IPAとJPCERT、ウェブサイトの改ざん回避などの注意喚起

山田竜司 (編集部)

2014-08-14 14:34

 情報処理推進機構(IPA)とJPCERT コーディネーションセンターが、ウェブサイト改ざんのインシデント報告が続いているため、ウェブサイト運営者向けに、点検と備えを呼びかけている。

 JPCERTによると、この1~6月の期間に報告を受けたウェブサイト改ざんは2624件だった。前期(2013年7~12月)の総件数は4378件であり、件数そのものは減ってきているものの、依然として月平均400件程度の改ざんの報告が続いているという。7月は388件の改ざんがあり、この件数は実際に改ざんされてしまっているウェブサイトの氷山の一角と考えられると説明した。

 JPCERTに寄せられたウェブサイト改ざん報告件数は、2013年の秋以降減少していない。横ばいが続いている原因として、ウェブサーバ構築に使用されたソフトウェアが古いバージョンのまま運用されていることが考えられると指摘している。

 2013年は6月時点でウェブサイト改ざんの報告件数が過去最多に達し、その後9月にかけて高い水準にあったという。

 IPAとJPCERTは、ウェブサイト改ざんの代表的な手口と対策を紹介している。

サーバソフトウェアに残存する脆弱性を狙ったウェブサイト改ざん

 古いバージョンやサポートが終了したバージョンのサーバソフトウェアに存在する脆弱性を悪用し、悪意あるウェブサイトへ誘導するよう、不正なファイルをウェブサイトに設置するなど、悪意あるプログラムを実行させるための改ざんがある。

 対策として最新バージョンへのアップデートや、サポートが継続している製品への移行を挙げた。

ウェブサイトの管理端末への侵入によるウェブサイト改ざん

 ウェブサイトを管理する端末のOSやアプリケーションの脆弱性を解消していない場合、それを狙ったウイルスが侵入すると、管理端末から認証情報が窃取される。そうすると管理者権限が悪用されウェブサイトが改ざんされる。

 対策として管理端末用のOSやアプリケーションを最新の状態に管理すると共にネットワーク構成を見直してウェブサイトを更新できる端末を限定するなどの施策がある。

SQLインジェクションの脆弱性を悪用したウェブサイト改ざん

 ウェブサイトを構築するウェブアプリケーションにSQLインジェクションの脆弱性が存在する場合、ウェブアプリケーションの入力フォームに悪意ある動作をさせるための値を意図的に入力することで、データベースシステムを不正に操作し、ウェブサイトを改ざん。

 対策としてSQLを用いてデータベースを制御するウェブアプリケーションは、入力フォームへの悪意のある入力値を無効化するようにプログラミングすることなどを挙げている。


JPCERTに寄せられたウェブサイト改ざん報告件数の推移

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  2. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  3. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    セキュリティリーダー向けガイド--なぜ今XDRとSIEMの違いを理解することが重要なのか

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]