HOME情報セキュリティ管理できていないウェブサイトは閉鎖の検討を

本文を印刷する

情報セキュリティ

管理できていないウェブサイトは閉鎖の検討を

最終更新日:2014年6月19日

  ~ IPA に今まで届出のあった “安全でない CMS を利用しているウェブサイト”
         241 件のうち、脆弱性解消の目処が立っていないのは 50 件(約 2 割) ~

対象

 企業・組織のホームページ担当者、個人のホームページ作成者

概要

 古いバージョンのコンテンツ管理システム(CMS:ウェブサイトのページを管理するシステム)の脆弱性を狙ったウェブ改ざんが横行しています。改ざんによりウェブサイトにウイルスを仕掛けることも可能なため、問題のあるウェブサイトを放置しておくことは、ウイルス拡散に悪用されかねません。


ウェブ改ざんによってウェブ閲覧者がウイルス感染するイメージ図
ウェブ改ざんによってウェブ閲覧者がウイルス感染するイメージ図

 特に、Web Diary Professional(以後、WDP)と Movable Type という CMS については、以下の注意喚起の通り、攻撃が活発化しています。

 これらを受け、5 月以降 IPA では両システムを用いたウェブサイトの数を調べました。その結果、WDP を使用して作成されたウェブサイトは 170 件、特定の問題がある Movable Type のウェブサイトは 70 件が検出されました。これはウェブ改ざんのリスクを抱えるウェブサイトであり、この件数は潜在する問題のあるウェブサイトのごく一部に過ぎないと言えます。

 また IPA の脆弱性届出窓口(※)にも、危険な脆弱性を含む古いバージョンの CMS を利用しているウェブサイトに対する届出が、累計 241 件届け出られています。しかし、このうちウェブ運営者に連絡が取れない、または連絡後 30 日以上経過しても脆弱性解消の目処が立っていないウェブサイトは 6 月 19 日現在、50 件と全体の 2 割を占めます。古いバージョンの CMS を使用しているウェブサイトの多くには、以下のような問題があります。

  • 自組織のウェブサイトに CMS が使われているという認識がない
  • 脆弱性がある古いバージョンの CMS を使用する危険性を認識していない
  • 委託先との契約が終了するなどの理由で、ウェブサイトの管理者が不在である

 攻撃者にとっては、CMS の種類やバージョンを把握し、攻撃対象を見つけることは容易です。そのため、常にウェブサイト担当者は CMS を最新のバージョンに更新して、攻撃者に狙われないよう、ウェブサイトの安全を維持する必要があります。また、サポートや開発が終了した CMS は、脆弱性が発見されても修正されないため、利用を継続することは危険です。別の CMS へ移行する必要があります。さらに、管理者が不在などで CMS の移行などの作業が困難な場合はウェブサイトの公開を停止してください。

※「情報セキュリティ早期警戒パートナーシップ」の取り組みに則り、主に情報セキュリティの研究者ら届けられた脆弱性情報をもとに、ウェブサイトの場合はウェブサイト運営者へ通知し、対策を依頼する活動

ウェブサイト改ざんに狙われる CMS

「WDP(Web Diary Professional)」

 カスペルスキー社によると、WDP には暗号化されたパスワードが漏えいする問題が存在します。攻撃者により暗号化されたパスワードが解読され、ウェブ改ざんに悪用される可能性があります。また、WDP は、2009 年以降、新しいバージョンが提供されていないため、開発者は別の製品への移行を推奨しています。WDP を利用しているウェブサイトは、速やかに公開を停止し、別の CMS に移行してください。

「Movable Type」

 Movable Type の古いバージョンには、SQL インジェクションやアクセス権限の回避などの脆弱性が存在すると公表されています。脆弱性を放置することで、攻撃を受けた場合、重要な情報が漏えいしたり、ウェブサイトが改ざんされたりする危険性があります。

その他の CMS

 WordPress や Joomla! など利用者の多い CMS にも、ウェブ改ざんが可能な深刻な脆弱性が多数報告されています。

対策

以下のいずれかを実施してください。

1. 脆弱性の解消 - 修正プログラムの適用

CMS の利用有無と CMS のバージョンを確認し、最新バージョンが存在すればアップデートしてください。

2. サポートが継続している製品に移行

数年間バージョンアップされないなど、製品の開発やサポートが停止している CMS を使用している場合は、別の製品へ移行してください。

3. ウェブページの公開停止

上記の対策ができない場合やウェブサイト担当者がいない場合、契約しているレンタルウェブサーバー業者やウェブサイト作成委託業者に相談して、ウェブサイトの公開を停止してください。

参考情報

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター

E-mail:

更新履歴

2014年6月19日 掲載