利便性から広まったCMS、その落とし穴とは

　CMS（コンテンツ管理システム）とは、Web上に情報発信するコンテンツを効率的に作成・管理するソフトウェアの総称である。個人のブログ、SNSの普及はもちろん、企業のイントラネット拡充や自社のメディア（オウンドメディア）化が進む昨今、誰もが一度はCMSの利用経験があるのではないだろうか。

　しかし、その便利さは危険と隣り合わせでもある。

　CMSを使ったサイト管理の際、Webページの更新等を簡単に行うためにCMS等のパスワードをシンプルなものに設定されている状態、また一度導入したCMSがアップデートされず、脆弱性が修正されていない状態になっていることがあるというのだ。

　犯罪者はそれらに目を付けてウェブサーバに不正にアクセスし、CMS等の管理者パスワードを破る、またはシステムの脆弱性を突くことで、CMS等を操作できるようにする偽サイトへ誘導するためのページを設置する。

　この点について注意喚起を発したIPAによれば、古いCMSバージョンにより危険な状態にあると届けられたサイトのうち20パーセントが、サイトの運営者に連絡がとれない、脆弱性対策の目処が立っていないという。その理由は以下の通り。

・自組織のウェブサイトにCMSが使われているという認識がない
・脆弱性がある古いバージョンのCMSを使用する危険性を認識していない
・委託先との契約が終了するなどの理由で、ウェブサイトの管理者が不在である

　サイトごとの事情はあるだろうが、かなりの割合で運営者側の意識の低さを示しているともいえる。ここで管理者不在というのはほとんど更新もされず放置されたサイトということだろう。

　また、IPAは脆弱性が狙われるCMSとして2つを挙げている。

　ひとつは、WDP（Web Diary Professional）だ。WDPは、すでに開発元が開発・サポートを終了しており、代替のツールに移行を勧めている。

　もうひとつは、Movable Type（MT）だ。こちらは、CMSの草分けともいえる存在で、現在もバージョンアップやサポートも続けられている利用者が多く歴史もあるサービスだ。利用者が多いということはそれだけ脆弱性を狙われる可能性が高くなるわけで、IPAでは、最近のWordPressやJoomla!も、注意が必要だと指摘している。

クラウド上の放置サイトが被害を拡大する恐れも

　想定される被害は、CMSの脆弱性をついてサーバーに侵入したり、サイトを改ざんしてウイルスに感染させるようにしたり、バックドアを仕掛けてさまざまな攻撃の踏み台にされることが懸念されている。実際の被害も報告されている。カスペルスキーのブログでは、WDPを使っている汚染サイトでは、ページ改ざん、スパムメールの送信ツール、DDoSツール、バックドアなどが発見されたとしている。

　WDPの脆弱性はパスワードハッシュが外部に漏れる可能性があるというものだが、おそらくパスワードクラックツールを使いハッシュを解読し、サーバーに侵入し、上記の改ざんを行ったものと思われる。

　さらにカスペルスキーのブログでは、クラウドサービス内のWebサイトがこの攻撃を受けていた例を発見し、そのサーバーがかかえる他のWebサイトまで改ざんできる状態にあったと指摘している。

【次ページ】放置されたサイトでCMSを使っていないか？