2013年6月の呼びかけ

図1：IPAに届け出られたウェブ改ざんの件数推移（直近4年間）

※FTPアカウント情報：
　ウェブサイトのコンテンツを追加・修正・削除などする際に、ウェブサーバーにFTPログインするためのID、パスワードと、ログイン先のサーバーの情報。

【1】脆弱性の悪用によるもの
　サーバー上で動作するプログラムのバージョンが古いままだったために、脆弱性を悪用されて改ざんされてしまったケースがありました。この脆弱性悪用は、IPAに寄せられるウェブ改ざんの原因で、最も多いものです（図2の円グラフ参照）。



図2：ウェブ改ざんの「原因」による分類（2012年1月～2013年5月）

　今年4月以降では、以下の製品の脆弱性を悪用されたウェブ改ざん届出が寄せられました。
　　・Joomla！
　　・WordPress
　　・Apache Struts2
　最近1年間で見ると、脆弱性悪用の中では、Parallels Plesk Panelの脆弱性を悪用されたウェブ改ざんが多い状況です（図2の棒グラフ参照）。Parallels Plesk Panelが稼働しているサーバーには、付随して様々なプログラム（MySQL、BIND、phpAdminなど）がインストールされている可能性があり、ウェブサイト管理者はこれらのプログラムを意識しないまま、古いバージョンで稼働させている場合があるので注意が必要です。
　（ご参考）
　　旧バージョンの Parallels Plesk Panel の利用に関する注意喚起（JPCERT/CC）
　　http://www.jpcert.or.jp/at/2013/at130018.html

　ウェブサイト管理者は、サーバー上で動作するプログラムを常に最新にしておく必要があります。

【2】FTPアカウント情報の漏えいによるもの
　“FTPログインアカウントには複雑で類推しにくいパスワードを設定していたにも関わらず、様々なパスワードを試した痕跡がなく、初めの1回でログインに成功されてしまった”というケースがありました。このケースでは何らかの理由によってパスワードが盗まれてしまった可能性があるため、パソコンがウイルスに感染したことによってパスワードが漏えいしたことを疑う必要があります。

　“パソコンのJavaのバージョンが古いままだったためにFTPアカウント情報を漏えいさせるウイルスに感染した”というウイルス感染のケース^※もありました。このケースでは当該パソコンでウェブサイト管理を行っていなかったため、FTPアカウント情報の漏えいはありませんでしたが、ウイルス感染によってウェブ改ざん被害を受ける可能性があることを示す事例です。
※このウイルスは他にメールアカウント情報を流出させる機能を有しており、実際に迷惑メール送信の踏み台に悪用されていました。

【1】OSと各種プログラムを常に最新状態にする（パソコンの脆弱性を解消する）
　OSや各種プログラムの脆弱性を悪用されないようにするために、古いバージョンのままにせず、常に最新の状態に保つことが一番の対策になります。
　前述のJavaに加えて、Flash Player、Adobe Readerも特に狙われやすいため、更新通知が画面に表示されたらその都度更新してください。プログラムの自動更新機能を利用することも有効です。
　（ご参考）
　　「ソフトウェアの自動更新を利用しましょう！」
　　https://www.ipa.go.jp/security/txt/2012/06outline.html
　　「Windows XP サポート終了：　Windows XPのサポート終了について」
　　http://www.ipa.go.jp/security/anshin/faq/faq-xp.html
　IPAでは、パソコンにインストールされているソフトウェア製品のバージョンが最新であるかを、簡単な操作で確認するツール「MyJVNバージョンチェッカ」を無償で公開しています。ぜひ活用してください。
　（ご参考）
　　MyJVNバージョンチェッカ
　　http://jvndb.jvn.jp/apis/myjvn/

　かつては「怪しいサイトを閲覧しなければ大丈夫」と言われていたこともありましたが、近年ではどのサイトが不正に改ざんされているか分からないため、セキュリティ対策を実施していないパソコンでインターネットを利用することは非常に危険です。従って、利用者自身で対策を行い自衛することが不可欠です。

【2】セキュリティソフトを使用する
　セキュリティソフトを導入し、定義ファイルを最新に保ちながら使用してください。有害なウェブサイトを閲覧することを防止する機能（ウェブレピュテーション機能など）を持つ、統合型セキュリティソフトを使用することで、感染被害を未然に防げる場合があります。

【3】万が一に備えてパーソナルファイアウォールを導入する
　万が一、気づかないうちにウイルス感染や、不正プログラムがインストールされてしまった場合、パーソナルファイアウォール^※の導入による出口対策をお勧めします。パーソナルファイアウォールの設定により、自分が許可したプログラムだけを外部と通信可能とし、ウイルスや不正アプリが行う通信を遮断することで、感染してしまっても情報が外部の第三者に窃取されるなど、最悪の事態を防ぐことができます。

※パーソナルファイアウォール：
　個々の端末（パソコンやモバイル機器など）に導入するもので、端末と外部ネットワークの間の通信を制御するソフトウェアです。通常、“事前に許可した通信以外を通過させない”、“許可するプログラムを事前に登録しておき、未許可のプログラムの通信を遮断する”といった機能を持ちます。OSの機能として組み込まれているほか、製品単体としても販売されていますが、「統合型セキュリティソフト」と呼ばれる製品の中にパーソナルファイアウォール機能を併せ持つものもあります。

【1】サーバーの脆弱性対策を実施する
　パソコンと同様、サーバー上でも脆弱性対策が重要です。サーバー上で稼働するすべてのプログラムを最新の状態に保ってください。
　Joomla！、WordPressなどのCMSを利用していて、さらにそのプラグイン（拡張機能）も利用している場合は、プラグインも含めて最新にしてください。
　Parallels Plesk Panelなどのサーバー管理ツールを利用している場合、他のプログラムが付随してインストールされている場合があるので、それらすべてを最新にしてください。
　（ご参考）
　　MyJVN バージョンチェッカ（サーバー用）
　　http://jvndb.jvn.jp/apis/myjvn/vcchecksrv.html

【2】ウェブサイトの運用を再確認する
（a）アカウント管理の見直し
　ウェブサイト更新用のアカウント情報が適切に管理されているか、下記の点を見直してください。
　・使用するパスワードは、十分な長さと複雑さをもったものにしてください。
　・ウェブサイト更新用のアカウントは、更新を実施する人のみが知るようにし、必要以上の人に知らせないようにしてください。

（b）ウェブサイトを更新できる場所を限定
　サーバーに接続する時の接続元IPアドレスを限定し、ウェブサイトを更新する場所を組織内のみに限定するよう、ネットワークやサーバーの構成を見直すことを検討してください。もし、インターネット経由でウェブサイトを更新する必要がある場合でも、VPN を導入するなどして、更新できる場所を限定することを検討してください。
　この対策を実施することにより、万が一FTPアカウント情報が漏えいしてしまっても改ざん被害を防止できる場合があります。

（c）ウェブサイト更新専用 PC の検討
　ウェブサイトを更新するための専用 PC を導入することを検討してください。この PC では、ウェブサイト更新作業のみを行い、ウェブの閲覧など他の作業をしないようなルールの設定が必要です。これによって、ウイルスによる被害を防止することが可能です。

• 2013年6月の呼びかけ