IPAなどの注意喚起情報では間に合わない~脆弱性を狙う攻撃とその対策(EGセキュアソリューションズ、ジェイピー・セキュア) 2ページ目 | ScanNetSecurity
2024.06.23(日)

IPAなどの注意喚起情報では間に合わない~脆弱性を狙う攻撃とその対策(EGセキュアソリューションズ、ジェイピー・セキュア)

HASHコンサルティングとJP-Secureは、東京・新橋において「危険な脆弱性にいかに対処するか 実践的ウェブサイト防衛」をテーマとした無料セミナーを4月26日に開催した。

研修・セミナー・カンファレンス セミナー・イベント
PR
「丁寧な対策と高性能なWAFが有効」 EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩 氏
「丁寧な対策と高性能なWAFが有効」 EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩 氏 全 9 枚 拡大写真
徳丸氏は「対応はプロフェッショナルで早かったけれど、それでも遅かった」ことと「クレジットカードのセキュリティコードが保存されていた」ことを反省点として挙げた。また、「早期に脆弱性情報をキャッチして、パッチの適用やバージョンアップを行う、あるいはサイトを停止する」「高性能のWAFを導入する」などにより、S2-045を悪用する攻撃を防ぐ、あるいは緩和できたとした。

●多くのプラグインや関連アプリにより対応が困難なCMSの脆弱性

続いて徳丸氏は「イプサ」の事例を紹介し、たとえクレジットカード情報を保存していなくても、バックドアからログファイルにアクセスすることで情報を盗み出せることをデモで実証した。また「ぴあ」の事例では、受託した仕様や運用ガイドラインと異なりクレジットカード情報が保存されていたことに対し、「カード情報を保存しないことは、発注時に念書を取るくらいに徹底すべき」であるとした。

さらに、WordPress、Joomla!、Drupalの3大CMSは発見される脆弱性も多く、PHPなどの脆弱性が関連することもあり、その事例として「えのしま・ふじさわポータルサイト『えのぽ』」の事例を紹介した。同サイトが利用していたレンタルサーバのJoomla!に脆弱性(CVE-2015-8562)が存在したが、徳丸氏により真の原因がPHPの脆弱性にあると指摘していた。レンタルサーバではPHPのバージョンアップが遅れ、結果として不正アクセスの疑いによりサイトを停止している。

徳丸氏は、脆弱性を悪用された事例を次々にデモで再現し、対策を紹介していった。MovableTypeの脆弱性が原因となった「日本テレビ」や「J-WAVE」の侵入事件の事例では、ImageMagickのコマンドのパラメータ指定方法に問題があった。このケースでも、比較的容易にデータベースファイルをダウンロードできることがデモで示された。

  1. «
  2. 1
  3. 2
  4. 3
  5. 続きを読む

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  2. 「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

    「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

  3. 今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのは誰

    今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのは誰

  4. フジクラのタイ子会社に不正アクセス、国際ネットワーク経由で日本のグループ各社のサーバにも痕跡

    フジクラのタイ子会社に不正アクセス、国際ネットワーク経由で日本のグループ各社のサーバにも痕跡

  5. 杏林大学職員 詐欺サイト クリックしたら不正アクセス被害

    杏林大学職員 詐欺サイト クリックしたら不正アクセス被害

  6. ケンブリッジ大学出版にサイバーセキュリティ攻撃、社内システムに不具合

    ケンブリッジ大学出版にサイバーセキュリティ攻撃、社内システムに不具合

  7. Mrs. GREEN APPLE 「コロンブス」MV 公開停止、歴史や文化的な背景への理解に欠ける表現含まれると判断

    Mrs. GREEN APPLE 「コロンブス」MV 公開停止、歴史や文化的な背景への理解に欠ける表現含まれると判断

  8. アクセサリー取り扱い「銀時webサイト」に不正アクセス、一部ページが改ざん被害

    アクセサリー取り扱い「銀時webサイト」に不正アクセス、一部ページが改ざん被害

  9. メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

    メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

  10. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

ランキングをもっと見る