IPAなどの注意喚起情報では間に合わない～脆弱性を狙う攻撃とその対策（EGセキュアソリューションズ、ジェイピー・セキュア）

HASHコンサルティングとJP-Secureは、東京・新橋において「危険な脆弱性にいかに対処するか実践的ウェブサイト防衛」をテーマとした無料セミナーを4月26日に開催した。

研修・セミナー・カンファレンスセミナー・イベント

2017.5.22 Mon 8:15 PR

「丁寧な対策と高性能なWAFが有効」 EGセキュアソリューションズ株式会社代表取締役徳丸浩氏全 9 枚拡大写真

徳丸氏は「対応はプロフェッショナルで早かったけれど、それでも遅かった」ことと「クレジットカードのセキュリティコードが保存されていた」ことを反省点として挙げた。また、「早期に脆弱性情報をキャッチして、パッチの適用やバージョンアップを行う、あるいはサイトを停止する」「高性能のWAFを導入する」などにより、S2-045を悪用する攻撃を防ぐ、あるいは緩和できたとした。

●多くのプラグインや関連アプリにより対応が困難なCMSの脆弱性

続いて徳丸氏は「イプサ」の事例を紹介し、たとえクレジットカード情報を保存していなくても、バックドアからログファイルにアクセスすることで情報を盗み出せることをデモで実証した。また「ぴあ」の事例では、受託した仕様や運用ガイドラインと異なりクレジットカード情報が保存されていたことに対し、「カード情報を保存しないことは、発注時に念書を取るくらいに徹底すべき」であるとした。

さらに、WordPress、Joomla!、Drupalの3大CMSは発見される脆弱性も多く、PHPなどの脆弱性が関連することもあり、その事例として「えのしま・ふじさわポータルサイト『えのぽ』」の事例を紹介した。同サイトが利用していたレンタルサーバのJoomla!に脆弱性（CVE-2015-8562）が存在したが、徳丸氏により真の原因がPHPの脆弱性にあると指摘していた。レンタルサーバではPHPのバージョンアップが遅れ、結果として不正アクセスの疑いによりサイトを停止している。

徳丸氏は、脆弱性を悪用された事例を次々にデモで再現し、対策を紹介していった。MovableTypeの脆弱性が原因となった「日本テレビ」や「J-WAVE」の侵入事件の事例では、ImageMagickのコマンドのパラメータ指定方法に問題があった。このケースでも、比較的容易にデータベースファイルをダウンロードできることがデモで示された。