2014年に発生したWeb改ざん手口の中で目立ったのが、Webサイトで使われているソフトウエアの脆弱性を狙った攻撃である(図1)。

図1●ソフトウエアの脆弱性を突く攻撃とその対策
図1●ソフトウエアの脆弱性を突く攻撃とその対策
[画像のクリックで拡大表示]

 Webサイトの多くは、サーバーOSの上で、Webサーバーソフトやミドルウエア、開発フレームワークなど、複数の要素を「部品」として活用して作られている。これらの部品のどこか1つに脆弱性があると、そこを“突破口”にして改ざんされる恐れがある。

 広く使われているソフトウエアについては、新たな脆弱性が見つかると、それを突く攻撃コードが公開されることが多いので、攻撃するための技術的なハードルは低い。

 実際に、2014年5月から6月にかけては、CMSソフトウェア「Web Diary Professional(WDP)」や「Movable Type」に見つかった脆弱性が狙われ、改ざんが多発した。その結果、正規のWebサイトにアクセスしたユーザーが悪意のあるWebサイトに誘導され、ウイルスに感染する被害が生じた。そこでIPAでは、「管理できていないWebサイトは閉鎖を検討すべき」と警告を発した(IPAの注意喚起)。

 改ざんに対する警告を発したのは2014年6月だが、Movable Typeの脆弱性が公表され、修正バージョンが公表されたのはその半年から数年前にさかのぼる。IPAでも2013年9月に注意喚起している(IPAの注意喚起)。