Daily Archives: 2009年9月26日

お使いのCMS、モジュールやプラグインなどは必ず脆弱性のない形にしましょう。

こんにちわ。kimonoです :-)

先日もテクニカル・障害情報にも記載させていただき、またお客様には何度かメールさせていただいておりますが、バージョンが古いまま、重大なパッチも当てずに放置されているサイトがかなり多いですね。
最近は、ハッキングが止まらず、多くのCMSに攻撃が毎日毎日ありますね~。今月は何かハッキング月間なのでしょうか・・・?
先日のハッキングでもありましたように、脆弱性でハッキングされますと、共有サーバーであれば、サーバーを止めたりしますと、他の利用者のお客様に迷惑になったりします。また、ネットショップなどは特にお客様の個人情報を扱っています。その個人情報の流出になったりしますと、今後のサイトの運用や、信用にも関わる問題になります。ネットショップじゃないからと言っても安心はできません。実際にあった話ですが、ユーザーのメールアドレスにメールを大量配信するようなプログラムを埋め込まれているケースもあります。
ハッキングは犯罪ですが、先日の報告にもありますように、日本の警察では、海外のアクセス元だったりしますと、ほぼ対応が不可能です。
皆さんでできることから始めていきましょう。
お使いのCMSに脆弱性の情報がないかどうか、(脆弱性のパッチは、バージョン自体が変わらないことがあり、見落とすケースもあります。)利用しているモジュールや、プラグインには脆弱性がないかどうか(fckeditorなども先日Geeklogにて脆弱性が発見されました。あれはfckeditor自体の脆弱性ですので、他の利用しているCMSにも関係します。私も最新バージョンに変更し、ダウンロードのfckeditorも最新にしました)テストなどでインストールしたまま放置しているサイトはないか(使わないから削除し、また使う時に入れなおした方がよかったりします)ご自身でカスタマイズされた場合は、それに脆弱性がないか、、、他にも様々な事例があると思いますが、まずは、CMSの本家や、日本語サイト、モジュール・プラグインの作者のサイトなど情報を集めましょう。また、見つかり、ハッキングされ、ファイルなどを埋め込まれた場合は、むやみにそのファイルを開いたりせずに、先に対応を行なってから、削除を行ないましょう。開いたりするとウィルスが入っているケースもあります。
日々、注意深く情報を見続けることが重要ですね :-D
最近の情報
Zen Cart
http://zen-cart.jp/bbs/viewtopic.php?f=1&t=4586
こんな方法もあります。
http://www.zencart-pro.com/help/node/151
Geeklog
http://www.geeklog.jp/article.php/geeklog-1.6.0sr2
WordPress
http://blog.fkoji.com/2009/09061357.html
などなど。

脆弱性に関する機関
IPA(独立行政法人情報処理推進機構)
http://www.ipa.go.jp/