Webサイトの安全確認を3ステップで SiteLock

WordPressの脆弱性について(注意喚起)

平素よりSaaStartをご利用いただきまして、誠にありがとうございます。

2017年2月6日、内閣官房内閣サイバーセキュリティセンターから重要インフラ事業者各社に対して「WordPressの脆弱性について」と題した注意喚起が行われました。コンテンツマネジメントシステム(CMS)の一種であるWordPress(ワードプレス)のバージョン4.7.0、4.7.1において、外部から認証なしにコンテンツを書き換えられる脆弱性があるという内容です。この脆弱性を悪用したWebサイトの不正改ざんが多発していることより、該当するWordPressのバージョンをご利用のお客さまは、ご注意ください。

1. 想定される脅威

WordPress 4.7.0と4.7.1のREST APIに、認証なしにWebページを更新できる脆弱性が存在します。悪意ある第三者(攻撃者)にこれらの脆弱性を悪用されますと、Webサイトを改ざんされる、または様々な攻撃に利用されたりするリスクがあります。

2. 脆弱性の影響を受けるバージョン

WordPress 4.7.0
WordPress 4.7.1

3. 推奨される対策
  • WordPress 4.7.2 (2017年1月26日にリリース)へのアップデート
    該当するバージョンのWordPressの即時アップデートが難しい場合は、①WordPressのREST APIを無効化する②WAF(Web Application Firewall)での対応などもご検討ください。

また、不正改ざんの被害に備えて、SiteLockによる下記の対策も可能です。

  • WordPress診断(アプリ診断)を定期的に行い、脆弱性のないバージョンであることを確認
  • 「マルウェア診断」を用いて、マルウェアなどサイト内の不正なコンテンツが埋め込まれているか定期的に診断
  • 「SMART診断」を用いて不正改ざん監視、Webサイトの差分確認を定期的に実施

SiteLock サービス詳細
https://www.saastart.jp/service/websecurity/


年末年始の営業についてご案内

2016.12.21

年末年始の営業についてご案内いたします。
窓口によって営業時間が異なりますのでご注意ください。
お客さまにはご不便をお掛けしますが、ご理解賜りますようお願い申し上げます。

導入前のお問い合わせ、ご相談
12/26(月) 12/27(火) 12/28(水) 12/29(木) 12/30(金) 12/31(土) 1/1(日)
メール
9時~19時
メール
9時~19時
メール
9時~19時
メール
9時~19時
メール
9時~19時
メール
9時~19時
メール
9時~19時
1/2(月) 1/3(火) 1/4(水) 1/5(木) 1/6(金) 1/7(土) 1/8(日)
メール
9時~19時
メール
9時~19時
メール
9時~19時
メール
9時~19時
メール
9時~19時
メール
9時~19時
メール
9時~19時
導入後のお問い合わせ
12/26(月) 12/27(火) 12/28(水) 12/29(木) 12/30(金) 12/31(土) 1/1(日)
メール
10時~18時
メール
10時~18時
メール
10時~18時
休業 休業 休業 休業
1/2(月) 1/3(火) 1/4(水) 1/5(木) 1/6(金) 1/7(土) 1/8(日)
休業 休業 メール
10時~18時
メール
10時~18時
メール
10時~18時
メール
10時~18時
メール
10時~18時

休業期間中にお問い合わせいただいたメールに関しましては、順次回答いたしますのでお待ちいただけますようお願い申し上げます。

以上、ご利用のお客さまにはご迷惑をおかけしますが、何卒よろしくお願い申し上げます。


Webサイトの改ざんに関する注意喚起

平素よりSaaStartをご利用いただきまして、誠にありがとうございます。

2016年11月14日、内閣官房内閣サイバーセキュリティセンターによって「Webサイトの改ざんに関する注意喚起について」が発表されました。Webサイトの管理者は、サーバーの点検並びに被害防止対策を早急に実施することが呼びかけられています。

Webサイトが改ざん被害を受けた背景には、アクセス回数や閲覧者などWebサイトの利用状況等に関する調査活動を第三者が勝手に行う目的があると推測されています。

下記の確認が推奨されています。

  1. Webサイトのトップページなどに不正なファイルを読み込むスクリプトが埋め込まれていないか確認
    <script type="text/javascript" src="./index_old.php"></script>
  2. Webサイト内に「index_old.php」などの不審なファイルが設置されていないか確認
  3. Webサイト内のコンテンツが第三者によって改ざんされていないか確認
  4. Webサーバの FTP/SSH、Web アプリケーションのアクセス等のログを確認し、アクセス元 IP アドレス、アクセス日時、リクエスト URI などに不審な点がないか確認

不正改ざんの被害が広まっている中、SiteLockを利用して下記の対策を講じましょう。

  • 「アプリ診断」「XSS脆弱性診断」並びに「SQLインジェクション脆弱性診断」を定期的に行い、サイト内に狙われやすい脆弱性がないことを確認
  • 「マルウェア診断」を用いて、マルウェアなどサイト内の不正なコンテンツが埋め込まれているか定期的に診断
  • 「SMART診断」を用いて不正改ざん監視、Webサイトの差分確認を定期的に実施

SiteLock サービス詳細

参考情報:
@Police
Web サイト改ざんに関する注意喚起について (PDF)
https://www.npa.go.jp/cyberpolice/detect/pdf/20161114.pdf

JPCERT/CC
注意喚起「サイバー攻撃に備えてWebサイトの定期的な点検を」
https://www.jpcert.or.jp/pr/2016/pr160004.html


Webセキュリティサービス「SiteLock(サイトロック)」を提供開始

2016.09.28

平素よりSaaStartをご利用いただきまして、誠にありがとうございます。

GMOクラウド株式会社は、SaaS型サービスのポータルサイト「SaaStart」において、Webサイトの安全性を高めるWebセキュリティサービス「SiteLock」を本日2016年9月28日(水)より提供開始いたしました。

SiteLockは複数のセキュリティ診断を定期的に実施し、WordPressなど主要アプリの脆弱性、不正改ざん、マルウェアの有無などWebサイト上の脅威を検知するサービスです。脆弱性が見つかった時は、診断レポートに応じた適切な処置によって、不正アクセス、改ざん、情報漏えいなど被害を防止できます。また、事故発生時には、SiteLockにより正常なWebサイトへ復旧することも可能です。

この度のサービス提供開始を記念して、本日から2016年11月30日(水)の期間、「SiteLock」の初年度の月額利用料金を50%割引する「リリース記念キャンペーン」を開催いたします。

SiteLock サービス詳細

SiteLock リリース記念キャンペーン詳細



TOP