MENU

脆弱性放置!責任は Web制作会社に

2017年4月15日

ご自分のWebサイトが何で作られているのか、

ご存知ないのであれば、

一度ご自分のWebサイトを制作した会社に連絡して、

脆弱性などの問題は、ないのかどうか・どうか確認してみてください。

 

脆弱性放置は、なにもWordPressサイトだけじゃない(※1)


 

2017/1に155万ものサイトが改ざんされた、WordPress4.7と4.7.1の脆弱性を突いたもの。

WordPress脆弱性

XSS と CSRF

2017/2に対応バージョンの4.7.2が発表され、やっと一息ついたと思いきや

2017/3/7にバージョン4.7.3が出た

これは、バージョン4.7.2だけじゃなく、

それ以前のバージョンに脆弱性(XSS:クロスサイトスクリプティングと、CSRF:クロスサイトリクエストフォージェリ)が発見されたことに対する対応必須のバージョンだった。

XSS,CSRF

(2017/4/15現在WordPressに関する新しい脆弱性の発見は無い)

 


 

すっかりWordPressにお株を奪われてしまった日本のWebサイトだが、

WordPressシェア

出典:W3Techs 2017/04/15時点、82.4%


 

脆弱性 

脆弱性が放置されたままのWebサイトはWordPressだけに限らない

 

仕事柄

たまたま訪問したサイトが、Movable Type 4.1で作られていました。

 

そしてWordPressの様な脆弱性はないのだろうな?と、Movable Typeのオフィシャルサイトを訪問してみたところ・・・

 

Movable Type 

Movable Type 4.1にもXSS(※3)とCSRF(※4)の脆弱性があり

このサイトも2008年に制作された切り、一度もメンテナンスされていないことがわかりました。

 

2008年には既に対応バージョンの4.2がリリースされており、2017/4/15時点の最新バージョンは6.3.2です。

 

そして2018年初頭にはバージョン7が公開されるそうです。

 

2017/4/3発表。・・・Movable Type(※2)もしっかり対応もバージョンアップによる機能アップも進んでいる様です。

 

 

このバージョン4.1のサイトオーナーさんにも早速、連絡差し上げたのですが、

既に10日が経ちましたが、

残念ながら、未だもって何のアクションもされていない様です。

 手紙で、丁寧に必要な処置をお知らせしたつもり・・・なのですが、

(ホームページ制作の売り込みとでも取られたのでしょうか?)


 

もっと残念なのが、

既に改ざんされてしまったところも、数か所あり

Mailやら、手紙で連絡差し上げたにも関わらす

いまだに、改ざんされたままの状態で放置されていることです。

フィシングサイトに誘導

  アンチウイルスソフトで、フィッシングサイトへのアクセスをブロックしたときの画像キャプチャです。

(色が違うのが、キャプチャ時のアンチウイルスソフトのバージョンが違うからです。)

フィシングサイトに誘導


 

なんだか、むなしくなってしまうのだけれども

この様な形で

警鐘を鳴らし続けるしかないのが、現状です。

 

Web制作会社がまず行うこと

そこのところは、Web制作会社の皆さんももう少し努力してほしいと思います。

 

✔  一方的な説明で済ますだけじゃなく、理解してもらうことが大事です。

 

✔  WordPressや、Movable Typeでサイトを作ったのなら

 

✔  保守の大切さ・・・というより、必要性を丁寧に伝えて、理解して戴くのです。サイトオーナーに

 

✔  Webサイトは作った切りでは、いけない事をサイトオーナーの皆さんに分かって戴けるような努力をしていただきたいと思います。

 

他山の石

✔ 155万ものサイトが改ざんされた、セキュリティ事故を、対岸の火事だと思わない様にしていかなければ、なりません。

 

✔  Webサイトが終焉することは無いかも知れませんが、

 

✔  新しくWebサイトを作っていくことがどんどん少なくなって行き・・・いずれサイト制作会社が困ることに、

 

お薦めしたいこと

また、このブログを読んで下さっている

 

あなたがWebサイトをお持ちで、あなたのWebサイトがどの様に作られているのかを知る事、必要です。

 

工業製品の様に保証も、製造者責任もなく、

車の様に年間のメンテナンスや車検が義務付けられたものでもないWebサイトですが、

何のメンテナンスもせず作った切りでは済まされない場合もあります。

 

本来は、

Webサイトがどの様な技術で作られているかなど、サイトオーナーにとってはどうでもよく、

Webサイトを持つことが目的でもないのですから、

 

この様な事に時間を割いたり、気を使ったりする必要がなく、

サイト制作会社に任せて行けば良いと思われても不思議でもなんでもない事であるべきなのですが

 

、・・・

 

 

 WordPressの様に、常に脆弱性に晒されているもの

(利用者数が圧倒的に多いということは、攻撃者にとっても格好のターゲットであり、ターゲットにするメリットも大きいのです)

 

ご自分のWebサイトが何で作られているのか、

 

ご存知ないのであれば、

一度ご自分のWebサイトを制作した会社に連絡して、

 

脆弱性などの問題は、ないのかどうか・どうか確認してみてください。

 

あなたは、なぜWebサイトをお持ちなのでしょうか?

 

あなたは、何故Webサイトをつくったのでしょうか?

 

あなたのWebサイトがWordPressで作られているのなら

 

常にセキュリティ対策が必要です。

 

そして、バージョンアップなどの保守が必要です。

 

現時点でも、Webサイトが作られたときのまま
バージョンアップされていない多くのWordPressサイトが運用されています。

 

Webサイト オーナーにも、

バージョンアップなど、最低限の保守を行う責任があります。

 

あなたのWebサイトを訪れる

あなたのお客様になってくれるかも知れない人たちが

意識しない内にフィッシングサイトに誘導され被害者にならない様に

あなたが、知らない内に犯罪の片棒を担ぐことにならない様に

 

脆弱性が明らかになっているものについては、

バージョンアップで対処しましょう。

 

WorsPress本体だけでなく

プラグインやAPIなどにも脆弱性が潜んでいます。

 

分からないことは、

どうか、あなたのWebサイト制作会社に協力を求めましょう。


 

 

1.WordPress 

WordPress (ワードプレス) は、オープンソースのブログ/CMS プラットフォームです。セマンティック Web、コードやデザインの美しさ、Web 標準、ユーザビリティなどを意識して開発されており、無料でダウンロードして使うことができます。

 

2.Movable Type 

Movable Type は、安全で効率的なウェブサイト運用を可能にするCMSプラットフォームです。

豊富なラインナップで、小規模からエンタープライズまで幅広いサイトの構築を低コストで対応可能。

クラウド版なら、より速く、安全な環境で、安心してウェブサイトを運用できます。

さらに Data API が、柔軟なサイト構築、他のプラットフォームとの連携はもちろん、ウェブにとどまらないコンテンツ管理を実現します。

 

3. XSS:  クロスサイトスクリプティング 

攻撃者は、XSS脆弱性のあるWebサイトにユーザを誘導することにより、ユーザ環境で不正スクリプトを実行させることができます

 

4. CSRF: クロスサイトリクエストフォージェリ 

  • 攻撃者は攻撃用Webページを準備し、ユーザがアクセスするよう誘導します
  • ユーザが攻撃用Webページにアクセスすると、攻撃用Webページ内にあらかじめ用意されていた不正なリクエストが攻撃対象サーバに送られます
  • 攻撃対象サーバ上のWebアプリケーションは不正なリクエストを処理し、ユーザが意図していない処理が行われてしまいます

 

新着記事

サイトをリニューアルしました。といってもこのサイトではありません

◇2018年7月26日◇

当然ですが 今まで、他のテーマでアップしていたサイトの コンテンツを全面リニューアルです。今回のリニューアルに際して意識した点は、顧客視点。使いやすく、分かりやすいサイト。検索から訪れて来てくれた人たちのベネフィットがあること

あたりまえのアダムス

◇2018年4月22日◇

 もし、 あなたが、つねに改善を求めているのならば、 この本は、 あなたが今まで読んだ本の中でも最も興味深いものになるでしょう。          もし、 あなたが、 何らかの成果を求め続けているのならば、 私が今からお伝えす

自然言語検索があなたのWebサイト集客にもたらすもの

◇2018年4月8日◇

    「ググる」ということをあなたも行ったことがあると思います。   と、 言うか、 今ではほとんどの人が、 「ググる」ことなしに日々を過ごしているとは思えません。     それほど、日常生活に溶け込んでいます。    

MFI始まる。あなたのサイトは大丈夫ですか?

◇2018年3月30日◇

  いよいよ始まります。 Googleが長期にわたってテストと検証を行ってきた モバイルファーストインデックス もし、あなたがWebサイトをお持ちなら、 モバイルに対応する必要性をお感じなら、 この記事を読んでみてください。

あなたのサイトに自然言語検索がもたらす影響

◇2018年3月20日◇

あなたのビジネスはもっとWebを活用すべきです。Webなら大企業より小回りの利く地域ビジネスの方が断然有利です。自然言語検索の実現は、文脈を理解する技術をもたらします。あなたのお客様になってくれるかも知れない人たちに向けたコンテンツを作成し、検索エンジンに…

思いをつたえる

◇2017年12月2日◇

 あなたは、どの様にお伝えしていますか?あなたが、ご自分のサービスや商品を紹介するときサービスの特徴や商品の性能や機能の説明になっていませんか?「つたえる」伝わらない。人とひとをつなぐもの、それは、

つながり つながる

◇2017年7月17日◇

どんなことでも、つながりがあることは、とても大切で・大事なことです。今日は、趣向を変えて、この、「つながり」について考えてみようと思います。先日、と言っても・・・1か月以上も前のことです。

人気記事

前の記事で、集客にはスマホ・サイトの充実が必要だと書きました。    何故、スマホ・サイトが必要かとお思いでしょうか? それは、既存のHP(ホームページ:サイト※1)は、   パソコンの大きな画面で見ることを前提に作られている

この記事の関連記事

  いよいよ始まります。 Googleが長期にわたってテストと検証を行ってきた モバイルファーストインデックス もし、あなたがWebサイトをお持ちなら、 モバイルに対応する必要性をお感じなら、 この記事を読んでみてください。

あなたは地域ビジネスのオーナーです。 あなたはホームページ(Webサイト)で集客をねらっています。 でも、中々Webサイトからの集客につながっていません   どうしてでしょうか?     一度あなたのWebサイトを見直してみるのも

 もし、 あなたが、つねに改善を求めているのならば、 この本は、 あなたが今まで読んだ本の中でも最も興味深いものになるでしょう。          もし、 あなたが、 何らかの成果を求め続けているのならば、 私が今からお伝えす

まず質問です。 あなたは何故Webサイトをお持ちなのでしょうか?     あなたのWebサイトは、お役に立っていますか? いまはまだ課題を認識されていないのかも知れませんが、・・・   あなたのWebサイトには2つの問題になりうる

つたえる   伝わらない   人に何かを話した時   あなたは、こんな風に感じたことはないでしょうか?   または、     どんな風に 話したたら伝わるだろうかた考えたことは、   ありませんか?   たわいもない


最新記事

« 前123456...25次 »

アーカイブ

2015

お知らせ

 

お知らせ

こんにちは

会社情報

合同会社 アルファ・ITC

 https://a-itc.info

上記サイトは、新しいスマホ最適サイトです

 

 

このサイトは、

IT有資格者(ITコーディネータ)が、

 ご提案する 集客(顧客獲得)に特化したサイトの制作例です。

電話番号

080-4433-7227

所在地

〒230-0041
神奈川県横浜市鶴見区


© 2018 スマホ最適化ホームページで商売繁盛。あなたも! All rights reserved.