IPA(独立行政法人情報処理推進機構)は、IPAが脆弱性の届出を受けたWebサイトで使用されているWebサーバ関連ソフトウェアのバージョン確認を実施し、その結果を踏まえ、サイト運営組織および管理者向けに「サーバソフトウェアが最新版に更新されにくい現状および対策」を4月25日からIPAのWebサイトで公開した。
IPAが、2013年4月15日から2014年1月16日にかけてJPCERTコーディネーションセンターが発表した四半期別のインシデント報告対応レポート4通をもとに算出したところ、Webサイトの改竄が7,409件発生したことがわかった。
それらの中には閲覧者のウイルス感染やWebサイトからの情報漏洩が発生しているが、原因の1つにWebサーバ構築に用いられているソフトが古いバージョンのままで、脆弱性が未修正であったことが挙げられる。
これを受け、IPAは「PHP」「Apache」「IIS」を対象に届出時点のバージョンの調査を実施した結果、PHPの80%はサポートが終了したバージョンが使用されている可能性が高いことが判明した。
|
Webサーバ関連ソフトのサポート有無に関する集計結果 資料:IPA |
旧バージョンが使用され続ける理由には、「最新バージョンに移行すると旧バージョンで作成したWebアプリケーションが動かなくなる互換性の問題」「開発時の担当者が既に不在、対応・運用手順書もなく最新バージョンへ移行ができないという、工数・人材・技術継承など運用管理上の問題」がある。
|
PHP更新に伴いWebアプリケーションの改修が必要となる仕組み 資料:IPA |
「サーバソフトウェアが最新版に更新されにくい現状および対策」では、IPAが実際に運営するWebサイトをケーススタディとして、適切な体制を整えることで問題を事前に防ぐ例を示している。
