オープンソースCMS「Joomla」に脆弱性を発見!サイトが攻撃される可能性も|サイバーセキュリティ.com

オープンソースCMS「Joomla」に脆弱性を発見!サイトが攻撃される可能性も



Webサイトを管理する際にページを作成、管理、運営していくためにCMS(コンテンツ・マネジメント・システム)の活用は非常に有効です。

従来はWebサイトを作るには一つ一つのページを作成した上で、ページごとのリンクを手動で設定するなど非常に煩雑な作業を行う必要がありました。

しかし、このCMSを利用することでそのあたりの作業をすべて自動で簡単に行えるようになり、Webサイトの作成や管理といった作業の効率が大幅にアップしました。

Joomla(ジュームラ)とは?

CMSの中でよく使われているものにJoomla(ジュームラ)があります。
JoomlaはオープンソースのCMSで、無償にも関わらずWebサイトを作成、管理、運営するための機能やツールが一通りすべて揃えられています。

このJoomlaを使う最大のメリットとしては、ブログを投稿したりするのと同じような感覚でインターネット上からWebサイトのページ作成や更新などといった作業を簡単に行えるところにあります。

現在、日本でも有名なCMSとしてはWordPressがあり、Joomlaはそこまで知名度は高くはありません。
しかし、その機能や使い勝手などから海外ではWordPressと並んで非常に人気のあるCMSとなっています。

Joomlaにみられる脆弱性と問題点

最近、このJoomlaに重大な脆弱性が発見されました。
UjS-CERTから10月23日に「Joomla! Releases Security Update for CMS」として、Joomlaに複数の脆弱性が存在することがアナウンスされています。

この脆弱性は悪用されることで、影響を受けたシステムの管理者権限が乗っ取られるなどの可能性があります。

この問題を受けてJoomlaは最新版のバージョン3.4.5をリリースしています。

この最新版で3件の脆弱性に関する問題が修正されていますが、このうち最も大きな問題は3.2から3.4.4までに存在するSQLインジェクションの問題です。

SQLインジェクションとは

SQLインジェクションとは、データベース等に問い合わせを行うプログラムに不正なSQLを入れ込むことにより不正に情報をすることが出来てしまう脆弱性のことです。

通常SQLでは情報をデータベースに問い合わせ、データを参照、更新、削除することが出来ます。
そのためSQLによるアクセスが不正に行われてしまうと、自由にデータが不正に取得され、外部に漏えいしてしまう可能性が高くなります。

今回の脆弱性のケースで特に問題となったことは、この脆弱性に関する情報が公開されてから数時間ののちにJoomlaを使ったいくつかのWebサイトに向けて、この脆弱性が悪用された攻撃がなされたことです。

セキュリティ関連企業Sucuriの発表によれば、今回の脆弱性についての発表がなされて4時間後にはJoomlaを使っている人気サイト2件に対して攻撃が行われ、さらには24時間後にはインターネット全体に対して、この脆弱性を持つサイトを探そうとするスキャンが広がるという事態となりました。

必要な対策とは?

このケースでサイトの管理者が行えることは、とにかく迅速に最新版のアップデートを適用し、この脆弱性を悪用した攻撃からサイトを守ることです。
しかし、今回ほど急速に被害が広まると、サイト管理者にはほとんど対策をとる時間的な猶予はありません。
常日頃から情報収集を行っておき、問題発生の際には迅速に対応する必要があります。

おわりに

最近のセキュリティ関連の事象では、今回のように脆弱性の発表と対応の修正バージョンが配布されてすぐ、利用者の対応が間に合わないうちに攻撃を行うケースや、あるいはゼロデイ攻撃と呼ばれる、脆弱性の発見からソフトウェアベンダー等が対策を行うまでの短期間のうちに悪意ある攻撃を行って情報の不正取得などを行うような事例が増えています。

これらの共通点は、いずれもベンダーや利用者の対策が間に合わないうちに迅速にターゲットに対して攻撃を行い、不正に情報を取得したり、管理者権限を奪ってしまったりなどの目的を遂げてしまうというところにあります。
結果的に、ソフトウェアベンダーが対策を行う頃には、既に被害が発生してしまった後ということになるのです。

このようなことを踏まえると、今回のJoomlaのケースもそうですが、常にセキュリティ情報を収集し、問題があった場合は迅速に対応することがサイトの管理者とって不可欠な仕事と言えるでしょう。
たとえベンダーからの対応が遅れたとしても、情報を得て迅速に対応を行っておけばかなり被害のリスクを下げることが可能になるはずです。

WEBセキュリティ診断くん


URLhttps://cybersecurity-jp.com/shindan/

「WEBセキュリティ診断くん」は、Webアプリケーションに存在する脆弱性を診断するツールで、無料でWEBサイトに存在する脆弱性の数を把握することが可能です。
また、実際に脆弱性に対してどのような対策を行えば良いかは、月額10,000円からの少額で診断結果を確認することが可能です。

まずは無料で脆弱性の数を診断してみてはいかがでしょうか?


セキュリティ対策無料相談窓口


「セキュリティ対策といっても何から始めたら良いかわからない。」「セキュリティ対策を誰に相談できる人がいない。」等のお悩みのある方、下記よりご相談ください。

無料相談はこちら

SNSでもご購読できます。