2014年に発生したWeb改ざん手口の中で目立ったのが、Webサイトで使われているソフトウエアの脆弱性を狙った攻撃である(図1)。
Webサイトの多くは、サーバーOSの上で、Webサーバーソフトやミドルウエア、開発フレームワークなど、複数の要素を「部品」として活用して作られている。これらの部品のどこか1つに脆弱性があると、そこを“突破口”にして改ざんされる恐れがある。
広く使われているソフトウエアについては、新たな脆弱性が見つかると、それを突く攻撃コードが公開されることが多いので、攻撃するための技術的なハードルは低い。
実際に、2014年5月から6月にかけては、CMSソフトウェア「Web Diary Professional(WDP)」や「Movable Type」に見つかった脆弱性が狙われ、改ざんが多発した。その結果、正規のWebサイトにアクセスしたユーザーが悪意のあるWebサイトに誘導され、ウイルスに感染する被害が生じた。そこでIPAでは、「管理できていないWebサイトは閉鎖を検討すべき」と警告を発した(IPAの注意喚起)。
改ざんに対する警告を発したのは2014年6月だが、Movable Typeの脆弱性が公表され、修正バージョンが公表されたのはその半年から数年前にさかのぼる。IPAでも2013年9月に注意喚起している(IPAの注意喚起)。