今回は、学生たちがJSOCを見学していた時期である8月ころから始まった、あるインシデントの傾向について取り上げます。

ECサイトソフトウェアはなぜ更新されないのか：川口洋のセキュリティ・プライベート・アイズ（20） - ＠IT

■脆弱性があるのに、なぜバージョンアップされないのか？
攻撃が行われる原因は、「そこに脆弱なZen Cartがあるから」です。
6月に脆弱性が発表されから4カ月の時間が経過していますが、いまだにバージョンアップされていないWebサイトが多数あるようです。バージョンアップされない理由は何なのでしょうか。考えてみました。
1. 脆弱性情報の存在を知らない
2. 脆弱性への対処方法が分からない(意味を読み取れない)
3. ホスティング環境で使っており、バージョンアップできない
4. カスタマイズして使っているので修正、バージョンアップにコストがかかりすぎる
5. バージョンアップ自体のコストを捻出できない
6. バージョンアップ作業で止めている期間の売り上げダウンが怖い
このコラムを読んでいるような人であれば1．という可能性は少ないと思いますが、脆弱性情報のチェックから抜けている可能性もあります。

ECサイトソフトウェアはなぜ更新されないのか：川口洋のセキュリティ・プライベート・アイズ（20） - ＠IT

図1　「/zen-cart/zen-cart/admin/」にアクセス（クリックで全体表示）

ECサイトソフトウェアはなぜ更新されないのか：川口洋のセキュリティ・プライベート・アイズ（20） - ＠IT