「余計なお世話だ。時間ができたら更新しようと思っていた」思わずそうつぶやきたくなるような呼びかけを、IPA(情報処理推進機構)が発している。管理のできていない Web サイトは閉鎖を検討するよう、企業、組織、そして個人にも促すものだ。だが、同機構の訴えは一面もっともでもある。

「あなたのサイト、管理できていないなら閉鎖の検討を」IPA が呼びかけ-- CMS のぜい弱性懸念
改竄によって Web サイトの閲覧者がウイルス感染する図(出典:IPA)

IPA が閉鎖を検討するよう勧めているのは、古い CMS(コンテンツ管理システム)で運用している Web サイト。最近はこうした CMS の脆弱(ぜいじゃく)性を狙って、改竄(かいざん)が横行している。

特に、Web Diary Professional(WDP)や Movable Type といった CMS については攻撃が活発化しているという。同社は2013年にも両 CMS に関して注意喚起をしている。

IPA が2014年5月以降にあらためて両 CMS の運用状況を調べたところ、WDP を使っている例を170件、特定の問題があるバージョンの Movable Type を使っている例を70件検出した。この件数は潜在する問題のあるサイトのごく一部に過ぎないとしている。

IPA の脆弱性届出窓口にも、危険な脆弱性を含む古いバージョンの CMS で運用しているサイトについての報告が累計241件あったという。しかしそのうち、管理者に連絡が取れない、または連絡後 30 日以上経過しても脆弱性解消のめどが立っていないサイトは6月19日時点で50件にのぼる。

こうしたサイトの特徴として、「そもそも CMS を使っているという認識がない」「脆弱性がある古いバージョンの CMS を使う危険性を認識していない」「委託先との契約が終了するなどの理由で管理者が不在」などがある。

サイバー犯罪者などにとって、古い CMS を見つけ出して標的にするのは容易。IPA は、もし管理者の不在などで CMS の移行、新バージョンへの更新などの作業が困難な場合はサイトの公開を停止するよう呼びかけている。

なお、WordPress や Joomla! など利用者の多い CMS にも、サイトの改竄が可能な深刻な脆弱性は多数見つかっていると、IPA は指摘している。いずれの CMS にせよセキュリティ対策は重要だ。