情報処理推進機構(IPA)およびJPCERT コーディネーションセンター(JPCERT/CC)は8月13日、攻撃者によるWebサイト改ざんの代表的な手口および改ざんを未然に防ぐ方法を公開し、サイト管理者に注意喚起した。
両者は、2014年1月~6月の期間に2624件のWebサイト改ざんの報告を受けた。件数は2013年7月~12月の4378件と比べると少ないものの、依然として多数の被害が続いている。
|
Webサイト改ざんの報告件数は2013年6月が最多。現在、毎月400件程度の改ざんが報告されている |
改ざんの代表的な手口と未然に防ぐ方法は以下の通り。
1つ目は、攻撃者が古いバージョンやサポートが終了したバージョンのサーバーソフトウェアの脆弱性を狙ったもの。攻撃者はサーバーソフトウェアをのっとりWebページを改ざんする。攻撃を防ぐには、ソフトウェアのバージョンアップとサポートが継続する製品への早期移行が有効だとしている。
2つ目は、Webサイトを管理する端末のOSやアプリケーションの脆弱性を悪用した手口。攻撃者は端末内にウイルスが侵入させて認証情報を盗み出し、そこから管理者権限を利用してWebサイトを改ざんする。これを防ぐには、端末のOSやアプリケーションを最新の状態にするのに加え、Webサイトを更新できる端末を一部に限定することが重要だとしている。
3つ目は、WebアプリケーションのSQLインジェクションの脆弱性の悪用。攻撃者は、Webアプリケーションの入力フォームにデータベースを不正に操作する値を直接入力し、Webサイトを改ざんする。これには、入力フォームへの悪意のある入力値を無効化するプログラミングを組み込むことで防げるとしている。
