こんばんは。今回は新潟県警のWebサーバが乗っ取られ、同サーバを踏み台にして、掲示板に神奈川県警爆破予告の書き込みがあったというニュースです。こちらは読売新聞の記事からです。
「書き込み用プログラムに不備があった」というのが気になりますが、WAFを導入してなかったんだろうか?とか、古いバージョンのPHPを使っていたのだろうか?とか、いろいろ気になるところはあるのですが、さすがに新聞記事からはそこまでは読み取れません。
で、気になって他の媒体も当たってみました。こちらはNHKニュースからです。
同様に書き込みようのプログラムに欠陥があったことを指摘しています。現在、慌てて改修中ということのようですが、サーバメンテナンス・管理は外注なんでしょうねぇ。外注のコントロールが出来ていなかったとかなんでしょうか?(まさか、丸投げなんてことはないでしょうが…)
さらに他の記事も当たってみました。こちらは朝日新聞デジタルからです。
こちらには「応急措置を取った」とありますが、どういう形で管理されていたんでしょうか。まさか、導入後そのまま野放しということはないと思いますが…。導入したらアップデートしないとかいうようなことはないと信じたいです。
引き続きウォッチして行きます。続報があれば書いてみることにします。