脆弱性対策情報の公開は、対策を広く呼びかけられるメリットがある一方、その脆弱性を悪用した攻撃が公開直後から急増するというデメリットも持ち合わせています。「脆弱性対策の情報の公開に伴う悪用増加」が10大脅威にランクインした背景として、2017年2月に公開されたWordPressのREST APIの脆弱性を悪用したケースが大きく影響しているものと思われます。この脆弱性を悪用すると、WordPressで運用されているWebサイトを外部から改ざんされる危険性があります。

　この脆弱性が多数のWebサイトに影響を与えた背景には、脆弱性が存在するWordPressのバージョン「4.7」と「4.7.1」では、REST APIがデフォルトで有効になっており、脆弱性の対策を行うには、WordPressのバージョンアップやREST APIを無効にするプラグインをインストールする必要があります。脆弱性が発表された2月1日の直後から、国内でもこの脆弱性を狙ったWebサイトの改ざん被害が多数報告されました。

　IPAでは対策の1つにWebアプリケーションファイアウォール（WAF）の導入を挙げていますが、Webサイトのセキュリティ対策として、WAFの導入に上長の理解が得られず悔しい想いをされたことがあるシステム管理者さまもいらっしゃるのではないでしょうか。そこでWAF導入の判断材料として、Webサイトの脆弱性診断サービスを利用して、脆弱性情報を把握するという手があるかと思います。しかしWebサイトの診断のみにコストをかけられない......というのも現状でしょう。

　そこで、今回はBarracuda Vulnerability Manager（BVM）による無料のWebサイト脆弱性の診断サービスを利用してWebサイトのセキュリティ状況を把握する手法をご紹介します。

バラクーダネットワークスでは、ウェブ脆弱性診断サービスキャンペーンと題して、期間限定のキャンペーンを実施しています。BVMの診断結果のレポートを基に、WAFエキスパートによる現状のWebサイトのセキュリティ状況のご説明と、その対策について対面またはオンラインで説明の機会を設けています。日ごろから気になっていたWebサイトのセキュリティ対策を専門家に無料で質問できるチャンスですので、ぜひともご活用ください。

　Webサイトは、いまや企業・組織の顔、ビジネスには不可欠な存在ですが、不特定多数の利用者がアクセスするため日々さまざまな脅威にさらされています。攻撃者にその脆弱性を突かれると、個人情報の漏えいや、データの改ざん、サービスの妨害などの被害にあうだけでなく、踏み台にされ、自分がサイバー攻撃の加害者になってしまう可能性もあります。まずは無料の脆弱性診断ツールを利用して、Webサイトのセキュリティ状況を把握してみてはいかがでしょうか。