独立行政法人情報処理推進機構、通称IPAがWebサイトの脆弱性の再点検と速やかな回収を呼び掛けています。IPAによると、事の発端は「昨年2月以降、中国のWooYun(*1)というポータルサイトで、SQLインジェクションの脆弱性が存在する日本のウェブサイトが約400件登録されていることが判明しました。これらの脆弱性は悪用された場合、ウェブサイトの改ざん・破壊、情報窃取などの被害を及ぼす可能性がありました。」
というまさに日本のWebサイトの脆弱性が海外でさらされていたからです。この事件がきっかけで、IPAは警戒を強めあらためて呼びかけています。IPAは2004年から「情報セキュリティ早期警戒パートナーシップ脆弱性届出制度(以降、本制度)」に届けられた脆弱性の件数1,055件の約40%にも及ぶとのことです。しかも今回、発見された400件のWebサイトは法律に抵触する方法によって抽出されたというのです。法律に抵触させての届け出は普段は取り扱わないとのことですが、今回はその脅威を加護できないとしてそのうち248のWebサイト運営者には特別にIPAから連絡を入れているということです。
Webサイトに脆弱性があると仮に個人情報を収集、取り扱っている場合は、情報漏洩の危険性がありえますし、個人情報を扱っていない場合でも、Webサイトが改ざんされることもあります。もし、改ざんされたWebサイトにウィルスなどをしこまれ、このWebサイトを閲覧したユーザーがウィルスに感染などすれば間接的とはいえWebサイトの管理者の責任も道義上、免れないということになります。
IPAでは脆弱性をチェックする検査手法も公開しています。
■ 点検:テクニカルウォッチ「ウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編)」
https://www.ipa.go.jp/security/technicalwatch/20160928-2.html
■ 改修:「安全なウェブサイトの作り方」
「安全なSQLの呼び出し方」
https://www.ipa.go.jp/security/vuln/websecurity.htmlまた弊社でも『Webサイト脆弱性診断サービス』を行っています。
今一度、Webサイトの管理者は脆弱性のチェックをお願いいたします。(*1)中国の脆弱性情報のポータルサイト。WooYun には「発見者同士の技術力向上などを目的とした、発見者同士のコミュニティ」「脆弱性情報を収集し、ウェブサイト運営者や製品開発者へ情報を提供するための脆弱性情報ポータルサイト」という 2 つの機能(側面)がある。なお、現在は閉鎖状態。
詳細;IPA
PARTNER
