セキュリティとか運用とか…技術や話題など思いつくまま
本日公開されたJPCERT/CC(JPCERTコーディネーションセンター)の報告に、コンテンツ管理システム(CMS)のセキュリティについての記事がありました。
JPCERT コーディネーションセンター Weekly Report
CMSは主にWebサイトの内容を管理し、レイアウトやテーマなどを維持しつつ、記事の更新などについて簡易に利用出来る様に作られたアプリケーションです。
htmlの意味を知らなければいけないものから、管理者の承認が無ければ公開されないようなシステム、また記事のレイアウトを視覚的に編集できるような高度なものまで、多種多様なCMSがあります。
OSS公開されている物も多く有り、記事の管理などのため、MySQLなどのデータベースシステムを利用して使用する物が多いです。
OSS公開されていたり、構築手順がインターネット上で調べやすいことなどもあり、多くのシステムが利用されていますが、他のアプリケーションと同様脆弱性などが発見されることもあり、随時バージョンアップされています。
しかし、世の中の多くのCMSはバージョンアップ対応をせず、構築時の環境をそのまま使用し、脆弱性が残されたままの物が多く存在しています。
Webサイトのhtmlソースを確認すると、どのCMSを使用した物かを知ることは簡単です。
世の中に公開された脆弱性情報は、攻撃者にも伝わる情報ですので、CMSを古いまま使用することは攻撃者に攻撃の機会を与えることにつながります。
CMSのバージョンアップは、データベース情報がそのまま利用できない場合もあるため、システムに詳しい方がいらっしゃらない場合、専業者に依頼する必要があり、費用がかかります。
こういった事情からバージョンアップが行われず、そのままになっている物と思われますが、攻撃の種類によっては自社だけで無く、Webサイトへの訪問者や取引先・顧客に被害を及ぼす可能性もあります。
Webサイトの公開と維持には、費用がかかることを改めて認識して、適切な利用と管理を行いましょう。