IPAなどの注意喚起情報では間に合わない~脆弱性を狙う攻撃とその対策(EGセキュアソリューションズ、ジェイピー・セキュア)
HASHコンサルティングとJP-Secureは、東京・新橋において「危険な脆弱性にいかに対処するか 実践的ウェブサイト防衛」をテーマとした無料セミナーを4月26日に開催した。
研修・セミナー・カンファレンス
セミナー・イベント
PR
●多くのプラグインや関連アプリにより対応が困難なCMSの脆弱性
続いて徳丸氏は「イプサ」の事例を紹介し、たとえクレジットカード情報を保存していなくても、バックドアからログファイルにアクセスすることで情報を盗み出せることをデモで実証した。また「ぴあ」の事例では、受託した仕様や運用ガイドラインと異なりクレジットカード情報が保存されていたことに対し、「カード情報を保存しないことは、発注時に念書を取るくらいに徹底すべき」であるとした。
さらに、WordPress、Joomla!、Drupalの3大CMSは発見される脆弱性も多く、PHPなどの脆弱性が関連することもあり、その事例として「えのしま・ふじさわポータルサイト『えのぽ』」の事例を紹介した。同サイトが利用していたレンタルサーバのJoomla!に脆弱性(CVE-2015-8562)が存在したが、徳丸氏により真の原因がPHPの脆弱性にあると指摘していた。レンタルサーバではPHPのバージョンアップが遅れ、結果として不正アクセスの疑いによりサイトを停止している。
徳丸氏は、脆弱性を悪用された事例を次々にデモで再現し、対策を紹介していった。MovableTypeの脆弱性が原因となった「日本テレビ」や「J-WAVE」の侵入事件の事例では、ImageMagickのコマンドのパラメータ指定方法に問題があった。このケースでも、比較的容易にデータベースファイルをダウンロードできることがデモで示された。
《吉澤 亨史( Kouji Yoshizawa )》
関連記事
この記事の写真
/