ニュース

9月を控え、サイト運営者・管理者は点検と備えを、改ざん報告が後を絶たず

 ウェブサイト改ざんの報告が後を絶たないとして、独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が、ウェブサイトの運営者・管理者に対し、あらためて点検と備えを呼び掛けている。

 JPCERT/CCによると、2014年1月~6月の半年間に寄せられたサイト改ざんの報告は2624件。2013年7月~12月の4378件からは減少したものの、依然として月平均400件程度の報告が継続。7月も388件の改ざん報告があった。この件数は、実際に改ざんされてしまっているサイトの氷山の一角と考えられるとしている。横ばいが続いている原因としては、ウェブサーバー構築に使用されたソフトが古いバージョンのまま運用されていることが考えられるという。

ウェブサイト改ざん報告件数の推移

 改ざんの手口としては、1)サーバーソフトに残存する脆弱性を狙った改ざん、2)サイトの管理端末への侵入による改ざん、3)SQLインジェクションの脆弱性を悪用した改ざん――といったものを挙げ、それぞれ対策方法を紹介。

 まず、1)については、最新バージョンへのアップデートおよびサポートが継続している製品への移行を挙げている。2)については、管理端末用のOSやアプリケーションを最新の状態に管理するとともにネットワーク構成を見直してサイトを更新できる端末を限定すること、3)については、SQLを用いてデータベースを制御するウェブアプリケーションでは入力フォームへの悪意のある入力値を無効化するようにプログラミングすることを挙げている。

 このほかIPAでは、サイト改ざん対策に関するFAQも公開している。

 昨年は6月時点でサイト改ざんの報告件数が過去最多に達し、その後、9月にかけて高い水準だったことから、IPAは今年6月、サイト改ざんに関する注意喚起を行った。さらに今年も9月を控え、同じ時期の改ざん増加を懸念し、今回、あらためて注意喚起を行った。

 9月の時期は例年、サイトへの攻撃が多発している(満州事変の発端となった柳条湖事件が発生した日が9月18日で、例年、中国からのサイバー攻撃が発生)。

(永沢 茂)