「Webサイト改ざん」事件が次々と報告されている。IPAによる注意喚起から、Webサイト改ざんへの対策と心構えができているか、再度チェックしよう。
手のかかるアプライアンスから、運用をアウトソースできるWAFへ。シマンテックがクラウド型WAFを推す理由とは。
2014年5月下旬、企業サイトから公式に配布されているドライバーソフトやサイト中のJavaScriptなどが改ざんされ、オンラインバンキングを狙うマルウェアがダウンロードされてしまう事件が相次いで発生した。その原因はWebサイト運用で利用していた「外部サービス」にあるという。
3月中旬以降、複数のWebサイトで、Webサーバ「Apache」に不正なモジュール「Darkleech Apache Module」が仕込まれ、アクセスしてきたユーザーのPCをマルウェアに感染させる被害が相次いで報告されている。
IEのゼロデイ攻撃で最初のトリガーとなった「Web改ざん」。改ざんされた後の対応次第では、被害をさらに広げてしまう結果になりかねません。今回は、筆者が見かけた「いまいちイケてない」インシデント対応を紹介します。
2013年8月22日、警察庁 情報通信局 情報技術解析課 課長補佐の山本均氏は、「Web改ざんの観測状況とその概要」について説明した。
5月末から、国内組織のWebサーバが改ざんされ、アクセスしたユーザーを不正なサイトに誘導してマルウェアをダウンロードさせた可能性がある事件が連続して発生している。
マイクロソフトは10月9日、Internet Explorer(IE)に存在したゼロデイ脆弱性の修正(MS13-080)を公開した。ラックは、この脆弱性を狙った攻撃は、より巧妙化した標的型攻撃だったとし、注意を呼び掛けている。
HTML5の新しい要素、属性による、いままでとは異なるクロスサイトスクリプティングが登場しています。もう一度、XSSをおさらいしましょう。
“新しいXSS”は知識こそが対策の第一歩。基本の対策を行うことが重要です。XMLHttpRequestによるXSSも例外ではありません。
提供:合同会社シマンテック・ウェブサイトセキュリティ
アイティメディア営業企画/制作:@IT編集部/掲載内容有効期限:2014年10月31日
Copyright© 2024 ITmedia, Inc. All Rights Reserved.