サーバなど4分の1の機器で不用意にポート公開 - サイト1割強がメンテ経路を開放
またウェブサイトの棚卸しを支援する同社サービスを通じて、1万3289件の公開ウェブサイトについて調査を行ったところ、12.2%において、管理用ページへアクセスするための経路が外部に公開されていることが判明した。
メインテナンスサービスが開放されていたケースが8.8%、コンテンツ管理用機能の開放が2.4%、管理用サブドメインの開放が2.0%、管理用ポートの開放が0.9%だった。
同社サイバーセキュリティサービス開発部で、セキュリティコンサルタントを務める原田諭氏は、CMSは予算を抑えて導入できるが、同時にセキュリティ対策にも十分な予算やリソースが割り当てられていない可能性があると分析。
また比較的専門知識がなくても導入でき、運用担当者がバージョンアップによる脆弱性への対応や、堅牢化の必要性などを認知しないまま運用している可能性もあると述べた。

ウェブサイトの管理ページにおける経路の開放状況(画像:NRIセキュア)

調査結果について説明した原田氏
メインテナンス経路は、脆弱性が突かれた場合はもちろん、アクセス制限がない経路が開放されていると、脆弱性を悪用しなくともシステムを乗っ取られるおそれがあるとし、導入時だけでなく、運用も含めて適切な管理を行う必要があると同氏は指摘。
導入時における設定の確認やアクセス制限、運用時における脆弱性への適切な対応、セキュリティ機器の活用、運用ルールの策定、診断サービスの活用などを対策として挙げた。
また不要なポートを外部へ開放していないか、ポートスキャンで確認するなど、現状把握することからはじめることも選択肢のひとつになると述べ、メインテナンス経路におけるセキュリティ確保の重要性を強調した。
(Security NEXT - 2018/08/22 )
ツイート
関連リンク
PR
関連記事
若年層向けアジアCTF大会「ACSC 2025」が8月開催 - 世界大会は東京
個情委、学校の個人情報事故に注意喚起 - 紛失が5割弱、ICT化の影響も
先週注目された記事(2025年6月8日〜2025年6月14日)
国際作戦「チャクラV」でサポート詐欺を摘発 - 悪質ドメイン6.6万件閉鎖
先週注目された記事(2025年4月27日〜2025年5月3日)
先週注目された記事(2025年4月20日〜2025年4月26日)
サポート詐欺の相談が1000件超 - SNS乗っ取り相談も増加
まもなくGWの長期休暇 - セキュリティ対策の確認を
Google製脆弱性スキャナの最新版「OSV-Scanner 2.0.0」が公開
「クレカセキュリティGL」が改訂 - ECの対策強化など盛り込む