにあたっては、ウェブサーバが稼働するインフラ、OS、フレームワーク、ウェブアプリケーションなどにおいて、脆弱性対策を実施すべき管理者が誰であるのか、把握しておくことが重要だ。

もし、委託先の保守対象部分がインフラ部分のみであるのに、インフラ上で稼働するOSやフレームワーク、ウェブアプリケーションまで対象となっていると勘違いしていれば、脆弱性が放置されてしまうことになる。また運用を委託している場合も、ウェブサイトのホスティングのみで、ソフトウェアの管理が含まれていない場合などにも注意が必要だ。

委託内容の範囲を確認し、委託先が不正アクセスや脆弱性への対策などを管理することになっているのであれば、委託先において点検、対策が適切に実施されているか確認することが推奨されている。

また同センターでは、ウェブサイトの改ざんなどを発見したり、被害に遭った場合、被害の対応依頼を希望する場合など、インシデント対応依頼を受け付ける窓口について案内している。

（Security NEXT - 2018/07/19 ） ツイート

PR

関連記事

インシデントが2割強の増加 - 「EC-CUBE」改ざん被害も複数報告
米当局、「Zimbra」の脆弱性に注意喚起 - 軍関係狙うゼロデイ攻撃も
先週注目された記事（2025年9月21日〜2025年9月27日）
中国支援の攻撃グループ、世界規模で通信など重要インフラを攻撃
先週注目された記事（2025年8月10日〜2025年8月16日）
夏季休暇に備えてセキュリティ対策の見直しを
DBD攻撃で拡大、ランサムウェア「Interlock」に警戒を
インシデントが前四半期比37.3％増 - サイト改ざんが約2.4倍
先週注目された記事（2025年4月27日〜2025年5月3日）
国内インシデント、前四半期比9.4％増 - サイト改ざんが1.8倍