検索
連載

CMSのプラグイン、何でもかんでも入れてませんか?セキュリティ・アディッショナルタイム(6)(2/3 ページ)

2016年4月、国内の複数のWebサイトで相次いで個人情報の流出事件が発生した。原因は、Webサイト構築に利用していたCMSのプラグインソフトに存在した脆弱性だった。

Share
Tweet
LINE
Hatena

VPSでは責任はさらに重大に

 徳丸氏は、低価格を理由に普及しつつあるVPS(Virtual Private Server、仮想専用サーバ)上でCMSを動かす場合は、問題がいっそう深刻になるのではないかと懸念しているそうだ。

 「安価さなどを理由に、レンタルサーバからVPSへ移行するケースが増えている。ただ、レンタルサーバでは事業者側がPHPなどのアップデートを行ってくれていた。これに対しVPSでは、顧客にroot権限が与えられる。つまり、自分でやらないといけない作業、責任を持たなければならない領域が増えるということだ。VPSでLAMP+WordPressという構成は多いだろうが、力量のない人が使ってしまうと問題が生じる」(同氏)

 常時SSL化も、VPS普及の後押しになっている。だが徳丸氏は「SSLによって通信が暗号化されるのはいいけれど、肝心のサーバ側の脆弱性をアップデートできないようでは、トータルで見た場合のセキュリティレベルは落ちてしまうだろう」と述べる。VPSではパッケージのアップデートに加え、管理者アカウントの管理やアクセス制限といったサーバセキュリティの基本も欠かせない。こうした運用ができるかどうか、力量を踏まえた上でプラットフォームを選択すべきであり、難しければSaaSなど別の選択肢も検討すべきとした。

個人情報流出以外にも考えられるさまざまな被害

 今回明らかになったOSコマンドインジェクションの脆弱性では、顧客情報が流出するという形で被害が顕在化したが、CMSやそのプラグインの脆弱性を放置していると、他にもさまざまなリスクが考えられる。

 その一つの例が、Web改ざんだ。JPCERTコーディネーションセンター(JPCERT/CC)に寄せられたWeb改ざんの報告件数は、2015年10〜12月期は前期比40%増の826件、2016年1〜3月期はさらにその54%増の1268件という具合に増加している。

 JPCERT/CCによると、この2つの四半期の特徴は、「CMSを使用したWebサイトが改ざんされている例が非常に多く確認された」ことだ。具体的には、WordPress、Joomla、DrupalなどのCMSを使用して構築されたサイトが改ざんされている傾向が見られたという。原因としては、管理用パスワードの窃取に加え、「CMSおよびCMSのテーマ、プラグインの脆弱性を悪用する攻撃」も考えられるという。

 こうして改ざんされたWebサイトには不正なコードが埋め込まれ、多くの被害をもたらしているランサムウェアなど、さまざまなマルウェアをダウンロードさせる攻撃サイトに誘導する仕組みとなっていた。その多くは、ブラウザやそのプラグイン、あるいはSilverlightなどのアプリケーションの脆弱性を攻撃し、感染させるものだった。

 また、もっと巧妙な手口によって個人情報を盗み取られる恐れもある。最近、「セキュリティコードも含んだクレジットカード情報が流出した」という事件を耳にしたことはないだろうか。その理由の一つとして徳丸氏が推測しているのが、入力フォームの改ざんだ。たとえ決済代行サービスを利用し、手元にクレジットカード情報を残さない仕組みにしていても、フォームそのものが改ざんされ、外部に入力されたデータを転送する仕組みになっていれば防ぎようがない。

参考リンク:決済代行を使っていてもクレジットカード情報が漏洩するフォーム改ざんに注意(徳丸浩の日記)

 「CMSの仕組みによっては難しいものもあるが、サーバOSだけでなくWebコンテンツも含めて改ざん検知を行い、異常に気付ける仕組みを整えておくことが重要だ」と徳丸氏は強調した。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  2. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  3. 「DX推進」がサイバー攻撃を増加させている? Akamaiがセキュリティレポートを公開
  4. CISOが失敗を許容する組織を構築するために注目すべきは生成AIと何か? ガートナーが提言
  5. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  6. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
  7. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  8. 6年間でAndroidにおけるメモリ安全性の脆弱性を76%から24%まで低減 Googleが語る「Safe Coding」のアプローチと教訓とは
  9. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  10. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
ページトップに戻る