IPAなどの注意喚起情報では間に合わない~脆弱性を狙う攻撃とその対策(EGセキュアソリューションズ、ジェイピー・セキュア) 2ページ目 | ScanNetSecurity
2025.10.26(日)

IPAなどの注意喚起情報では間に合わない~脆弱性を狙う攻撃とその対策(EGセキュアソリューションズ、ジェイピー・セキュア)

HASHコンサルティングとJP-Secureは、東京・新橋において「危険な脆弱性にいかに対処するか 実践的ウェブサイト防衛」をテーマとした無料セミナーを4月26日に開催した。

研修・セミナー・カンファレンス セミナー・イベント
PR
「丁寧な対策と高性能なWAFが有効」 EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩 氏
「丁寧な対策と高性能なWAFが有効」 EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩 氏 全 9 枚 拡大写真
徳丸氏は「対応はプロフェッショナルで早かったけれど、それでも遅かった」ことと「クレジットカードのセキュリティコードが保存されていた」ことを反省点として挙げた。また、「早期に脆弱性情報をキャッチして、パッチの適用やバージョンアップを行う、あるいはサイトを停止する」「高性能のWAFを導入する」などにより、S2-045を悪用する攻撃を防ぐ、あるいは緩和できたとした。

●多くのプラグインや関連アプリにより対応が困難なCMSの脆弱性

続いて徳丸氏は「イプサ」の事例を紹介し、たとえクレジットカード情報を保存していなくても、バックドアからログファイルにアクセスすることで情報を盗み出せることをデモで実証した。また「ぴあ」の事例では、受託した仕様や運用ガイドラインと異なりクレジットカード情報が保存されていたことに対し、「カード情報を保存しないことは、発注時に念書を取るくらいに徹底すべき」であるとした。

さらに、WordPress、Joomla!、Drupalの3大CMSは発見される脆弱性も多く、PHPなどの脆弱性が関連することもあり、その事例として「えのしま・ふじさわポータルサイト『えのぽ』」の事例を紹介した。同サイトが利用していたレンタルサーバのJoomla!に脆弱性(CVE-2015-8562)が存在したが、徳丸氏により真の原因がPHPの脆弱性にあると指摘していた。レンタルサーバではPHPのバージョンアップが遅れ、結果として不正アクセスの疑いによりサイトを停止している。

徳丸氏は、脆弱性を悪用された事例を次々にデモで再現し、対策を紹介していった。MovableTypeの脆弱性が原因となった「日本テレビ」や「J-WAVE」の侵入事件の事例では、ImageMagickのコマンドのパラメータ指定方法に問題があった。このケースでも、比較的容易にデータベースファイルをダウンロードできることがデモで示された。

  1. «
  2. 1
  3. 2
  4. 3
  5. 続きを読む

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 大量に営業機密等を不正取得 ~ 不正競争防止法違反容疑でエレコム元従業員を刑事告訴

    大量に営業機密等を不正取得 ~ 不正競争防止法違反容疑でエレコム元従業員を刑事告訴

  2. 関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

    関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

  3. 「ランサムウェア被害ゼロ」電算システムが語る ChromeOS のセキュリティ設計とコスト優位性

    「ランサムウェア被害ゼロ」電算システムが語る ChromeOS のセキュリティ設計とコスト優位性PR

  4. 刑事告訴検討 ~ ヤマト運輸の元従業員が取引先企業に関する情報の一部を不正に持ち出し 2 社に流出

    刑事告訴検討 ~ ヤマト運輸の元従業員が取引先企業に関する情報の一部を不正に持ち出し 2 社に流出

  5. 「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

    「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

ランキングをもっと見る
PageTop