情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)は9月6日、Webサイト改ざんなどのインシデントの急激な増加を受け、Webサイトの運営者や管理者に対して改めて注意を呼びかけた。
JPCERT/CCによるとWebサイト改ざんの被害件数は2013年5月には505件だったが、2013年6月、7月はともに1000件を超え、急激に増加している。
|
JPCERT/CCへの報告によるWeb改ざん件数の推移(発表資料より) |
両団体は昨今増加しているWebサイトへの攻撃の代表的な例として以下を挙げている。
Webサイトの管理端末への侵入によるWebサイト改ざん…Webサイト管理端末のOSやアプリケーションの脆弱性を狙ったウイルスを使って端末に侵入し、Webサイトの認証情報を窃取する
パスワードリスト攻撃…事前に入手したIDとパスワードのリストを流用し、自動的に連続入力するプログラムなどを用いて不正ログインを試みる
ソフトウェアの脆弱性を狙った攻撃…2013年7月16日にApache Struts 2の脆弱性に対する情報とパッチが公開されたが、その後、この脆弱性を狙った攻撃が急増した。旧バージョンのParallels Plesk Panelなどにも脆弱性がある
SQLインジェクション攻撃 Webサイトを構築するWebアプリケーションにSQLインジェクションの脆弱性が存在する場合に、脆弱性を狙った攻撃によってWebサイトの改ざんなどを行う
両団体はこれらの対処法として、1に対してはOSやアプリケーションを最新の状態にすることが有効で、2に対しては複数のサービスでID・パスワードを使い回さないことや、ID・パスワード以外の認証を設けることが有効だとしている。
また、3については、脆弱性について対処済みのバージョンにアップデートすることで対処でき、4に対しては、「安全なWebサイトの作り方」などを参考にSQLインジェクションの有無の確認して、SQLインジェクションの対策を行うことが重要であるとしている。
