サポート期間が終了したブログ作成ツール「WDP」を使ったサイトの改ざん被害が多発するなか、IPA(情報処理推進機構)は19日、管理できていないWebサイトは閉鎖を検討するよう呼びかけた。
WDPだけでなく、旧版の「Movable Type」など脆弱性をもつCMS(コンテンツ管理システム)で作られたWebサイトは、脆弱性攻撃を受けて改ざんされ、ウイルス拡散の拠点として悪用されるおそれがある。
■「WDP」50万サイトの8割が危険な状態
WDP(Web Diary Professional)は2009年にサポートが終了し、脆弱性が解消されない状態にある。開発者は新ツールへの移行を推奨しているが、日本語マニュアルがあるなど初心者に使い勝手がよいこともあり、移行せずに使い続けている人たちが少なくない。
カスペルスキーの公式ブログ(6月12日付)によると、WDPを使用したと推定されるサイトは2014年4月時点で約50万件あり、うち約8割に問題があった。これらのサイトは、パスワードが外部から容易に確定可能であったり、改ざんされてスパムメール送信用ツール、DDoSツール、バックドア等が設置されていたりするなど、攻撃の踏み台とされていたことが推察できるという。
最近では、世界遺産の「平等院」の公式サイトの一部ページが改ざんされ、偽ブランド販売サイトに誘導するプログラムが埋め込まれていたことが話題となったが、その改ざんページに使われていたのがWDPだった。改ざんサイトの放置はサイト管理者を加害者にする可能性があることを肝に銘じたい。
■「Movable Type」「WordPress」「Joomla!」にも深刻な脆弱性
脆弱性が狙われているのは、WDP使用サイトだけではない。IPAは、WDPのほかに「Movable Type」や「WordPress」、「Joomla!」などのCMSにも深刻な脆弱性が多数あり、改ざんの危険があると警告する。
IPAがこれまでに届け出を受けた「危険な脆弱性を含む古いバージョンの CMS を利用したWebサイト」は、累計で241件ある。このうち運営者に連絡が取れない、または連絡後30日以上経過しても脆弱性解消の目処が立たないサイトは50件あり、全体の2割を占める(6月19日現在)。これらのサイトの多くは、「自組織のWebサイトにCMSが使われている認識がない」、「古いバージョンのCMSを使用する危険性を認識していない」、「サイト管理者が不在(委託先との契約終了などで)」といった問題をかかえているという。
■脆弱性を解消できない場合、閉鎖の検討を
IPAは、対策として、次のいずれかを実施するよう推奨している。(1)脆弱性を解消する(修正プログラムの適用)、(2)サポートが継続している製品に移行する、(3)上記の対策がとれない場合、またサイト管理者がいない場合は、契約しているサーバー業者やサイト作成委託業者に相談し、サイト公開を停止する。
脆弱性を解消できない場合は閉鎖を検討する必要があるということで、加害者にならないためにはやむをえないことだろう。まずは、自分が開設しているブログやWebサイトがCMSを利用しているかどうかを確認し、利用していればそのバージョンを確かめるところから始めたい。
(2014/06/20 ネットセキュリティニュース)
【関連URL】
・管理できていないウェブサイトは閉鎖の検討を(IPA)
http://www.ipa.go.jp/security/ciadr/vul/20140619-oldcms.html
・日本独自のブログ作成ツールが攻撃者の標的に(カスペルスキー)
http://blog.kaspersky.co.jp/obsolete-japanese-cms-targeted-by-criminals/
・旧バージョンの Movable Type の利用に関する注意喚起(JPCERT/CC)
https://www.jpcert.or.jp/at/2014/at140024.html