脆弱性放置のウェブサイトは閉鎖の検討を - IPAが注意喚起
情報処理推進機構(IPA)は、旧バージョンのコンテンツマネジメントシステム(CMS)を利用しているなど、管理が行き届かないウェブサイトについては、閉鎖も含めて対策を検討するよう注意を喚起している。
コンテンツマネジメントシステム(CMS)は、ウェブサイトのコンテンツを簡単に更新できるソフトウェア。システム導入後は専門的な知識がなくても、気軽に内容を更新できるため、多方面で利用されている。
一方、オープンソースなどでさまざまなCMSが提供されているが、そのほとんどは脆弱性が報告されており、セキュリティアップデートを実施している。脆弱性を悪用した改ざん攻撃も多発しており、安全に利用するためには、常日頃のメンテナンスが欠かせない。
マルウェア感染の流れ(図:IPA)
脆弱性を突かれてウェブサイトが改ざんされた場合、ウェブサイトの閲覧者にマルウェアが拡散されるおそれがあり、「被害者」でありながらも「加害者」となってしまうおそれもある。
これまでもサイト改ざんについて、同機構を含め、専門家から広く注意喚起が行われているが、こうした問題を受けて同機構では、国内において利用が多い「Movable Type」と「Web Diary Professional」に注目。これらシステムを利用するウェブサイトについて調査を実施した。
同調査を通じて、同機構では脆弱性を含む「Movable Type」の利用サイトを70件、開発が終了している「Web Diary Professional」の利用サイト170件を確認したという。いずれも脆弱性が存在する「改ざんサイト」予備軍だった。
(Security NEXT - 2014/06/19 )
ツイート
関連リンク
PR
関連記事
先週注目された記事(2024年10月27日〜2024年11月2日)
「WordPress」における不用意な露出に注意 - 攻撃の糸口となることも
2022年4Qインシデント件数は減少 - ウェブ改ざんなど減少
「WordPress」関連事故の背景に知識や予算の不足
IPA、2021年前半の被害届出127件を公開 - ランサムや認証突破など
5月末にトネリングによる「RDP」接続が急増
脆弱な「phpMyAdmin」の探索行為を多数観測 - IIJ
レンサバWAFの攻撃検知状況、半数超が「SQLインジェクション」
ウェブ経由の検知、「Trojan.JS.Redirector」が半数超 - 改ざん被害の多くでWP利用
約6年前のWPプラグイン脆弱性を狙う攻撃が11月に急増 - 攻撃元IPアドレスは3000件超