教員
職員
立命館CSIRTより情報セキュリティに関する注意喚起です。
対象者
Webサーバを運用管理する情報システム設置者および情報システム運用管理者
注意喚起内容
文部科学省よりWebサーバーの運用管理に関する注意喚起がありました。
CMS(コンテンツ管理システム)に関するセキュリティ事案が国内で多発しています。
十分な対策を実施しなかった場合、 不当に入手したアカウント情報や脆弱性を用いて、コンテンツの改ざん、迷惑メールの送信などの情報セキュリティ事故につながるおそれがあります。
ついては下記を参照のうえ、 WebサーバーおよびCMSの運用における対策の強化をお願いします。
情報セキュリティ事故の主な原因
- 脆弱なパスワードの利用
- ソフトウェア更新の不備
- 脆弱性対応の不備(特に、XML RPC APIの悪用)
- 不要なサービスやアカウントの停止又は削除の未実施
対策
- WordPress、Movable Type(PowerCMS含む)において、不要な場合はXML RPC APIを停止する
- 十分な強度を持ったパスワード及び二要素認証を利用する
- OSやミドルウェア(Apache HTTPサーバ等)、CMS(プラグインを含む)については常に最新(プラグインを含む)については常に最新のものとし、修正パッチがリリースされた場合には速やかに適用する(自動アップデート推奨)
- CMSの運用業務を外部委託している場合は、アップデート方針について改めて確認する
- CMS運用業務の外部委託仕様書に、セキュリティパッチの適用に関して、速やかな適用が可能となるよう、方針について記載する
- CMSの不要なプラグインは削除する(無効化しても悪用される場合があるため削除推奨)
- CMSの管理画面へのアクセスを接続元IPアドレス等により制限する
- 不要なサービスや不要な機能を停止する
- 不要なアカウントを削除する
- アカウントのログイン履歴の監査を定期的におこなう
- アクセスログの取得及び定期的な確認を実施する
参考
- Movable Typeの XML RPC APIにおける脆弱性( CVE-2021-20837)に関する注意喚起
- PowerCMS 5.19 / 4.49 / 3.295 向けパッチについて(XMLRPC APIにおけるOSコマンド・インジェクションの脆弱性対策)
- IPAテクニカルウォッチ「 CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」
- Apache HTTP Serverのパストラバーサルの脆弱性( CVE-2021-41773)に関する注意喚起
なお、本法人では情報システム運用管理者向けのガイドラインを整備しています。
ガイドライン参照のうえ情報システムの適切な運用管理をお願いします。
- 立命館情報システム運用管理ガイドライン
- 立命館クラウドサービス利用ガイドライン
- 立命館情報セキュリティ事故対応ガイドライン