サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

オープンソースCMS「Joomla」に脆弱性を発見!サイトが攻撃される可能性も



Webサイトを管理する際にページを作成、管理、運営していくためにCMS(コンテンツ・マネジメント・システム)の活用は非常に有効です。

従来はWebサイトを作るには一つ一つのページを作成した上で、ページごとのリンクを手動で設定するなど非常に煩雑な作業を行う必要がありました。

しかし、このCMSを利用することでそのあたりの作業をすべて自動で簡単に行えるようになり、Webサイトの作成や管理といった作業の効率が大幅にアップしました。

Joomla(ジュームラ)とは?

CMSの中でよく使われているものにJoomla(ジュームラ)があります。
JoomlaはオープンソースのCMSで、無償にも関わらずWebサイトを作成、管理、運営するための機能やツールが一通りすべて揃えられています。

このJoomlaを使う最大のメリットとしては、ブログを投稿したりするのと同じような感覚でインターネット上からWebサイトのページ作成や更新などといった作業を簡単に行えるところにあります。

現在、日本でも有名なCMSとしてはWordPressがあり、Joomlaはそこまで知名度は高くはありません。
しかし、その機能や使い勝手などから海外ではWordPressと並んで非常に人気のあるCMSとなっています。

Joomlaにみられる脆弱性と問題点

最近、このJoomlaに重大な脆弱性が発見されました。
UjS-CERTから10月23日に「Joomla! Releases Security Update for CMS」として、Joomlaに複数の脆弱性が存在することがアナウンスされています。

この脆弱性は悪用されることで、影響を受けたシステムの管理者権限が乗っ取られるなどの可能性があります。

この問題を受けてJoomlaは最新版のバージョン3.4.5をリリースしています。

この最新版で3件の脆弱性に関する問題が修正されていますが、このうち最も大きな問題は3.2から3.4.4までに存在するSQLインジェクションの問題です。

SQLインジェクションとは

SQLインジェクションとは、データベース等に問い合わせを行うプログラムに不正なSQLを入れ込むことにより不正に情報をすることが出来てしまう脆弱性のことです。

通常SQLでは情報をデータベースに問い合わせ、データを参照、更新、削除することが出来ます。
そのためSQLによるアクセスが不正に行われてしまうと、自由にデータが不正に取得され、外部に漏えいしてしまう可能性が高くなります。

今回の脆弱性のケースで特に問題となったことは、この脆弱性に関する情報が公開されてから数時間ののちにJoomlaを使ったいくつかのWebサイトに向けて、この脆弱性が悪用された攻撃がなされたことです。

セキュリティ関連企業Sucuriの発表によれば、今回の脆弱性についての発表がなされて4時間後にはJoomlaを使っている人気サイト2件に対して攻撃が行われ、さらには24時間後にはインターネット全体に対して、この脆弱性を持つサイトを探そうとするスキャンが広がるという事態となりました。

必要な対策とは?

このケースでサイトの管理者が行えることは、とにかく迅速に最新版のアップデートを適用し、この脆弱性を悪用した攻撃からサイトを守ることです。
しかし、今回ほど急速に被害が広まると、サイト管理者にはほとんど対策をとる時間的な猶予はありません。
常日頃から情報収集を行っておき、問題発生の際には迅速に対応する必要があります。

おわりに

最近のセキュリティ関連の事象では、今回のように脆弱性の発表と対応の修正バージョンが配布されてすぐ、利用者の対応が間に合わないうちに攻撃を行うケースや、あるいはゼロデイ攻撃と呼ばれる、脆弱性の発見からソフトウェアベンダー等が対策を行うまでの短期間のうちに悪意ある攻撃を行って情報の不正取得などを行うような事例が増えています。

これらの共通点は、いずれもベンダーや利用者の対策が間に合わないうちに迅速にターゲットに対して攻撃を行い、不正に情報を取得したり、管理者権限を奪ってしまったりなどの目的を遂げてしまうというところにあります。
結果的に、ソフトウェアベンダーが対策を行う頃には、既に被害が発生してしまった後ということになるのです。

このようなことを踏まえると、今回のJoomlaのケースもそうですが、常にセキュリティ情報を収集し、問題があった場合は迅速に対応することがサイトの管理者とって不可欠な仕事と言えるでしょう。
たとえベンダーからの対応が遅れたとしても、情報を得て迅速に対応を行っておけばかなり被害のリスクを下げることが可能になるはずです。

WEBセキュリティ診断くん


URLhttps://cybersecurity-jp.com/shindan/

「WEBセキュリティ診断くん」は、Webアプリケーションに存在する脆弱性を診断するツールで、無料でWEBサイトに存在する脆弱性の数を把握することが可能です。
また、実際に脆弱性に対してどのような対策を行えば良いかは、月額10,000円からの少額で診断結果を確認することが可能です。

まずは無料で脆弱性の数を診断してみてはいかがでしょうか?


書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。