ノウハウをいつでも。ウェブマーケティングのポータルサイト

Movable Type Tips

ブログ・CMSのセキュリティ対策を行おう

このエントリーをはてなブックマークに追加
      
follow us in feedly
友だち追加数

素早い情報配信のために、ブログやCMSなどのパブリッシングシステムを利用している方は多いと思います。オンライン上のパブリッシングシステムは、便利な反面、インターネット経由の攻撃にさらされることが少なくありません。

皆さんが運営しているホームページ、ウェブメディアを安全かつ円滑に運用するために、ブログ・CMSソフトウェアのセキュリティは常に意識しておきたいポイントです。

今回は、Web改ざんなどのオンライン攻撃の実際、そして、どのように対策を考えるべきかについて、触れたいと思います。

オンラインデータの改変

日本シーサート協議会、そしてJPCERTのデータによりますと、2013年3月頃から、Webサイトのページ改ざんが続いているそうです。

Web改ざんのグラフ.png

(画像は日本シーサート協議会ウェブサイトより)

2010年前後は、Gumblr(ガンブラー)と呼ばれるメールに添付されたウィルスソフト、ならびにその亜種が原因の改ざんが多く見られました。最近の傾向では、Webサーバー上のデータに直接アタックを掛けて、改ざんするケースが目立ちます。その中には、ブログやCMSソフトに対するアタックも含まれています。

ブログやCMSに対する攻撃の実際

ブログやCMSに対する攻撃は、主に次の3段階に分かれて行われる傾向があります。

  1. 使用しているブログ・CMSの識別
  2. ブログ・CMS特有の脆弱性・弱点への攻撃
  3. データ改ざん
CMSハッキングのイメージ図

(イラストは「CMS Hacking -Analyzing the Risk with 3rd Party Applications」より)

攻撃者はまず、攻撃したいサイトがどんなブログ・CMSを利用しているかを特定しようとします。ブログ・CMSの種類、そして使用中のバージョンがわかると、すでに発見されている脆弱性から攻撃が可能となるからです。

また、ブログ・CMSによっては、管理画面の位置が特定しやすいものがあり、管理画面を集中的に狙った攻撃をしかけることも可能となります。現在は、IDとパスワードを順番に組み合わせて自動的にログインを試すようなプログラムも多く存在します。攻撃者は、そのようなプログラムを利用して、自動的に管理画面の権限を奪取しようとしてきます。

実際にブログ・CMSの脆弱性の攻撃が成功、または管理画面の操作権限を奪取が成功すると、そこから公開されているホームページの改ざんができてしまいます。例えば、管理画面に総当たり攻撃(ブルートフォースアタック)をかけて、管理権限を奪取、悪意のある改ざんや画像の公開を行うものです。

攻撃を回避するために

それでは、このような攻撃を回避するためには、どんな点に注意すべきでしょうか。対処方法をいくつかご紹介します。

常に最新版のバージョンを使う

古いバージョンのソフトウェアを使ったままだと、そのバージョンが脆弱性を内包している場合、攻撃されてしまいます。一般的に、ソフトウェアは新しいバージョンにおいて、過去に見つかった脆弱性に対して対応を行っていますので、できるかぎり最新版にバージョンアップを行うようにしましょう。

管理画面にアクセスしづらくする

ソフトウェアの管理画面のURLを、オンライン上からは想像しづらい場所に隠したり、管理画面に対してベーシック認証を掛けることで、攻撃者は容易にアタックがしづらくなります。オープンソース系のブログ・CMSでは、管理画面の場所を変えることが難しいソフトウェアもあるため、注意が必要です。

IDとパスワードを推測しづらいものにする

パスワードは、文字数が長いほど、セキュリティレベルがあがります。また、アルファベットだけでなく、数字や記号を混ぜることで、さらに破られる危険性が下がります。

例えば、4桁+数字のみでパスワードを生成する場合、その組み合わせは10万個ほどになります。一方で、6桁+英数字のパスワードを生成する場合、その組み合わせは570億個にまで広がります。 このように、パスワードの桁数、文字種類を増やすことで、セキュリティのレベルはグッと上がります。

上記のようなポイントを意識するだけで、攻撃や改ざんの危険性はぐっと下がることでしょう。

もしMovable Type をお使いの場合は、以下の記事に記載されているような対応を行うことで、さらにセキュリティレベルは上がります。ぜひご一読いただき、皆さんがお使いのMovable Type の設定を見なおしてみてください。

© MAKEPO

 
このエントリーをはてなブックマークに追加
   
follow us in feedly
友だち追加数

著者情報

オサナイタケシ

長内毅志

Movable Type プロダクトマネジャーを経て、現在、Movable Type エバンジェリスト兼デベロッパーリレーションマネジャー。

他の参加者を見る

長内毅志

関連記事

マーケティングノウハウ足りてますか?

MAKEPOのメルマガ…購読してみませんか?
直近のピックアップ記事のほか、セミナー・ツール活用情報など不定期でお伝えしています。「サイトにアクセスするのは面倒だ!」「電車の中でざっくり読みたい」という方は是非ご登録ください。 リアルタイムで情報取得をしたい方は、RSSまたは公式Twitterをフォローしてご覧ください!

通勤中の情報収集に!

メルマガ登録

いますぐ新着情報を知るなら

LINE@で友だちに追加!