IPA(情報処理推進機構)とJPCERT/CC(JPCERTコーディネーションセンター)は10月22日、今年第3四半期(7~9月)の脆弱性情報の届出についてとりまとめ、公表した。古いバージョンのCMSやプラグインの脆弱性がWebサイト改ざんを招いているとして、最新版への更新や回避策の適用を呼び掛けている。
■修正完了率はソフトウェア関連56%、Webサイト関連71%
IPAによると、今期の脆弱性情報の届出件数は317件で、ソフトウェア製品関連が51件、Webサイト関連が266件だった。ソフトウェア製品の届出のうち、製品開発者が修正を完了し、今期にJVN(脆弱性対策情報ポータルサイト)で対策情報を公表したものは26件で、修正完了率は56%となった。Webサイトの届出では、サイト運営者に通知して今期に修正を完了したものは204件(修正完了率71%)で、そのうちWebアプリケーション修正が180件(88%)、当該ページの削除が22件(11%)、運用で回避が2件(1%)。また、サイト運営者へ通知してから修正完了までに91日以上を要した件数は204件中48件(24%)で、前期の43%より大きく減少した。
■改ざん被害の増加止まらず--古いCMSやプラグインの脆弱性悪用
Webサイトの改ざん被害は前期に引き続き増加しており、古いバージョンのCMS(Webサイトを構築・管理するシステム:Contents Management System)に残る脆弱性を悪用した改ざん例が確認されている。また、CMSのプラグインの脆弱性を攻撃する例も観測されている。古いCMS利用の届出件数は累計で118件あるが、うち41件は今期の届出だ。
届出の中には、データベースが不正操作されるSQLインジェクションの脆弱性や、第三者によるWebページ編集を可能にしてしまうアクセス制限回避の脆弱性が含まれるバージョンがあるという 。これらの脆弱性を放置すると、情報漏えいや改ざん被害の危険がある。
IPAは、サイト運営者に対し、利用しているCMSやプラグインのバージョンを確認し、古い場合は速やかに最新版へアップデートするよう注意を促している。アップデートが困難な場合は、開発元の公開情報を基に、回避策を適用していただきたい。
(2013/10/24 ネットセキュリティニュース)
【関連URL】
・ソフトウェア等の脆弱性関連情報に関する届出状況[2013年第3四半期(7月~9月)]
https://www.ipa.go.jp/security/vuln/report/vuln2013q3.html