1.はじめに
個人事業主としてフリーランスのエンジニアをしている吉田です。
毎日のように発生しているサイバー攻撃、その中でも特にウェブサイトへの攻撃は後を絶ちません。その中でも標的にされやすいのがオープンソースのCMS(Contents Management System)であるWordPressです。
今回の記事では、実際に起きたサイバー攻撃の事例を5つご紹介します。
2.事例紹介
事例① WordPressの脆弱性を狙った、コンテンツ改ざん攻撃
2017年2月、WordPress本体の脆弱性を突いた攻撃による被害が発生しています。
攻撃された原因としては、REST API 4.7.1の脆弱性が挙げられます。REST APIはWordPressの使い勝手をよりよくするために実装された機能です。
しかし、そのREST APIに脆弱性がありました。投稿IDの検証不備が原因とされています。これを悪用することで権限のないコンテンツの内容を書き換えることが可能になっていました。さらにやっかいなことに悪用が簡単だったのです。
特定の内容を含んだリクエストをGETまたはPOSTデータとして攻撃したいURLに送ることで、コンテンツの改ざんが可能になります。
この脆弱性を狙った攻撃が行われた過程には「攻撃キャンペーン」がありました。WordPressの脆弱性の情報が公開されてから48時間以内に脆弱性を悪用するためのコードがインターネット上に公開されました。
WordPressはこの脆弱性を発表する前に、修正版のWordPress 4.7.2を公開しています。修正版リリースの1週間後に脆弱性を公開したのです。これによって1週間の猶予を開発者に持たせました。すぐ脆弱性を公開すると悪意ある攻撃者がすぐさまサイトを攻撃するからでもあるでしょう。
結果として、全世界で155万以上のサイトが攻撃されました。この攻撃に対しては、修正版の4,7.2を一早くインストールすることが必要です。
事例② WordPressプラグイン「WP Job Manager」の脆弱性を狙った攻撃
WordPressの場合、WordPress本体を使うだけでなく各種プラグインをインストールし自由にカスタマイズすることができます。本体にある脆弱性によって攻撃されることよりも、各種プラグインに脆弱性があることで攻撃されることの方が多いです。
WP Job Managerは求人情報用のプラグインです。1.26.2 より前のバージョンには、アクセス制限不備の脆弱性があり、この脆弱性が悪用されると、リモートにいる第三者によって画像ファイルをアップロードされる可能性がありました。この脆弱性を悪用した改ざんが複数報告されています。
1.26.2でこの脆弱性は修正されているため、脆弱性のあるバージョンからプラグインを最新版にアップデートする必要があります。
事例③ WordPressプラグイン「WP Mobile Detector」の脆弱性を狙った攻撃
事例②と同じく、プラグインの脆弱性を狙った攻撃です。
WP Mobile Detectorはウェブサイトのモバイル対応に使われるプラグインです。サイトを閲覧しているデバイスを検出して、スマートフォンに最適なWordPressテーマで表示することができます。同プラグインに、任意のファイルをアップロードできてしまう脆弱性があることが、攻撃者の標的にされた原因でもあります。
この脆弱性は、信頼できないソースからの入力内容を検証できないというものでした。リサイズ用のプログラムに脆弱性が存在し「allow_url_fopen」のオプションが有効になっている場合に影響を受けます。対策としてはこのオプションを無効にすることが必要です。
今回の被害としてはポルノスパムへの感染でしたが、悪用されればWebサイトを制御される恐れもありました。
事例④ WordPressで作られたサイトを見るとランサムウェアに感染
ランサムウェアとは、近年流行しているサイバー攻撃の手法です。ウェブサイトを閲覧しただけでウィルスに感染させる広告が表示され、それをクリックするとパソコン内のファイルが暗号化され、暗号を解読する代わりにお金を要求するという、オンライン上の人質事件のようなものです。
実際に起きている事例としては、ウェブページの改ざんによってランサムウェアを埋め込むという手口です。改ざんされたウェブページは、JavaScriptファイルの末尾にコードを仕込まれ、パソコンの脆弱性を探知するExploit Kitが埋め込まれていました。
これによって、古いバージョンのAdobe Flash Player、Adobe Reader、Internet Explorerを使っているユーザーが改ざんされたウェブページを閲覧すると、脆弱性をつかれてランサムウェアに感染し、ファイルが暗号化されてしまったのです。
ランサムウェアを感染させられたということはウェブサイト自体に脆弱性があったということですので、その脆弱性の原因を明らかにした上でそれを解決するために、例えばプラグインを最新版にアップデートするなどの対策が必要です。
事例⑤ WordPressのセットアップを狙った攻撃
WordPressはセットアップが必要なソフトウェアでもあります。このセットアップ作業を狙ったサイバー攻撃が起きています。
この攻撃は/wp-admin/setup-config.phpを探すという手法がとられています。このファイルは新しくWordPressをセットアップするために使われるもので、このファイルにアクセスさえできれば、そこから攻撃者が好き勝手にセットアップを進めることができます。また、サーバにバックドアやマルウェアを仕込んだりといったことが行えます。バックドアとは、一度攻撃者が作ったルートを二度目に攻撃者が通るときに使う通信経路です。
この方法は新しいものではなく、古くからよく知られています。WordPressのセットアップは外部からアクセスができない状況を用意してから実施するなど、攻撃対象とならないようにすることが必要です。
4.まとめ
今回は、CMSの代表であるWordPressに対して、どのような脆弱性を狙ったサイバー攻撃があるのかを事例と攻撃シナリオ付きでご紹介しました。
WordPressは簡単にウェブサイトを構築できる一方、プラグインが多数あるため、プラグインに脆弱性が含まれている場合が多いことを理解しておく必要があります。
被害結果だけを見て恐れるだけではなく、どのような原因や過程を経て被害が起きているのかを把握した上で対策を練ることが重要です。
執筆者プロフィール
- 吉田純
- フリーランスエンジニア、ライター、教育ベンチャー企業共同経営者。
フリーとして、ツール制作やライティングなどを行う一方、認識技術を応用活用した次世代教育にも取り組んでいます。