セキュリティ情報
情報処理推進機構、「Webサイトへのサイバー攻撃に備えた定期的な点検」を呼びかけ
情報処理推進機構およびJPCERT/CCは、相次ぐ標的型攻撃において、国内の企業・組織のWebサイトが踏み台に悪用されていることを踏まえ、サイバー攻撃に備えた定期点検を実施する呼びかけを、運営者および管理者に対して発表した。
これまでもWebサイトに関する注意喚起は行われてきたが、新しい脆弱性が次々と公表されるなど状況は日々変化しており、万全の対策を行っているつもりでも被害に遭う可能性を否定できなくなっている。今回の注意喚起は、Webサイトへの基本的な対策のほか、運用管理における定期的な点検を行うように促すもの。
直近で数多く確認されている攻撃手法としては、「標的型攻撃に悪用されるWebサイト改ざん」「SQLインジェクションの脆弱性を悪用した情報窃取」の2つが挙げられている。これらに対応するためには、(1)利用製品(プラグインなど追加の拡張機能も含む)の最新バージョンの確認、(2)Webサイト上のファイルの確認(改ざんなどがされていないか)、(3)ウェブアプリケーションのセキュリティ診断が挙げらている。また、万が一異常が見つかった場合を想定し、緊急時の対応手順(インシデントレスポンス)や連絡先を事前に決めておくことも、被害低減のために必要不可欠としている。
(川原 龍人/びぎねっと)
[関連リンク]
プレスリリース
ウェブサイト改ざん対策に関するよくある相談と回答(FAQ)