Webサイトを管理する際にページを作成、管理、運営していくためにCMS(コンテンツ・マネジメント・システム)の活用は非常に有効です。

従来はWebサイトを作るには一つ一つのページを作成した上で、ページごとのリンクを手動で設定するなど非常に煩雑な作業を行う必要がありました。

しかし、このCMSを利用することでそのあたりの作業をすべて自動で簡単に行えるようになり、Webサイトの作成や管理といった作業の効率が大幅にアップしました。

Joomla(ジュームラ)とは?

CMSの中でよく使われているものにJoomla(ジュームラ)があります。
JoomlaはオープンソースのCMSで、無償にも関わらずWebサイトを作成、管理、運営するための機能やツールが一通りすべて揃えられています。

このJoomlaを使う最大のメリットとしては、ブログを投稿したりするのと同じような感覚でインターネット上からWebサイトのページ作成や更新などといった作業を簡単に行えるところにあります。

現在、日本でも有名なCMSとしてはWordPressがあり、Joomlaはそこまで知名度は高くはありません。
しかし、その機能や使い勝手などから海外ではWordPressと並んで非常に人気のあるCMSとなっています。

Joomlaにみられる脆弱性と問題点

最近、このJoomlaに重大な脆弱性が発見されました。
UjS-CERTから10月23日に「Joomla! Releases Security Update for CMS」として、Joomlaに複数の脆弱性が存在することがアナウンスされています。

この脆弱性は悪用されることで、影響を受けたシステムの管理者権限が乗っ取られるなどの可能性があります。

この問題を受けてJoomlaは最新版のバージョン3.4.5をリリースしています。

この最新版で3件の脆弱性に関する問題が修正されていますが、このうち最も大きな問題は3.2から3.4.4までに存在するSQLインジェクションの問題です。

SQLインジェクションとは

SQLインジェクションとは、データベース等に問い合わせを行うプログラムに不正なSQLを入れ込むことにより不正に情報をすることが出来てしまう脆弱性のことです。

通常SQLでは情報をデータベースに問い合わせ、データを参照、更新、削除することが出来ます。
そのためSQLによるアクセスが不正に行われてしまうと、自由にデータが不正に取得され、外部に漏えいしてしまう可能性が高くなります。

今回の脆弱性のケースで特に問題となったことは、この脆弱性に関する情報が公開されてから数時間ののちにJoomlaを使ったいくつかのWebサイトに向けて、この脆弱性が悪用された攻撃がなされたことです。

セキュリティ関連企業Sucuriの発表によれば、今回の脆弱性についての発表がなされて4時間後にはJoomlaを使っている人気サイト2件に対して攻撃が行われ、さらには24時間後にはインターネット全体に対して、この脆弱性を持つサイトを探そうとするスキャンが広がるという事態となりました。

必要な対策とは?

このケースでサイトの管理者が行えることは、とにかく迅速に最新版のアップデートを適用し、この脆弱性を悪用した攻撃からサイトを守ることです。
しかし、今回ほど急速に被害が広まると、サイト管理者にはほとんど対策をとる時間的な猶予はありません。
常日頃から情報収集を行っておき、問題発生の際には迅速に対応する必要があります。

おわりに

最近のセキュリティ関連の事象では、今回のように脆弱性の発表と対応の修正バージョンが配布されてすぐ、利用者の対応が間に合わないうちに攻撃を行うケースや、あるいはゼロデイ攻撃と呼ばれる、脆弱性の発見からソフトウェアベンダー等が対策を行うまでの短期間のうちに悪意ある攻撃を行って情報の不正取得などを行うような事例が増えています。

これらの共通点は、いずれもベンダーや利用者の対策が間に合わないうちに迅速にターゲットに対して攻撃を行い、不正に情報を取得したり、管理者権限を奪ってしまったりなどの目的を遂げてしまうというところにあります。
結果的に、ソフトウェアベンダーが対策を行う頃には、既に被害が発生してしまった後ということになるのです。

このようなことを踏まえると、今回のJoomlaのケースもそうですが、常にセキュリティ情報を収集し、問題があった場合は迅速に対応することがサイトの管理者とって不可欠な仕事と言えるでしょう。
たとえベンダーからの対応が遅れたとしても、情報を得て迅速に対応を行っておけばかなり被害のリスクを下げることが可能になるはずです。

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。