本日(2020年9月23日)の19時30分頃にSNSでウェブ制作会社代表取締役の方の投稿を見て驚愕したので記しておきます。

その方の投稿は、その方の経営する会社で販売している某CMSのプラグインに脆弱性が見つかったので最新版に更新して欲しいというものなのですが、その投稿を見た段階でIPAからの告知はありませんでした。しかも、その投稿にはブログへのリンクが貼ってあって、そのブログ記事は2020年9月17日に投稿した事になっています。

正直、驚きました。

弊社で脆弱性を発見した場合には原則としてIPA(独立行政法人情報処理推進機構)へ届け出て、開発者と調整を頂きます。そして、開発者側で対応が終わった旨IPAに通知されると開発者とIPAとの間で公開スケジュールを調整の上で脆弱性情報が公開されます。そうする事で、ユーザーが想定しない攻撃を防ぐ仕組みになっています。

この手順が脆弱性を発見した場合の大原則と言っても良いでしょう。

ところが、その方は(おそらく)IPAに届け出る事なくブログ記事を公開してしまったと思われます。その場合、どういう事態が発生するかというと「当該プラグインを使用しているユーザーが対応完了する前に攻撃が始まる」可能性が大きくなります。実質的なゼロデイ攻撃を誘発すると考えて頂いて良いかと思います。

ユーザー保護という観点から言うと、「開発者が発見したんだから開発者が自由に発表して良いのだ」は誤りで、実際、IPAの発表の中には開発者が発見したものでも情報を適切にIPAに届け出て、尚且つ、それとは別に非公開の形でユーザーへの周知期間を設けた上で公開という手順を踏まれるのが大半です。

当然ですが、プログラムを提供している側はユーザー保護の責務がありますから。

ウェブ制作会社様はそういうノウハウに欠ける部分が多いかと思います。弊社は日常的に脆弱性の調査をしており、きちんとIPAに届け出ている実績もあるのでノウハウは持っています。

そういう支援も含めての「ウェブ制作会社向け情報セキュリティ支援サービス」なのですが、今のところ活用頂けていないのが残念なところです。脆弱性調査もそうですし、その後の手続きも全て支援する事が可能です。適切に対応する事で利用者への被害を防ぐ事が出来ます。

ウェブ制作会社様には是非とも御検討頂きたいサービスとなっています。

尚、WordPressの場合はプラグインのみならずテーマ(多くのウェブ制作会社様は自前で作成される事と思います)にも脆弱性が潜んでいる可能性がありますので、「ウチはプラグイン作ってないから大丈夫」と思わずに危機感を持って御検討頂ければと思います。

参考までに、2020年8月15日から9月13日までの間に、7社のウェブ制作会社様のサイトが改竄され、そのうち3件は同一サーバーに設置していた御客様のサイトも多数改竄されています。