JPCERTコーディネーションセンター(JPCERT/CC)は、情報収集や分析を行う早期警戒グループメンバーが情報提供を行うCyberNewsFlashにおいて、企業など組織が運営するWebサイトに対する定期的な点検を促す「Webサイトへのサイバー攻撃に備えて 2018年7月」を掲載した。
JPCERT/CCでのインシデント報告での対応レポートでは2018年の対応数は昨年と比較すると減少傾向にはあるものの、5月には105件、6月には112件のインシデント対応が存在している。Webの改ざんや情報窃取などの被害が発生した場合、サービスの停止や顧客への補償など業務に直結する可能性もあるとして、自社運営のWebサイトへの定期的な点検方法を掲載している。
「CMS で構築した Web サイトへの侵入と改ざん」の例(JPCERT/CC資料より)
Webサイトへ攻撃の代表的な例として自社サイト構築のためのCMS(コンテンツマネジメントシステム)からの侵入を挙げている。2018年3月にはDrupalの脆弱性(CVE-2018-7600)が公開されているが、その後この脆弱性を悪用した攻撃が観測され、リモートから不正プログラムが設置される被害が相次いでいる。Webサイト構築のために利用されるCMSだが、脆弱性解消のためのアップデートは欠かせない。しかし、作ったはいいが自組織と委託先で互いに相手が管理していると誤認、脆弱性対策を放置してしまい攻撃者に情報を窃取されるというケースを掲載している。点検、運用をおざなりにするとリスクを把握できないため被害は拡大する。CyberNewsFlashでは、重点点検項目を掲げ、必要に応じてホスティング事業者やセキュリティベンダ、運用委託先などと相談することを推奨している。以下点検項目(「Webサイトへのサイバー攻撃に備えて 2018年7月」より)。
(1) 利用製品 (プラグインなど追加の拡張機能も含む) のバージョンが最新であることの確認
目的:製品の脆弱性を狙ったサイバー攻撃を回避・低減するため
対象:Web サーバなどの Web システム、Web サイト運用管理用 PC
頻度:数週間~1ヶ月に1回程度
(2) Web サーバ上のファイルの確認
目的:ファイルが改ざんされていないか、不正に作成されていないかなど、確認するため
内容:ファイルのリスト (ファイル名、サイズ、更新日時、ハッシュ値) やバックアップの取得と比較
対象:Web サーバ
頻度:1週間に1回程度
(3) Web アプリケーションのセキュリティ診断
目的:自社の Web アプリケーションに脆弱性や設定の不備が存在しないか確認するため
対象:Web アプリケーション
頻度:1年に1回程度、および機能追加などの変更が行われた時
(4) ログイン ID とパスワードの確認
目的:管理や保守を行う目的の ID やパスワードを、複数のサービスで使いまわしていないか、安易に推測できるものを使用していないかなど、適切な運用がなされているかを確認するため
対象:Web サーバ
頻度:1年に1回程度
(5) DDoS 対策や、対応体制の確認
目的:Web サイトが DDoS 攻撃を受けた場合の対応・手順などを確認し、異常発生時に適切に行動するため
対象:Web サーバやネットワーク
頻度:1年に1回程度
(6) 委託契約の確認
目的:Web サイトの運用に関する契約内容を確認し、必要な運用保守・対策実施に抜け漏れがないことを確認するため
対象:運用を委託しているシステム
頻度:1年に1回程度 (契約更新時等)、および機能追加などの変更が行われた時
そのほか、Webサイトやログの保存など点検や相談のためのリンクや連絡先などの情報を載せている。CyberNewsFlashは、情報収集・分析・情報発信を行うJPCERT/CC早期警戒グループのメンバーが、注意喚起の基準に満たない脆弱性情報やセキュリティアップデートなどを定期的に掲載しているものだ。
