ニュース

ウェブ改ざんの被害が急増、IPAとJPCERT/CCが対策を呼びかけ

 独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は6日、ウェブサイト改ざん被害が急激に増加しているとして、ウェブサイトの運営者や管理者に対して改めて点検と対策を行うよう呼びかけた。

 JPCERT/CCでは、ウェブサイト改ざんの被害件数が2013年6月と7月には1000件を超えるなど、最近になって急激な増加が見受けられると指摘。また、IPAへの被害の届け出も同様の増加が見られるとして、これまでにも注意喚起を行ってきた。

 IPAとJPCERT/CCでは、増加しているウェブサイトへの攻撃の代表的な例として、1)ウェブサイトの管理端末への侵入によるウェブサイト改ざん、2)パスワードリスト攻撃、3)ソフトウェアの脆弱性を狙った攻撃、4)SQLインジェクション攻撃――の4種類を挙げ、それぞれの対策方法を紹介している。

 ウェブサイトの管理端末への侵入によるウェブサイト改ざんへの対策については、管理端末のOSやアプリケーションを最新の状態にすることを挙げている。

 パスワードリスト攻撃への対策としては、IDやパスワードを使い回さないことをウェブサイトの利用者に対して呼びかけるほか、ID・パスワード以外に本人確認の要素を取り入れる「二要素認証」などの導入も検討することを勧めている。

 ソフトウェアの脆弱性を狙った攻撃については、最近の事例として「Apache Struts 2」やWordPress用の「Xhanch - My Twitter」プラグイン、「Parallels Plesk Panel」といった脆弱性が悪用されたケースを紹介。脆弱性修正済みのバージョンへのアップデートを行うとともに、OSやミドルウェアのサーバー製品に関しても可能な限り最新版の利用を推奨するとしている。

 SQLインジェクション攻撃への対策としては、ウェブのアプリケーションを自組織で作成している場合には、IPAが公開している「安全なウェブサイトの作り方」「ウェブ健康診断」などを参考にして、SQLインジェクションの有無の確認やSQLインジェクションの対策を実施すること。コンテンツ管理システム(CMS)などを利用している場合には、できるだけ最新のバージョンを利用することを推奨している。

(三柳 英樹)