そこにサイトがあるから――全ての企業に存在する「Web改ざん」のリスク
ウチには有用な情報がないから標的型攻撃なんて無関係、そう思っていませんか。実はいまや、脆弱性を検索エンジンで探す時代。攻撃者はえり好みすることなく、攻撃できそうなサイトを攻撃しているだけなのです。
脆弱性が情報漏えい事件を引き起こし、結果として多くの利用者、取引先に連鎖していきます。あなたのサイトにも、Web改ざんのリスクがあることを認識し、いまできる対策をとっていきましょう。
TopStory
全ての企業にリスクあり:
「Webサイト改ざん」事件が次々と報告されている。IPAによる注意喚起から、Webサイト改ざんへの対策と心構えができているか、再度チェックしよう。
注目の記事- PR -
Strutsへの脆弱性攻撃やパスワードリスト攻撃にも対応:
手のかかるアプライアンスから、運用をアウトソースできるWAFへ。シマンテックがクラウド型WAFを推す理由とは。
関連記事
【Update】CDNetworksが侵害公表、バッファロー、JUGEMなどで改ざん:
2014年5月下旬、企業サイトから公式に配布されているドライバーソフトやサイト中のJavaScriptなどが改ざんされ、オンラインバンキングを狙うマルウェアがダウンロードされてしまう事件が相次いで発生した。その原因はWebサイト運用で利用していた「外部サービス」にあるという。
「ゆかしメディア」や「琴浦さん」などでも被害:
3月中旬以降、複数のWebサイトで、Webサーバ「Apache」に不正なモジュール「Darkleech Apache Module」が仕込まれ、アクセスしてきたユーザーのPCをマルウェアに感染させる被害が相次いで報告されている。
川口洋のセキュリティ・プライベート・アイズ(47):
IEのゼロデイ攻撃で最初のトリガーとなった「Web改ざん」。改ざんされた後の対応次第では、被害をさらに広げてしまう結果になりかねません。今回は、筆者が見かけた「いまいちイケてない」インシデント対応を紹介します。
時期により異なるタイプの改ざん:
2013年8月22日、警察庁 情報通信局 情報技術解析課 課長補佐の山本均氏は、「Web改ざんの観測状況とその概要」について説明した。
トレンドマイクロは「ハクティビズム」目的の改ざんを警告:
5月末から、国内組織のWebサーバが改ざんされ、アクセスしたユーザーを不正なサイトに誘導してマルウェアをダウンロードさせた可能性がある事件が連続して発生している。
氷山の一角? 1つ1つの手口は既知でも、周到に組み合わせて準備:
マイクロソフトは10月9日、Internet Explorer(IE)に存在したゼロデイ脆弱性の修正(MS13-080)を公開した。ラックは、この脆弱性を狙った攻撃は、より巧妙化した標的型攻撃だったとし、注意を呼び掛けている。
HTML5時代の「新しいセキュリティ・エチケット」(2):
HTML5の新しい要素、属性による、いままでとは異なるクロスサイトスクリプティングが登場しています。もう一度、XSSをおさらいしましょう。
HTML5時代の「新しいセキュリティ・エチケット」(3):
“新しいXSS”は知識こそが対策の第一歩。基本の対策を行うことが重要です。XMLHttpRequestによるXSSも例外ではありません。
提供:合同会社シマンテック・ウェブサイトセキュリティ
アイティメディア営業企画/制作:@IT編集部/掲載内容有効期限:2014年10月31日
Copyright© 2024 ITmedia, Inc. All Rights Reserved.
Sponsored by
ITmediaはアイティメディア株式会社の登録商標です。