IPA(情報処理推進機構)は24日、今年4~6月の「ソフトウェア等の脆弱性関連情報に関する活動報告レポート」を公開した。今期の届出件数は、ソフトウェア製品40件、Webサイト(Webアプリケーション)289件で、合計329件。Webサイトの脆弱性では、古いバージョンのCMSを利用したサイトの危険が浮き彫りになった。
IPAが脆弱性情報の届出受付を始めたのは10年前(2004年7月)で、今年6月までの累計は、ソフトウェア1828件、Webサイト8019件、合計9847件。Webサイトが全体の81%を占める。Webサイトの脆弱性については、その危険性について管理者が認識していないケースが多いことに、IPAは警鐘を鳴らしている。
■「古いCMS」利用サイトの危険
同レポートによると、この10年間で受理したWebサイトの脆弱性7842件のうち、241件が「Movable Type」や「WordPress」など、古いバージョンのCMS(コンテンツ管理システム)利用に起因する脆弱性だった。241件のうち85件は今期の届出で、そのうち71件はIPAが自らの調査によって発見したものだ。
IPAは、昨年第3四半期以降、古いバージョンのCMSに起因する脆弱性が継続して届出されていることや、古いバージョンのCMS利用サイトの改ざん報告がJPCERT/CCに多数寄せられていることなどから、今期、古いバージョンのCMSを利用したサイトの調査を行った。その結果、古いバージョンの「Movable Type」の利用に起因する脆弱性があるサイト71件が確認された。
古いバージョンのCMS、つまり脆弱性が解消されていないCMSを利用してサイトを運用している場合、攻撃者によって脆弱性を突かれ、サイトが改ざんなどの被害を受ける可能性が高い。
■サイト管理者がCMS利用自体を認識せず、危険も知らない
IPAは、受理した脆弱性についてサイト運営者へ通常メールで連絡している。メールで連絡が取れない場合、電話や郵送でも連絡を試みる。それでも連絡が取れない「取扱不能」案件が、今期は10件あった。今期中に「修正完了」したものは149件で、うちサイト管理者が当該ページを削除することにより対応したものは24件だった。
脆弱性への対応はサイト管理者にかかっているわけだが、IPAから古いバージョンのCMSを使用しているWebサイト管理者に連絡した結果、「自サイトにCMSが使われているという認識がない」、「脆弱性がある古いバージョンのCMSを使用する危険性を認識していない」、または「委託先との契約終了などの理由でサイト管理者が不在である」という状況が浮き彫りになったという。
■適切に管理できない場合、サイト閉鎖の検討も必要
IPAは、サイト運営者への要望として、「自サイトで利用しているソフトウェア製品を把握し、脆弱性対策を実施し、最新の状態を保つ」ことを挙げている。サイト管理者が不在等で適切な管理ができない場合は、専門業者に管理を委託するか、サイト閉鎖も検討してほしいとしている。脆弱性を放置したWebサイトは、運営者だけでなくインターネット利用者全てに被害が及ぶためだ。一般ユーザーに対しては、IPAなどで脆弱性情報を参照し、日ごろからパッチ適用を心がけてほしいとしている。
(2014/07/25 ネットセキュリティニュース)
【関連URL】
・ソフトウェア等の脆弱性関連情報に関する届出状況[2014年第2四半期(4月~6月)](IPA)
http://www.ipa.go.jp/security/vuln/report/vuln2014q2.html
・ソフトウェア等の脆弱性関連情報に関する活動状況レポート[PDF](IPA)
http://www.ipa.go.jp/files/000040517.pdf
・旧バージョンの Movable Type の利用に関する注意喚起(JPCERT/CC)
https://www.jpcert.or.jp/at/2014/at140024.html