Webサイトの利便性を高めるツールの危険性を知り、安全性との両立を

CMS（コンテンツ・マネジメント・システム）の脆弱性が、現在でも次々と発見されています。CMSとは、Webサイトを容易に管理するためのシステムです。Webサイトのコンテンツを記述するHTMLやCSSなどの知識は必要とせず、簡単にWebサイトの管理が行えることから、世界中のWebサイトの約半数でCMSが利用されていると言われています。有名なCMSとして、WordPress、Drupal、Joomla!などがあり、特にWordPressは世界の34.8%のWebサイトで利用されています。

便利なCMSですが、脆弱性も多く存在しています。世界中で広く利用されている中で、脆弱性情報も数多く公開されていることから、CMSの脆弱性を悪用されることによるセキュリティ事故は非常に多く、世界中で年間150万ページものWebサイトが改ざんされていると言われています。日本国内では、JPCERT/CCが報告を受けただけでも2019年1月から6月までの間にCMSの脆弱性を悪用されたことを含む500件近くのWeb改ざん被害が発生しています。

主な改ざんの内容としては、単に視覚上の改ざんなどの自サイトへの被害にとどまらず、脆弱なWebサイトのQ&Aフォーラムサイトに不正なコードを埋め込み、偽の投稿を表示させ、リンクをクリックしたユーザにランサムウェア入りのzipファイルをダウンロードさせる攻撃なども存在しています。

そのため、CMSを利用する際には、脆弱性の修正が行われている最新バージョンを利用することに加え、CMSの脆弱性が日々公開される事を想定した運用を心がける必要があります。さらにサードパーティーによるプラグインも豊富にある反面、脆弱性も悪用されやすいのでプラグインも忘れずに更新を実施する必要があります。

また、CMSのセキュリティレベルを保つための対策として、セキュリティ対策が継続してタイムリーに実施されているCMSを選定することや、アカウントや権限の適切な管理や、プラグインの定期的な見直し、CMSの管理画面へのアクセス制限をすることなどが挙げられます。

セキュリティと利便性は基本的に相反するものではありますが、どちらも必要な要素です。CMSのような運用の利便性を高めるツールの危険性を理解した上で、継続的かつタイムリーにセキュリティ対策を実施し、安心安全かつ便利に運用を行えるようにする必要があります。

《参考情報》