脆弱性とは何か、放置するとどうなるか
脆弱性は、「欠陥」というより「隙間」
脆弱性とは、ソフトウェアやシステムの設計・実装上に存在する、意図しない弱点のことです。「バグ」と混同されることもありますが、バグが動作の不具合を指すのに対し、脆弱性は「悪用されると不正な操作を許してしまう隙間」という性質を持ちます。
CMS本体、プラグイン、テーマ、Webサーバーのソフトウェアなど、Webサイトを構成するあらゆる部分に、脆弱性が見つかる可能性があります。
見つかること自体は、珍しいことではない
広く使われているソフトウェアほど、多くの人の目にさらされているため、脆弱性が発見される頻度も上がります。脆弱性が見つかること自体は、そのソフトウェアの品質が低いことを必ずしも意味しません。むしろ、発見と修正が継続的に行われている証でもあります。
問題になるのは、見つかった脆弱性が公表されたあとも、利用側で対応(更新)がされないまま放置される場合です。
公表された瞬間から、悪用のリスクが始まる
脆弱性が公表されると、修正パッチの情報と同時に、その脆弱性を悪用する方法も攻撃者側に知られることになります。公表から悪用の試みが始まるまでの期間は、年々短くなる傾向にあると言われています。
運用しているWebサイトが使っているソフトウェアのバージョンが古いままだと、既に手口が広く知られている脆弱性を突かれるリスクにさらされ続けることになります。
放置すると、何が起きるか
放置された脆弱性は、管理画面への不正侵入、ファイルの改ざん、個人情報の抜き取りなど、さまざまな被害の入り口になります。攻撃者は特定のサイトを狙うというより、脆弱性を持つサイトを機械的に探して回るため、規模の大小を問わず対象になります。
一つの脆弱性が直接大きな被害につながらなくても、他の弱点と組み合わされて侵入経路として使われることもあります。
更新するだけでは、完結しない
脆弱性への基本的な対策は、ソフトウェアを最新の状態に保つことです。ただ、更新が公開されるまでの空白期間(ゼロデイの状態)や、更新をすり抜けて仕込まれた不正な変更には、更新だけでは対応できません。
更新の徹底と、更新後も含めた継続的な監視は、どちらか一方では成立せず、両方を組み合わせて初めて意味を持ちます。
まずは、何を使っているかを把握する
脆弱性対策の出発点は、運用しているWebサイトがどのソフトウェア・プラグイン・テーマで構成されているかを把握することです。何を使っているか分からなければ、どの脆弱性情報に注意すべきかも判断できません。
構成の棚卸しは地味な作業に見えますが、脆弱性対策全体の土台になります。
脆弱性を突かれる前に、Scanrollが気づきます
詳しく見る →