Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

サーバなど4分の1の機器で不用意にポート公開 - サイト1割強がメンテ経路を開放

またウェブサイトの棚卸しを支援する同社サービスを通じて、1万3289件の公開ウェブサイトについて調査を行ったところ、12.2%において、管理用ページへアクセスするための経路が外部に公開されていることが判明した。

メインテナンスサービスが開放されていたケースが8.8%、コンテンツ管理用機能の開放が2.4%、管理用サブドメインの開放が2.0%、管理用ポートの開放が0.9%だった。

同社サイバーセキュリティサービス開発部で、セキュリティコンサルタントを務める原田諭氏は、CMSは予算を抑えて導入できるが、同時にセキュリティ対策にも十分な予算やリソースが割り当てられていない可能性があると分析。

また比較的専門知識がなくても導入でき、運用担当者がバージョンアップによる脆弱性への対応や、堅牢化の必要性などを認知しないまま運用している可能性もあると述べた。

20180821_ns_002.jpg
ウェブサイトの管理ページにおける経路の開放状況(画像:NRIセキュア)
20180821_ns_001.jpg
調査結果について説明した原田氏

メインテナンス経路は、脆弱性が突かれた場合はもちろん、アクセス制限がない経路が開放されていると、脆弱性を悪用しなくともシステムを乗っ取られるおそれがあるとし、導入時だけでなく、運用も含めて適切な管理を行う必要があると同氏は指摘。

導入時における設定の確認やアクセス制限、運用時における脆弱性への適切な対応、セキュリティ機器の活用、運用ルールの策定、診断サービスの活用などを対策として挙げた。

また不要なポートを外部へ開放していないか、ポートスキャンで確認するなど、現状把握することからはじめることも選択肢のひとつになると述べ、メインテナンス経路におけるセキュリティ確保の重要性を強調した。

(Security NEXT - 2018/08/22 ) このエントリーをはてなブックマークに追加

PR

関連記事

脆弱性管理避けられぬOSS、経産省が事例集を拡充
対ウクライナDDoS攻撃の余波を観測 - JPCERT/CC
ランサム攻撃に2割が支払い、4割は復旧できず
2022年1Qの脆弱性DB登録は3780件 - 5四半期ぶりに減少
セキュリティ対策に意欲ある都内中小企業に支援策 - 東京都
ソフト全般「脆弱性」対策の必要性、PC利用者で約6割が認知
「サポート詐欺」の平均被害額が1.8倍に - 支払方法に変化も
2021年度の「JNSA賞」が決定 - 報道記者に特別賞も
「JVN iPedia」、2021年4Q登録は4676件 - 前期比1.4倍に
「Redis」狙うパケットが1.8倍に - JPCERT/CC調査