管理下のページは大丈夫? 多発するWeb改ざんに注意喚起――IPA:「プログラムのアップデート」「運用体制の確認」を推奨
情報処理推進機構(IPA)は6月4日、2013年4月から5月にかけて国内でWebサイト改ざん事件が相次いでいることを踏まえ、「2013年6月の呼びかけ」の中であらためて対策を呼び掛けた。
情報処理推進機構(IPA)は6月4日、2013年4月から5月にかけて国内でWebサイト改ざん事件が相次いでいることを踏まえ、「2013年6月の呼びかけ」の中であらためて対策を徹底するよう呼び掛けた。
IPAによると、4月1日から5月31日までの2カ月間で、Web改ざんに関する届出は10件に達した。これは「Gumbler」が流行した2010年第1四半期や、近隣諸国からと見られる攻撃が多発した2012年第3四半期に匹敵する水準だという。
Web改ざんの原因を見ると(下図)、特定できた中で最も多いのは「脆弱性の悪用」だ。脆弱性が残ったままの、古いバージョンのプログラムをそのまま動作させていた結果、脆弱性を悪用されて改ざんにつながった。具体的には、「Joomla!」「WordPress」といったCMSやWebアプリケーションフレームワークの「Apache Struts2」が攻撃され、改ざんされたケースが報告された。またそれ以前の期間を含め、この1年間で見ると、コントロールパネルソフトウェアの「Parallels Plesk Panel」の脆弱性を悪用した改ざんが多いという。
これを踏まえてIPAは「サーバ上で動作するプログラムを常に最新にしておく必要がある」と呼び掛けている。特に、見落としがちなプラグインや管理ツールにバンドルされている他のプログラムも含め、全てのプログラムをアップデートすべきという。
2つ目に多い原因は「FTPアカウントの盗用」だった。Webサーバ自体に脆弱性がなくとも、その更新作業に用いるクライアントPCに脆弱性が残っており、そこを突いて感染したウイルス経由でアカウント情報を盗み取られ、改ざんされてしまうケースがあったという。
IPAは、「サーバ側でいくら対策を施しても、組織内ユーザーのパソコンがウイルスに感染してFTPアカウント情報が漏えいしてしまうと、第三者が正規の管理者になりすましてFTPログインすることが可能になる」点に触れ、サーバ側だけでなく、社内PCも含めた総合的な対策の必要性を呼び掛けた。
また、アカウント管理も含めたWebサイトの運用体制の確認も推奨している。Webサイト更新用パスワードを類推困難なものに設定することはもちろん、Webサーバ更新時に接続可能な接続元IPアドレスを制限したり、専用PCから更新作業を行うなど、ウイルス感染によってアカウントが漏れた場合に備えた対策を推奨している。
併せて、万一改ざんされた場合にすぐに気付ける体制作りも重要だ。まずは、いま現在改ざんされていないかどうか、HTMLソースの比較やFTPアクセスログの確認によってチェックするとともに、改ざんが明らかになった場合に備え、周知や問い合わせ窓口の設置などを速やかに行える体制作りが望ましいとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- CMSが狙われる3つの理由
今回のコラムでは、ラックのセキュリティ監視センター、JSOCでもたびたび観測しているCMSを狙った攻撃の状況とその対策について解説します。 - CMSに潜むSQLインジェクション
今回は、古いCMSに潜むSQLインジェクションの脆弱性を検証する。データベースを操作した結果、どんなことが可能になるのか、その危険性をあらためて認識してほしい。 - おさまらぬWeb改ざん被害、Apacheモジュールの確認を
- 国内のWebサーバ改ざん、古いコンパネソフトに一因? JPCERT/CCが警告
- 実はBlasterやNetsky並み? 静かにはびこるGumblar
- 新春早々の「Gumblar一問一答」