WordPress改ざん多発

ホームページ改ざんが増えているなか、バージョンの古いWordpressが狙われています。

改造をしていると、更新して、表示が変わらないか不安になるところですが、変更されてしまっては、元も子もありません。最新は3.6ですが、ある程度バージョンが上がっていれば、それほど、大きな作業にはなりません。しかし、万が一に備えて、最低限全ファイルの保存と、データベースのバックアップは必要です。

改造が行われている場合、その後、改造部分を修正して行くことになります。

Movable Typeでも急増していますので、これら2つのシステムを導入されている方は、面倒でも、バージョンを確認してみててください。

危ない投稿フォーム

投稿フォームで成り済まし事件が多数発覚した。

「遠隔操作ウィルス」でTBSと弁護士に犯行声明- スポーツ報知(2012年10月16日08時00分)

もちろん、警察の捜査にも問題があっただけでなく、それを許してしまった無防備な掲示板や問合せフォームの存在がある。

会社のパソコンのセキュリティ対策はもちろん、ホームページの問い合わせフォームについてもチェックしてもらいたい。以下に、最低限の項目をまとめてみた。 “危ない投稿フォーム” の続きを読む

Google、IE6のサポート終了へ

CNETが”グーグル、「IE 6」のサポートを終了へ“と報じている。

事の発端はマイクロソフトのブラウザ、インターネットエクスプローラのバージョン6(略称IE6)にあった脆弱性をつかれ、グーグルがサイバー攻撃を受けたことにあるようだ。サーポート終了と言っても、検索ができなくなるわけではなく、文書を共有できるGoogle Docsやサイトを作れるGoogle Sitesなどのグーグルが提供するサービスの動作保証をしないというものだ。

IE6など古いブラウザはホームページ制作にとっては、頭痛の種だ。特にIEは、世界標準に準拠しない表示方法を採っていたり、Javascript(表示用プログラム)が違うなど、あまり、凝ったサイトを作成すると、個別に対応・動作試験・表示テストが必要になる。しかも、違うバージョンの同じブラウザを1つのOS上にインストールできないので、最悪、別のPCが必要になる。

この発表で、サイトの保有者にIE6のサポートを保証しない旨を伝えやすくはなったが、景気の悪さもあり、PCの買換が進まない現状では、IE6はしばらく生き延びるであろう。しかし、セキュリティ面では最新を使わないのは危険である。使い勝手が違うという理由やアンチウィルスソフトがあるから大丈夫などと考えてはいけない。ホームページ制作などで表示テストが必要などの特殊な事情がない限り、新しいソフトにバージョンアップして欲しい。これは、自分を守るだけでなく、ネットでつながっているみんなを守ることにもなる。

“Google、IE6のサポート終了へ” の続きを読む

ウェブサイトを改ざんするマルウェア続報

ウェブサイトを改ざんするマルウェア広がるで紹介したウィルスが依然猛威をふるっている。(CNET記事:Gumblarウイルスが再び猛威、被害の53%は企業サイト–セキュアブレイン調べ)

対策には注意が必要である。手順を間違えると、駆除できなかったりする。自社がウェブ制作会社の場合は、特に注意が必要である。駆除するつもりが、他のサイトへ感染を広げてしまう可能性もあるからである。

対策を採る前に、IPAのサイトなどで、手順をよく調べ、チェックシートなどで慎重に対処して欲しい。

ウェブサイトを改ざんするマルウェア広がる

ZDNetの記事で、ホームページを運営者の知らないところで書換え、さらにそのプログラムを広めるコンピュータウィルスが広まっていると報じている。(ZDNet記事:ウェブサイトを改ざんする「Gumblar」に似た攻撃が発生、大感染の可能性も

Gumblarは、2009年の春から広まったマルウェアで、サイトを閲覧しただけで、PCに感染を広げ、そのPCからサーバーのアクセスパスワードが盗まれ、新たな感染源となり、被害を広げていく。感染元のサイトでは、サーバーへのアクセスパスワードを盗まれている可能性が高く、駆除した後は、パスワードの変更の必要がある。多数のサイトの管理をおこなうウェブ制作会社には、一番厄介なウィルスだ。

そのGumblarに似た新種が発見されたのである。対処法は、InternetWatchに詳しく書かれているが、くれぐれも、処理の順番を間違えないようにしなければ、かえって感染を広げることになるので、注意が必要である。(InternetWatch記事:被害が多発する「Gumblarウイルス」への対策を実施しよう

手順は以下のようになる。

  1. まず、自分のPCが感染していないことを確認する。(あるいは駆除をおこなう。)
  2. AcrobatReaderやFlash Playerを最新にアップデートする。
  3. OSも最新に更新する。
  4. 管理しているサイトの感染チェックは、ブラウザで行わない。(感染してしまいます。)FTPでファイルの不審な更新履歴を確認するか、PCにダウンロードして、ウェイルスチェックをかける。

感染がわかったら、サーバーのパスワード(FTPアクセス)は駆除後に変更する必要があります。パニックにならず、慎重に確認作業を進めてください。

IPAの役割-その後-

先日、独立行政法人情報処理推進機構(IPA)が存在意義をアピールする記者会見を久しぶりに開いたことを取り上げたが、矢継ぎ早に発表をおこなっている。

最初の3つは、同じ会見の別の記事だが、セキュリティに関する話題である。大手企業では、チームを置いたり、それなりの人材、資金をつぎ込んでセキュリティ対策をおこなえるが、中小企業ではそうはいかない。しかし、ネットワークでつながれている、現在のシステムでは、弱いところがあれば、そこからどんどん攻め込まれ、全体の安全も脅かされてしまう。中小企業は企業数からみれば、全体の9割以上、80万社以上ある。家で使われている、セキュリティ対策のあまいパソコンも考えると、そこら中抜け穴だらけ、対策がないも同然である。自社の営業活動をまもるためにも、社会全体に悪影響を与えないためにも、セキュリティには配慮が必要である。専門家の置けない企業は、IPAのホームページで、是非、知識を取得して欲しい。

一方、IPAには、セキュリティだけでない面もある。そのニュースがスーパークリエイターの発表である。クリエイターといっても、芸術家を想像しがちであるが、かれらは高度な技術者である。

機構自体の存続、公的機関であるべきかの判断は、弊社のあずかり知らぬところでおこなわれるだろう。このブログが少しでも応援となれば、幸いである。

IPAの役割

このブログでもちょくちょく取り上げる独立行政法人情報処理推進機構(IPA)の理事長が久々の会見を行った。(BCN記事:IPA 求められる新たな施策 政権交代の影響は?) 記事は政権交代に際し、どの独立行政法人もコストカットの対象となり、戦々恐々としていると言う主旨である。

筆者としては、IPAの意義は十分にあると考える。とくにセキュリティ関連の情報は、民間企業が行えば、自社製品が関連する場合、どうしても100%の信頼がおけなくなる。中立の立場の組織が評価や統計を公表するのには意義があるだろう。もちろん、その運営にあたっては、必要十分な経費でまかなうこことが望まれるのは言うまでもない。

筆者自体はIPAのことを、情報系の展示会で知ったのだが、そのブースは目立たず、一見無駄にみえるが、費用をかけずに、広く活動を告知するのは、非常に難しいことである。講習会など、いろいろな手法を試されていると思うが、今後とも、がんばって欲しい。