IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、昨今のウェブサイト改ざんの一因となっている、脆弱性が含まれる古いバージョンのCMS(*1)を使い続けているウェブサイトの届出が、6月からの累計で42件寄せられているのを受け、ウェブサイト運営者へ早急な対策を呼びかける為、注意喚起を発することとしました。
掲載日:2013年9月13日
独立行政法人情報処理推進機構
(PDFはこちら)
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、昨今のウェブサイト改ざんの一因となっている、脆弱性が含まれる古いバージョンのCMS(*1)を使い続けているウェブサイトの届出が、6月からの累計で42件寄せられているのを受け、ウェブサイト運営者へ早急な対策を呼びかける為、注意喚起を発することとしました。
今年に入り、ウェブサイト改ざんの被害が急増しています(*2)。改ざんされてしまう要因の1つとして、CMSの脆弱性が悪用され、改ざんが行われる手口が報告されています。
IPAの脆弱性届出窓口(*3)には、攻撃に悪用された実例のあるCMS「WordPress」及び「Movable Type」について、古いバージョンがウェブサイトで使い続けられている旨の届出が、6月から9月上旬までの約3ヶ月間で42件寄せられています。届出の一部には、データベースが不正に操作されるSQLインジェクションの脆弱性や、第三者にウェブページの編集を可能とするアクセス制限回避の脆弱性が含まれているバージョンの使用が確認されています。
WordPressやMovable Typeの脆弱性を悪用する攻撃手法や攻撃ツールが出回っています。更に、例年この時期にウェブサイトへの攻撃が多発していることから、古いバージョンのソフトウェアを使い続けることで、セキュリティ・インシデントに発展するリスクが高いと言えます。
古いバージョンのWordPressやMovable Typeを使用しているウェブサイト運営者は、速やかに最新バージョンへの更新等の脆弱性対策を実施してください。
CMSとして広く用いられているWordPressやMovable Typeでは、過去に下記図に示すように危険度の高い脆弱性が多数報告されています(*4)。
図1.Word PressおよびMovable Typeにおける脆弱性の深刻度
また、次のような脆弱性が報告されています。脆弱性を放置することで、攻撃を受けた場合、重要な情報が漏えいしたり、ウェブページが改ざんされる危険性があります。
(*1)Content Management Systemの略。Webコンテンツを統合・体系的に管理し、配信など必要な処理を行うシステムの総称。
(*2) 「ウェブサイト改ざん等のインシデントに対する注意喚起」
http://www.ipa.go.jp/security/topics/alert20130906.html
(*3) 経済産業省の告示により、IPAとJPCERT/CCが運営している、脆弱性の届出制度
(*4) CMS本体のみならず、プラグイン等に起因する脆弱性もカウント。脆弱性件数と深刻度は、『脆弱性対策情報データベースJVN iPedia』(http://jvndb.jvn.jp/)より算出。
Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 
Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 
PDFファイルをご覧いただくためには、Adobe Reader(無償)が必要です。
Adobe ReaderはAdobe Readerのダウンロードページよりダウンロードできます。
(178KB)