日商 Assist Biz

更新

企業を襲うサイバー脅威 Webサイト改ざん②

CMSを狙ったWebサイト改ざん

今月は、先月に引き続き「Webサイト改ざん」です。前回は、Webサイトを運用するために使っているWebアプリケーションの問題について説明しました。今回は、最近Web改ざんの大きな原因となっている「CMS」の問題について解説します。

昨年からCMSで構築されたWebサイトを狙った攻撃が相次いでいます。「CMS(Content Management System)」とは、インターネット上もしくはイントラネット上のWebサイトのコンテンツ(Webページ、テキストや画像など)を統合的に管理し、Webサイトを構築できるシステムを指します。CMSの特長は、Webサイト制作に関する知識や技術のないユーザーでも、コンテンツの作成・更新や管理が容易に可能なことです。一般的なWebサイトは、HTMLと呼ばれる技術的な仕組みを理解した上で、コンテンツを作成します。そのため、企業・組織では、デザインを含めこの仕組みを理解した専門の担当者を配置する必要があり、Webサイトの管理も大変でした。これに対して、CMSを導入することで、技術的な仕組みを理解していなくてもWebサイトを作成でき、管理も容易であるため、普及が進んだと考えられています。

しかし、Webサイトで、CMSや拡張機能自体の脆弱性や運用上の不備があれば、攻撃によりWebサイトの改ざんや破壊、情報漏えいが発生しうるのです。数多いWebサイト改ざん被害の事例から、CMSで構築されたWebサイトが攻撃を受けた原因は、主にWebサイトの「脆弱性」と「運用上の不備」の2点であると考えられます。

このような被害を受けないためには、「アップデート」と「適切な運用管理」の2点が重要になります。アップデート(更新)では、CMS自体とその拡張機能の脆弱性を解消しましょう。自動アップデート機能がある場合は、ぜひ利用するようにしましょう。運用管理では、ユーザーごとの業務遂行に必要な最適な権限のみを付与するようにしましょう。必要以上の権限を与えることは、攻撃に遭った際だけでなく、人的ミスがあった際も被害を大きくしてしまいます。

CMSにはさまざまな種類がありますが、特に被害が多いのが、2/3ほどのシェアがあるといわれている「Word Press(ワードプレス)」です。CMSはシステム管理者などの技術に詳しい人が使っていないことがほとんどのため、対策が十分に実施されていないことも多く、それも攻撃者に狙われる要因になっているようです。そのため、対策は現場任せにせず、技術の知識のある人が主導またはサポートをするようにしましょう。

長谷川長一(はせがわ・ちょういち) ソフトバンク、日本ユニシスを経て、株式会社ラックに入社。情報セキュリティ業界の先駆者として知られる同社で現在は、主にセキュリティ教育業務を担当している。『CISSP-行政情報セキュリティ公式ガイドブック』(アスキー出版)や『情報セキュリティ監査公式ガイドブック』(日科技連出版社)など著書多数

次の記事

長谷川長一

今月から2回にわたり、「パスワード解読」について取り上げます。パスワード解読の攻撃にはいくつか種類がありますが、今回は、「総当たり攻撃」と「辞書攻撃」について解説い…

前の記事

長谷川長一

Webサイト改ざんは、大きく二つに分類されます。まず一つ目は、Webサイトのページ表示自体を書き換えするもの。つまり、見た目そのものが変わる改ざんです。ここでは「見た目の…

関連記事

長谷川長一

今回は人的脅威の中の非意図的なもの、「ヒューマンエラー」について取りあげます。「ヒューマンエラー」には、「誤操作」「設定ミス」「紛失・置き忘れ」「盗難」などがありま…

長谷川長一

今回は人的脅威の中の“意図的脅威”である情報セキュリティー上の「ルール違反」について取りあげます。「ルール違反」は、前回取り上げた「内部不正」と比較すると、軽いものと…

長谷川長一

今月からは、企業内部の人的脅威について取り上げます。情報セキュリティーにおける人的脅威には、意図的なものと非意図的なものがあります。まず今回は人的脅威の中でも意図的…