今月は、先月に引き続き「Webサイト改ざん」です。前回は、Webサイトを運用するために使っているWebアプリケーションの問題について説明しました。今回は、最近Web改ざんの大きな原因となっている「CMS」の問題について解説します。

昨年からCMSで構築されたWebサイトを狙った攻撃が相次いでいます。「CMS（Content Management System）」とは、インターネット上もしくはイントラネット上のWebサイトのコンテンツ（Webページ、テキストや画像など）を統合的に管理し、Webサイトを構築できるシステムを指します。CMSの特長は、Webサイト制作に関する知識や技術のないユーザーでも、コンテンツの作成・更新や管理が容易に可能なことです。一般的なWebサイトは、HTMLと呼ばれる技術的な仕組みを理解した上で、コンテンツを作成します。そのため、企業・組織では、デザインを含めこの仕組みを理解した専門の担当者を配置する必要があり、Webサイトの管理も大変でした。これに対して、CMSを導入することで、技術的な仕組みを理解していなくてもWebサイトを作成でき、管理も容易であるため、普及が進んだと考えられています。

しかし、Webサイトで、CMSや拡張機能自体の脆弱性や運用上の不備があれば、攻撃によりWebサイトの改ざんや破壊、情報漏えいが発生しうるのです。数多いWebサイト改ざん被害の事例から、CMSで構築されたWebサイトが攻撃を受けた原因は、主にWebサイトの「脆弱性」と「運用上の不備」の2点であると考えられます。

このような被害を受けないためには、「アップデート」と「適切な運用管理」の2点が重要になります。アップデート（更新）では、CMS自体とその拡張機能の脆弱性を解消しましょう。自動アップデート機能がある場合は、ぜひ利用するようにしましょう。運用管理では、ユーザーごとの業務遂行に必要な最適な権限のみを付与するようにしましょう。必要以上の権限を与えることは、攻撃に遭った際だけでなく、人的ミスがあった際も被害を大きくしてしまいます。

CMSにはさまざまな種類がありますが、特に被害が多いのが、2／3ほどのシェアがあるといわれている「Word Press（ワードプレス）」です。CMSはシステム管理者などの技術に詳しい人が使っていないことがほとんどのため、対策が十分に実施されていないことも多く、それも攻撃者に狙われる要因になっているようです。そのため、対策は現場任せにせず、技術の知識のある人が主導またはサポートをするようにしましょう。