ウェブ改ざんに悪用される脆弱性、9カ月間で155件 - 「WordPress」と「Drupal」に集中

情報処理推進機構（IPA）より、脆弱性データベース「JVN iPedia」への登録状況が公表されたが、ウェブサイトの改ざんに悪用に利用される脆弱性が目立っている。2012年よりもペースは鈍化しているが、引き続き注意が必要な状況だ。

ウェブサイトの改ざん被害は、2013年に入ってから増加しており、JPCERTコーディネーションセンターによれば、ピークを迎えた6月から7月にかけては、1カ月あたり1000件を超えるなど深刻な状況となっている。

IPAが発表した「JVN iPedia」の登録状況を見ると、コンテンツマネジメントシステム（CMS）や、ウェブサーバ管理ソフト、ミドルウェアなど、2012年に引き続き、改ざんにつながるおそれもある脆弱性が多数登録されている。

「XOOPS」「Movable Type」「Joomla！」「Drupal」「WordPress」「Parallels Plesk Panel」「Apache Struts」の主要7製品における累積登録件数は1879件。2013年に入ってからは9月末の時点であらたに155件が追加された。

年間361件が登録された2012年のペースを下回るものの、多数脆弱性が登録されている状況に変わりない。またこのうち1807件がCMSに関する脆弱性だった。

CMSの「Joomla！」に関しては、2010年をピークに登録件数が減少する傾向にあるが、一方で「WordPress」と「Drupal」の登録が集中。特に2013年にかけてその傾向が顕著となっている。

ウェブサイトの改ざんに関するこれら脆弱性は、深刻度の高いものが多い。CVSSのスコアが「7.0」以上の「レベルIII（危険）」が688件、「レベルII（警告）」が981件で、あわせると約89％に及ぶ。またCMSに限って見ても、「レベルIII」の脆弱性は1807件中660件と3分の1以上を占める。

IPAでは、脆弱性を含んだ古いバージョンのソフトを使っていると、攻撃に悪用されるリスクが高くなるとして、日ごろより脆弱性の情報を収集し、製品のバージョンアップを速やかに実施するよう求めている。

（Security NEXT - 2013/10/18 ）ツイート