IPAなどの注意喚起情報では間に合わない~脆弱性を狙う攻撃とその対策(EGセキュアソリューションズ、ジェイピー・セキュア) 2ページ目 | ScanNetSecurity
2025.10.04(土)

IPAなどの注意喚起情報では間に合わない~脆弱性を狙う攻撃とその対策(EGセキュアソリューションズ、ジェイピー・セキュア)

HASHコンサルティングとJP-Secureは、東京・新橋において「危険な脆弱性にいかに対処するか 実践的ウェブサイト防衛」をテーマとした無料セミナーを4月26日に開催した。

研修・セミナー・カンファレンス セミナー・イベント
PR
「丁寧な対策と高性能なWAFが有効」 EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩 氏
「丁寧な対策と高性能なWAFが有効」 EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩 氏 全 9 枚 拡大写真
徳丸氏は「対応はプロフェッショナルで早かったけれど、それでも遅かった」ことと「クレジットカードのセキュリティコードが保存されていた」ことを反省点として挙げた。また、「早期に脆弱性情報をキャッチして、パッチの適用やバージョンアップを行う、あるいはサイトを停止する」「高性能のWAFを導入する」などにより、S2-045を悪用する攻撃を防ぐ、あるいは緩和できたとした。

●多くのプラグインや関連アプリにより対応が困難なCMSの脆弱性

続いて徳丸氏は「イプサ」の事例を紹介し、たとえクレジットカード情報を保存していなくても、バックドアからログファイルにアクセスすることで情報を盗み出せることをデモで実証した。また「ぴあ」の事例では、受託した仕様や運用ガイドラインと異なりクレジットカード情報が保存されていたことに対し、「カード情報を保存しないことは、発注時に念書を取るくらいに徹底すべき」であるとした。

さらに、WordPress、Joomla!、Drupalの3大CMSは発見される脆弱性も多く、PHPなどの脆弱性が関連することもあり、その事例として「えのしま・ふじさわポータルサイト『えのぽ』」の事例を紹介した。同サイトが利用していたレンタルサーバのJoomla!に脆弱性(CVE-2015-8562)が存在したが、徳丸氏により真の原因がPHPの脆弱性にあると指摘していた。レンタルサーバではPHPのバージョンアップが遅れ、結果として不正アクセスの疑いによりサイトを停止している。

徳丸氏は、脆弱性を悪用された事例を次々にデモで再現し、対策を紹介していった。MovableTypeの脆弱性が原因となった「日本テレビ」や「J-WAVE」の侵入事件の事例では、ImageMagickのコマンドのパラメータ指定方法に問題があった。このケースでも、比較的容易にデータベースファイルをダウンロードできることがデモで示された。

  1. «
  2. 1
  3. 2
  4. 3
  5. 続きを読む

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

    業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

  2. ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

    ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

  3. 諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

    諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

  4. Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

    Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

  5. アサヒグループホールディングスにサイバー攻撃、現時点で復旧の目処立たず

    アサヒグループホールディングスにサイバー攻撃、現時点で復旧の目処立たず

ランキングをもっと見る
PageTop