CMSの脆弱性とサイト改ざんの危険性について

CMSの脆弱性とサイト改ざんの危険性について

CMSを導入してウェブサイトを構築後、サイトの更新だけでなくCMSの更新も行っていますか。

 

CMS(Content Management System)とは

CMSとは簡単にウェブサイトが構築できるように作られたプログラムのことで、WordPressやMovableType、osCommerce、EC-CUBE等々管理画面から簡単にウェブサイトや商品登録ができるようなシステムです。

 

CMSの脆弱性とは

どれだけ慎重に作られたプログラムであっても、悪意のある攻撃者にとっての突破口が存在することがあり、不正にファイルを設置して、不正メールを送信したりフィッシングサイトを設置したりといったサイトの改ざん、データベースの情報を読み盗ったりする情報漏えいなどの危険性が存在します。

 

脆弱性の例

クロスサイトスクリプティング脆弱性

CGIやウェブアプリケーションへのアクセスの際にPHPなどのプログラムによって自動で作成されるページに対して、入力された情報を適切に処理していないため、ページを開いた際に本来意図していないプログラムが実行される脆弱性です。

 

SQLインジェクション

プログラムの外部入力に対する設定の不備でデータベースの情報を変更したり、取得したりできる脆弱性です。

 

コードインジェクション

プログラムの構造に誤りがあり、特定のリクエストを送ることで任意のプログラムが実行できる脆弱性です。

 

脆弱性の実例

クロスサイトスクリプティング脆弱性の実例

JVNDB-2012-000005
osCommerce におけるクロスサイトスクリプティングの脆弱性(脆弱性対策情報データベースJVN iPedia)

2012年に報告されたosCommerceの脆弱性で、悪意あるリンクを埋め込んだoscommerceのサイトを開くと自動的に不正なプログラムが実行されてしまい、マルウェア感染や情報搾取などが発生しました。

 

SQLインジェクションの実例

JVNDB-2007-006098
WordPress および MU における SQL インジェクションの脆弱性(脆弱性対策情報データベースJVN iPedia)

2007年に報告されたWordPressの脆弱性で、悪意ある第三者により自由にデータベースを操作されてしまい、ログイン情報の漏洩やサイトの改ざんなどが発生しました。

 

コードインジェクションの実例

JVNDB-2013-000062
EC-CUBE におけるコードインジェクションの脆弱性(脆弱性対策情報データベースJVN iPedia)

2013年に報告されたEC-CUBEの脆弱性で、悪意ある第三者により任意のプログラムが実行され、不正ファイルの設置や不正メール送信、サイトの改ざんなどが発生しました。

 

サイトの改ざんを防ぐために

まだまだいろいろな問題例がありますが、一旦脆弱性を悪用され、改ざんや不正メール送信などが発生してしまうと、サイトそのものの信頼性がなくなってしまうため、集客や会社の信頼そのものにも影響を与えかねません。このような状況を引き起こさないために必要な措置はただ一つ、使用しているCMSを常に最新の状態に保つことです。最新の状態であればサイトの改ざんなどにつながる脆弱性は少なく、また最新のものはそういった不具合を修正してリリースされるため更に安全に快適にご利用いただけるようになります。

 

プログラムの更新方法について

多くのCMSでは自動的に、もしくは手動で更新できるようなシステムが管理画面に備わっています。管理画面からコミュニティサイトなどへのリンクもあり、そういった場所から最新の情報を入手できます。またシステムのバージョンなどによってアップデートが出来ない場合もありますので、その場合は弊社サポートまでお問い合わせください。最新のシステムへの移転をご案内させていただきます。

 

お問い合わせ先

▼サポートセンター▼
https://support.joeswebhosting.net/
▼お電話▼
0120-087-388
受付時間 10:00~17:30 (平日)