ニュース

サイバー攻撃からウェブサイトを守るために定期点検を、被害多発で注意喚起

 独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は14日、ウェブサイトを狙ったサイバー攻撃が急増している問題を受け、ウェブサイト管理者および運営者に対し、対策の基本となる定期的な点検を徹底するよう注意を呼び掛けた。

実際に確認されたウェブサイト改ざん事例。別の標的型攻撃のための踏み台にされていた

 JPCERT/CCによれば、企業や組織のウェブサイトが標的型攻撃の踏み台として悪用されている事例が6月以降にも確認されている。ウェブサイト(サーバー)はネットでビジネスを展開する上で不可欠なツールである一方、サイバー攻撃を受けた場合にはサービス停止や顧客への補償などにまで発展する可能性が高いため、運用には細心の注意が必要だとしている。

 IPAとJPCERT/CCでは、サイバー攻撃被害抑止のために、基本的な3項目の点検が重要だと説明している。具体的には以下の通り。

1)利用製品(プラグイン等追加の拡張機能も含む)の最新バージョンの確認
目的:脆弱性が解消された最新バージョンの公開を確認するため
対象:ウェブサーバー等のウェブシステム、ウェブサイト運用管理用PC
頻度:数週間〜1カ月に1回程度

2)ウェブサイト上のファイルの確認
目的:改ざん等されていないか確認するため
内容:ファイルのリスト(ファイル名、サイズ、更新日時、ハッシュ値)の取得と比較
対象:ウェブサーバー
頻度:1週間に1回程度

3)ウェブアプリケーションのセキュリティ診断
目的:自社のウェブアプリケーションに脆弱性が存在しないか確認するため
対象:ウェブサーバー
頻度:1年に1回程度、および機能追加等の変更が行われた時

 IPAではこの他にも資料やQ&A集を公開しており、対策に役立ててほしいとしている。

(森田 秀一)