Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

セキュアブレイン、Web改ざん対策ソリューションに簡易脆弱性診断機能を追加

2017/04/27 15:45

 セキュアブレインは、Web改ざん対策ソリューション「GRED Web改ざんチェック Cloud 」にワンクリックでWebサイトの脆弱性を診断する機能を追加した。このリリースでは、2017年2月に多数報告されたWordPressの脆弱性を悪用する改ざんに対応するため、WordPressで作成されたWebサイトを対象とするが、今後他のウェブアプリケーションの診断機能も追加していく予定。

 セキュアブレインは、2009年よりSaaS型Web改ざん対策「GRED Web改ざんチェック」の販売を開始し、昨年3つの検知エンジンを追加し悪意のある改ざんを高精度に検知する「GRED Web改ざんチェック Cloud」をリリースした。「GRED Web改ざんチェック Cloud」は、セキュアブレインの解析エンジンが、一般的なWeb閲覧と同じように、インターネット側からWebサイトをチェックし、コンテンツに不正なスクリプトや、クロスドメインスクリプト(想定外の外部ドメインへアクセスする不正な改ざん)を検知すると、管理者にアラートメールを配信するとともに、詳細レポートを提供する。

 詳細レポートでは、改ざんを検知したURLと改ざんのカテゴリを表示。また検知したページのソースコード内で改ざんの疑わしい箇所をハイライト表示するため、より迅速な対応が可能になる。

 WordPress.orgが提供するWordPressは、オープンソースのCMS(コンテンツマネジメントシステム)で、 世界的に広く普及しているが、シェアが高いために攻撃者に狙われる傾向にある。セキュアブレインでは、WordPressの脆弱性をついて、トップページをまるごと変えて政治的なメッセージを表示させる改ざんや、閲覧者にマルウエアをダウンロードさせる改ざんを多数確認している。これらの改ざんの多くはWordPressを最新バージョンにアップデートすることで防げるため、自社で使っているWordPressのバージョンを定期的にチェックすることが重要だという。

 「GRED Web改ざんチェック Cloud」の簡易脆弱性診断機能は、Web管理者がGREDの管理コンソールにログインし、診断実行ボタンをクリックするだけで使用しているWordPressのテンプレートやテーマ、プラグインに脆弱性がないかをチェックする。脆弱性ありと診断した場合、脆弱性のあるバージョンと脆弱性の内容を表示し、アップデートなどの情報を提供しているウェブサイトのURL等、参照情報を表示する。

関連リンク

著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。


All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5