こんにちは、株式会社シフト データアナリスト担当『H』です!
セブン&アイのモバイル決済サービス「7pay」が
脆弱性をつかれて第三者によるアカウントの乗っ取りが行われました。
不正アクセスの被害者は約900人で被害総額は約5500万円と言われています。
7月1日のリリースから1週間も立たずにこの状況から、
開発段階から脆弱性が誰も気づかなったということにも疑問が残る点が多いものの
セブン&アイ側は脆弱性は見つからなかったとしています。
この後、どういう事実が明らかになるか不明ですがこのことで大きな信頼を失ったことは間違いないと思います。
今回は日頃からひそむ「脆弱性」を「CMS」とオープンソースと合わせてご紹介させていただければと思います。
1.オープンソースのCMSにつきまとう脆弱性
オープンソースのCMSには脆弱性の問題がつきまといます。
脆弱性とは、パソコンやコンピューターのOSやソフトウェアのプログラムの障害や不具合、ミスなどの欠陥を指します。
この不具合や障害からウィルスや個人情報の故意に盗み取ったりすることも可能です。
脆弱性は外部からの攻撃されたりして不正に情報を変更されたりします。
特にホームページなどは攻撃をもとに、情報を書き換えられたりされてしまう可能性もあるので
脆弱性はきちんと対応しておかなければいけません。
オープンソースに脆弱性が多いとされています。
その理由としては、
・ソースコードが公開されているので、ソースの参照が簡単にできる
・サーバーの環境によっては、脆弱性に対応した修正プログラムのアップデートが難しい
・脆弱性の感知が難しい
これらがの理由からオープンソースは脆弱性を狙われやすいとされております。
オープンソースのCMSとして代表なのは「WordPress」や「Movable Type」です。
オープンソースは幅広く公開されているので、多数の開発者によって作成されているので
多くのプラグインが用意されています。
これはソースコードが公開されているからこそ、多くのプラグインを作成や使用が可能となっていますが
その盲点をついてくるのが脆弱性です。
よく使われているプラグインであれば、アップデートも頻繁に行われますが使用頻度が低いプラグインは
開発してそのままの状態ということも稀ではありません。
たまたま、使用したプラグインが使用頻度の低いものだった場合に脆弱性を攻撃されて情報の改ざんや個人情報の漏洩が行われた時には
もう遅いというケースがほとんどで取り返しがつかない場合もあります。
オープンソースのCMSには脆弱性の問題がつきまといます。
脆弱性は、バグや不具合や欠陥の部分を攻撃して情報を抜き取ったりサイトの内容を変更したりする行為です。
オープンソースが脆弱性が多い理由としては、
「オープンソースでソース参照が用意」「プログラムのアップデートが困難」「脆弱性の感知が困難」などが挙げられます。
頻繁に使用されるプラグインであれば、アップデートも行われますがあまり使用されていないプラグインであれば
開発後そのままにされてしまい開発者が不明というケースもあります。
その場合、脆弱性を攻撃されて情報漏洩につながってしまうケースもあるので使用するプラグインは見極める必要があります。
次に、オープンソースのCMSでの脆弱性の対策についてご紹介させていただきます。
2.オープンソースのCMSでの脆弱性の対策について
【1】システムのバックアップとアップデートを頻繁に行う
オープンソースのCMSを利用するのであれば、常日頃からシステムのバックアップとアップデートを行うことが重要です。
脆弱性は、システムのバグや欠陥をついて攻撃してきます。
それに対応するには、CMSバックアップとアップデートをしておきプログラムを最新状態にしておけば
脆弱性の攻撃を防ぐことができます。
また、バックアップをとっておけば最悪の場合に元に戻したり再構築するといったということも可能です。
【2】アクセス権限などの利用してセキュリティ対策を行う
オープンソースのCMSなどには必ず管理者権限があるものがほとんどです。
この管理者権限が最上級の権限としてあり、そこからスッタフなどを追加してい方式が取られているの主なオープンソースのCMSです。
脆弱性を攻撃する際は、管理者権限を奪おうとしてきます。
管理者権限を奪ってしまえば、最上階の権限なので全てのプラグインを操作可能です。
管理者権限を一つにせずに、いくつか作成しておく必要があります。
また、管理者権限のパスワードを定期的に変更しておくと脆弱性対策にもつながります。
アクセス権限に対しては、使用するアカウントによって権限の付与を行ったりしてデータが改ざんされないように努めていくことも
脆弱性から攻撃を防ぐ一つです。
【3】サイトアクセス履歴を分析
サイトへのアクセスを意識していく必要があります。
サイトへの流入数だけではなく、どの場所から流入してきているのかも確認しておくと良いです。
自国以外のアクセスが急に増加していたり、同じページへのアクセスが集中しているのであれば、
対象ページが攻撃を受けているという可能性もあるのでしっかりと分析しておく必要があります。
オープンソースのCMSの管理画面にも目を向けておく必要があります。
特にログイン画面では更新をするIPアドレスを決めておきそれ以外はIP制限をかけておいたり、
ログインが何回も行っているIPに対してはログインを不可にしたりすることも可能です。
オープンソースのCMSでの脆弱性の対策としては、システムのバックアップとアップデートを頻繁にしておくことです。
脆弱性はオープンソースのCMSの障害やバグに対して攻撃をしてきます。
常日頃から最新のプログラムにアップデートしておくことで、脆弱性の攻撃から守る対策が可能になります。
バックアップに関しては、もし攻撃されたとしてバックアップをとっておくことで再構築や以前の状態に戻すことができますので最悪の自体は回避できます。
脆弱性を攻撃する対象としては、最上級のアカウントでもある管理者権限です。
その権限を奪うことに全項目を網羅するのが目的だからです。
なので、管理者権限のパスワードは日頃から変更したり管理者権限をいくつか作成しておいたりする必要があります。
使用しているアカウントによっては、使える権限を制限したりするなどの対応しておくと脆弱性の攻撃を受けにくくします。
サイトへのアクセスも意識していくことも重要です。
「どの場所からアクセスされているのか?」「同じページにアクセスし続けられていないか?」、例外はありますが「急激に自国以外のアクセスが増えていないか」などを確認しておく必要があります。
オープンソースのCMSでは、脆弱性を常日頃から気にしておく必要があります。
企業単位で「脆弱性」を心配や懸念するのあれば、弊社の「SITEMANAGE」が有効と思います。
次に「脆弱性」に強い「SITEMANAGE」の特長をご紹介出来ればと思います。
3.「SITEMANAGE」機能紹介
【IP制限可能】
管理画面にアクセスできるIPを制限が可能です。
登録したIPをアクセス可能にしたり、閲覧できるIPを制限したりすることも可能です。
【詳細なアクセス解析が可能】
Googleアナリティクスと連携して、サイトのアクセス解析が可能です。
「サイト毎」「ページ毎」「検索キーワード」「参照元」などの詳細なアクセス解析が可能なので、
脆弱性の対象されたページを判別したりすることもひと目で確認が可能です。
【自社開発なので脆弱性対応が早い】
自社開発の最大の強みである脆弱性が発生したとしても、すぐに対応できるということです。
対応が早いのがもちろんのこと、社内でも日頃から脆弱性診断も行っているので脆弱性対策は万全です。
オープンソースのCMSには脆弱性の問題がつきまといます。
理由としては、「ソースコードが公開されている」「プログラムのアップデートが困難」「脆弱性の感知が難しい」などが挙げられます。
よく使われているプラグインアップデートされているので心配は少ないですが珍しいプラグインなどは開発から期間が経っていたり開発者自体も分からないケースも存在します。
回避するには、オープンソースのCMSの「バックアップやアップデートをしておく」「アクセス権限を利用して制限をかける」「サイトアクセス分析をしておく」などの対応が必要です。
これらの対応でも不安が残るようであれば弊社の「SITEMANAGE」がおすすめです。
「SITEMANAGE」であれば、「IP制限」や「アクセス解析」などが可能です。
また、脆弱性が発生したとしても自社開発なので対応出来るという部分に強みを持っております。
「オープンソースのCMSから脆弱性の強いものにしたい」
「セキュリティ面を強化したい」というお客様がいらっしゃいましたら、ぜひご相談ください!
まとめ
1.オープンソースのCMSにつきまとう脆弱性
2.オープンソースのCMSでの脆弱性の対策について
3.「SITEMANAGE」機能紹介
本日は、オープンソースのCMSの脆弱性についてご紹介させていただきました。
これからも「CMS」の情報をご紹介させていただきますのでよろしくお願いいたします。