情報処理推進機構セキュリティセンターは7月1日、「7月の呼びかけ」として、「止まらないウェブ改ざん！ ～ウェブサイトの管理の再検討を！」を発表した。

IPAは2013年6月の呼びかけにおいて、Web改ざんの被害が多発していることを受け、主にシステム管理者向けに総合的な対策を取るよう呼びかけたものの、その後も様々な企業のWebサイトが改ざんされる被害が相次いでいる。今後も被害の連鎖が続くと予想されるため、IPAは再度の呼びかけを行った。

2009年から2010年にかけて頻発した「Gumblar」では、PCの脆弱性の悪用によりウイルス感染し、クライアントPCからFTPのアカウント情報を窃取されたことが原因でWeb改ざんの標的となった。しかし昨今のWeb改ざんは、Webサーバの弱点を攻撃してWeb改ざんを試みる手口が加わっており、これが特徴だという。Webサーバで安易なFTPパスワードを設定していたために推測などでパスワードが破られたり、Webサーバの脆弱性が悪用されてサーバに侵入されたりすることで、Web改ざんの被害に遭うという。

今回の呼びかけでは、主にWebサイトの管理者を対象に、実際の事例を紹介し、改ざんの有無の確認方法、対策方法、改ざん発生時の対応方法などについて解説している。

(川原 龍人/びぎねっと)

[関連リンク]
リリースアナウンス
呼びかけ本文（PDF）