書籍「いちばんやさしいGoogleビジネスプロフィールの教本」

Joomla 3.7.1がリリース!Joomlaの脆弱性に備えるべし

Webサイト制作

Joomla 3.7に「SQLインジェクション」の脆弱性があることが判明し、脆弱性を修正したJoomla 3.7.1のアップデートがリリースされました。

Joomla 3.7.1で修正された脆弱性

Joomla3.7.1では、「SQLインジェクション」と9つのバグが修正されました。

今度のJoomlaの脆弱性は深刻です。放置しておくと、ウェブサイトに深刻な被害をもたらす可能性が高いので、Joomlaでサイトを構築している方は、早急にJoomla 3.7.1へアップデートをしてください。

Security Issues Fixed

High Priority – Core – SQL Injection (affecting Joomla! 3.7.0)

Bug Fixes

  • Fixed attribute checks in the new calendar
  • Inject the JInput dependency into the session handler
  • Fix b/c break in JMenuItem
  • Fix article ordering in the backend
  • Fix milliseconds handling in for PHP Versions lower to 7.1.0
  • Fixing JFilterInput adding byte offsets to character offset
  • Redirection fails on multiple status values produced by old FOF2
  • Extensions
  • Remove empty locked cache file if callback function terminate process
  • Visit GitHub for the full list of bug fixes.

Joomla! 3.7.1 Release

「SQLインジェクション」とは?

「SQLインジェクション」についてはWikipediaに詳しい説明があります。

SQLインジェクションとは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。また、その攻撃を可能とする脆弱性のことである。

「SQLインジェクション」の脆弱性を放置すると、どんな被害があるのか?

「SQLインジェクション」を放置すると、ウェブサイトにどんな被害があるのか見ていきましょう。

  • 第三者によって、CMSに勝手にログインされる
  • データベースのデータをダウンロードされる
  • ウェブサイトを改ざんされる
  • Iframeタグで埋め込まれた別のサイトからウィルスを感染させられる

Joomlaの脆弱性を狙った攻撃は増えている

Joomla 3.7.1
過去1年半を振り返ってみると、Joomlaの脆弱性を狙った攻撃は頻繁に起こっています。
被害の大きかった脆弱性を狙った攻撃は、過去1年半の間に3件もありましたからね。

2015年12月、Joomla3.6.4以前の脆弱性を狙った攻撃が行われ、Joomla3.4.6以前が軒並みバックドアを仕組まれるなどの被害がありました。

Joomlaに深刻な脆弱性!アップデートは必須です
ここ数日間で、Joomlaの脆弱性をついた攻撃がめちゃくちゃ増えています。 Joomla 3.4.6以前のバージョンを使っている方は、軒並みやられています。 Joomla!の「ゼロデイコード実行脆弱性」はPHPの既知の脆弱性が原因 レンタル...

2016年3月にも、Joomlaの脆弱性を狙った攻撃がありました。

WordPress や Joomla でファイルの改ざん・・CMSのシェアもあり
ここ2週間、WordPress や Joomla などで、CMSの構成ファイルの改ざんが行われています。 PHPファイルが改ざんされると、閲覧者のブラウザに不正なコードが挿入されてマルウェアに感染してしまいます。 かなり被害は拡大しているの...

2016年10月にも、Joomlaの脆弱性を狙った攻撃があり、Joomla3.6.4がリリースされましたからね。

Joomla3.6.4へアップデートして脆弱性に備える!
Joomla3.6.4がリリースされました。 Joomla! 3.6.4 Released Joomla3.4.6から3.6.3を使っている方は、大至急Joomla3.6.4へアップデートしてください。2つの脆弱性、2段階認証の不具合が修正...

Joomlaで脆弱性に対処するには

Joomlaで脆弱性に対処するには、次の2つのことを必ず行ってください。

  • 最新版のJoomlaへアップデートする
  • プラグインも最新版へアップデートする

Joomlaのサイトがハッキングされたかどうかを確認する方法

自社で管理しているJoomlaのサイトがハッキングされたかどうかは、以下のサービスを利用すれば確認することが可能です。

HOW TO CLEAN A HACKED JOOMLA! SITE

CMSのシェアは?

W3TechsによるCMSのシェアを見てみます。

海外のCMSのシェアは、WordPressのシェアは59%に対して、Joomlaのシェアは6.9%です。

海外のCMS シェア

日本のCMSのシェアは、WordPressのシェアが82.7%と圧倒的です。おそらくJoomlaは1%未満だろうね。

日本のCMS シェア

WordPressと比較すると、Joomlaのシェアは圧倒的に少ないです。

でもね、Joomlaの脆弱性を狙った攻撃は、WordPressと同様に深刻です。

まとめ

JoomlaだけでなくWordPressなどのCMSを使う場合、脆弱性を狙った攻撃に対して、しっかりと対策をすることが重要です。

2017年2月には、WordPressの脆弱性を狙った攻撃もで、6万以上のウェブサイトが改ざんされていますからね。

WordPress 4.7.2へアップデートする際の注意点!脆弱性に備えるべし
WordPressで脆弱性が発見されました。 WordPress 4.7.0、4.7.1をお使いの方は、すぐにでも WordPress 4.7.2へアップデートしてください。 WordPress 4.7.0、4.7.1では、外部よりウェブサ...

WordPressは日本語の情報が多いですが、Joomlaは日本語の情報がほとんどありません。
なので、Joomlaを使ってサイトを構築している場合、セキュリティや脆弱性に関する情報収集を、必ず行うようにしてくださいね。

当サイトでも、可能な限りJoomlaやWordPressの脆弱性の情報を提供していきます。

Joomlaで2段階認証を設定する
Joomlaを使ってサイト運営している方は、必ず管理画面へのアクセスに2段階認証を掛けるようにしましょう。 Joomlaは、「ドメイン/administrator」で管理画面へのログイン画面がでます。サイトの乗っ取りを仕掛けるハッカーは、手...