すぐそこに、お金になる重要な情報があるからです。インターネットの公開性と、自己責任と引換えの自由性を悪用しています。
ターゲットと手法は膨大で留まることなく、常にチャレンジングです。この原稿作成時にも、ランサムウェアWannaCry関連ニュースが入ってきました。※1
自己のスキルとその成果物をひそかに誇示し、せせら笑う映画の主人公を地でいっています。アタックの対象は楽しさから、価値のあるデータを盗むことにステップアップします。そしてごく一部がグループで、国をまたいだサイバーテロに手を染めるのです。※2
自己の知力の限界を試すスリリングで、明確なタスクではないでしょうか。
WordPressのここが危ない!
そのような攻撃者グループにとって、WordPressとは何でしょうか?
どのような、うま味があるのでしょうか?そのポイントは際立ったWordPressの浸透だけでなく、攻撃者と利用者のセキュリティ意識の大幅なギャップにあると考えています。
WordPressの浸透とポジション
2003年に誕生(※3)した代表的なこのCMSは、現在下記の統計を見るまでもなく利用状況は突出しています。(2017年5月時点 ※4)
- 全ての公開サイトのうち、CMSで制作された比率は47.4%
- 全ての公開サイトのうち、WordPressで制作された比率は27.9%
- CMS全体を100とした場合、WordPressの割合は59.0%
こちらの情報元ではWordPress以外に、スクリプトなどの利用状況をデータとして示しています。わかることは、利用率の高いPHPやJavaScript(ライブラリを含む)はもちろん、分析や広告掲載ツールなども、WordPressと密接に関係しているのです。
さらに興味深いことは、サーバを設置している国と公開ページの言語で、日本(語)がともに世界3位に位置し、全体の20分の1を占めていることです。(2017年5月時点 ※5) 日本(語)がターゲットになる危険にさらされていることは明らかです。
攻撃者と一般利用者のセキュリティに関する大きすぎるギャップ
言うまでもなく原則タダで自由に扱えることは、攻撃者にとっても好都合です。中身を検証し放題で、インターネット上には関連情報が盛りだくさん。まさに美味しい標的ですね。※6
この状況にもかかわらず、一方では一般的なセキュリティの意識は低いのが現状です。例えば日本の家庭では、インターネット利用で感じる不安を21.4%の世帯が感じていないことが挙げられます。※7
ここがセキュリティホールになりえます。たとえ「日本の家庭」以外の、例えば企業などでいかに先進的な対策が行われていても、この脆弱な穴から突破されたらいつの日か攻撃者のターゲットになる可能性があります。
WordPressの擁護
さてWordPressの脆弱性(Vulnerability)を指摘することは容易ですが、全否定して排除することはもはや現実的ではありません。
現にWordPress開発元と政府関係機関や専門企業は、必死で技術の更新と広報活動を行っています。例えば2017年1月末から2月上旬にかけてのREST API悪用防止と、4.7.1へのアップデートを喚起する大々的なキャンペーンは、記憶に新しいところです。
それでは、利用者はどうすればいいのでしょうか。防衛するスキルとは何でしょうか。次項ではWordPressの具体的なリスクを、まずは整理してみたいと思います。
WordPressのセキュリティリスクはどこにあるか?
潜在している脅威は、下記の3つの項目に集約されると考えています。
1. ソフトウェアのブラックボックス化
決してWordPressに限ったことではありません。LinuxやWindowsなどのサーバOSはもちろん、サーバOS上で動作するさまざまなアプリケーションは、目的と好みにあわせて組み合わせて設定すれば、手軽に動作します。
極端に言えば、ソフトウェアの内部を詳細に理解していなくても、正しい接続と設定さえできればいいという傾向があります。
この状態では、例えばランサムウェアをはじめとしたマルウェアを仕掛けられたとしても、対策がない場合には気づくことすらままならず、感染被害とその拡大を助長します。
2. 管理画面がインターネット上に存在していること
こちらはWordPressを含むCMSの宿命です。公開データと言わばセットで、その管理画面自体がインターネット上にあります。意味することは、Webサイトの最も重要な部分が、常に外部からの悪意に満ちた攻撃にさらされていることです。
ダッシュボードと呼ばれているWordPressの管理画面にいったんログインできれば、個人情報などの重要情報を入手したり、コンテンツの書き換え(改ざん)したりすることが「誰でも」ふつうに可能です。
このWordPressの管理画面にインターネット経由でログインするためには、初期設定では一定の専用URLアドレス、ログインIDとパスワードの3つを揃えるだけです。誇張して言えば、たったこれだけです。
かつてCMSが誕生する前は、Adobe社(旧Macromedia社)のDreamweaverによって、ローカル(イントラネット)での作業が標準でした。もうその当時(2000年代初頭)には戻ることはできません。
3. 利便性とセキュリティリスクのトレードオフ
上記(2)にも関連しますが、WordPressは何より利便性を優先しています。そのため、セキュリティリスクを代償として負っているのではないでしょうか。
Webサイトの利用者にも提供者にも簡単に操作できるように、WordPressはわかりやすいUIを提供しています。利用者の要望により、カスタマイズや機能を拡張するためのテーマやプラグインが、たいへん充実しています。わずか数クリックで、すぐに導入して効果が出るものもあります。
また公共の場所などのモバイル環境で、更新作業がしやすくなっています。これは物理的な盗難や盗み見など、別の情報セキュリティの課題となっています。
WordPressのセキュリティはどうすれば向上するか?
究極の方法は、一切WordPressを使わないことです。そうすれば、セキュリティのリスクはゼロにはなりませんが、下がります。
ただ、これでいいのでしょうか。
そもそもWordPressの利用自体は、目的ではなく手段にしか過ぎません。本来、Webサイトを公開し何等かのサービスを提供することで、自らの組織の利益を最大にすることが目的です。
それでは、実践的な方法を整理します。WordPressのセキュリティのレベルを効率的に上げるために、下記の組み合わせをおすすめします。
1. 無料でできる通常の基本設定
- ログの定期的なチェック (アクセス、エラー、負荷など)
- 管理画面でのBASIC認証追加 (ブルートフォースアタック対策)
- パスワードを強固にして定期的に変更し、保管方法などをルール化
- ダッシュボード利用者のIPアドレスと国を限定 (アクセス制限)
- リモート操作するプロトコルの変更 (FTPからSFTPへなど)
- セキュリティを強化するWordPressプラグインの導入
2. リーズナブルな外部サービスの利用
全ての組織が、必要な機器やソフトウェアを自前で購入し設定して、またそれを行う専任の担当者を確保することはできません。それでも方法はあります。セキュリティ対策に特化したクラウドサービスを、賢く活用するのです。
ただ、このようなサービスを利用するためには、注意が必要です。組織によって、対策内容、優先順位さらには予算が異なるからです。とのようなポリシーを策定し、どのプランを選択したらいいかについて、国や専門機関はガイドラインを策定しています。参考にしてみてはいかがでしょうか。※8
3. その他の方法(時間と経費が豊富な場合)
- 外部の専門家にコンサルティングを受け、個別に対策を実施する
- 情報セキュリティ認証取得の活動を通じて、自組織でPDCAを回しレベルを上げる
なぜSiteLockをご紹介するのか?
SiteLock導入のメリットと概要
WordPressのセキュリティを向上するための、現実的な選択肢のひとつです。その根拠は、多くのクラウド型サービスの中では、導入や運用のしやすさとコストとのバランスにあります。
SiteLockは、米国SiteLock, LLCが開発したサービス名です。同社は2008年に設立し、’The Global Leader in Website Security’と公式サイト上で標ぼうしています。※9
日本市場向けにはGMOクラウドが同社と提携により、昨年2016年9月より提供を開始しました。※10
なおSiteLockはWordPress用プラグイン’SiteLock Security’をリリースしており、ご存知の方も多いのではないでしょうか。※11
SiteLockの主な機能 ※12
サーバ埋め込み型ではなく、外部から制御するサービスです。そのため、現在利用しているサーバには過度な負荷にはなりません。 ※13
- アプリ診断(WordPressのぜい弱性調査)
- SQLインジェクション診断
- マルウェア診断と駆除
- 不正改ざんの形跡チェック
- SSL証明書の有効性チェック
SiteLockの実際の動き(一例)
代表的なCMSの常時診断や監視だけでなく、問題を検知し駆除する一連の機能があります。アラートと取るべき行動は、コントロールパネル画面と登録したメールで告げられます。
SiteLockのコントロールパネル
SiteLockのメールアラート画面
SiteLockのコストとプラン ※14
月額換算で385円(税込)から9,130円(税込)まで、4つの基本プランが用意されています。金額の違いは、診断対象ページ数と対応機能の有無によります。なお、こちらのプランは日本市場用で、米国SiteLock, LLCとはメニュー内容は異なります。
まとめ
ここまでいかがでしたか。WordPressとそのセキュリティリスク、そして解決手段の紹介をしました。攻撃側と防衛側の攻防は、とどまるところのない競争です。対策に躊躇している余裕はありません。まずは、自らの組織でなしうる限りの防御が必要です。その解決手段として、SiteLockといったクラウドサービスを活用することは、賢明な選択となるでしょう。
参考文献
- ※1 世界各国で大規模サイバー攻撃 病院や大手企業が被害
- ※2 警察庁サイバーポリスのすべて ネット犯罪は何故起こる?それを取り締まる、ネット世界の番人
- ※3 すばらしき10年間 (WordPress.org)
- ※4 Usage of content management systems for websites
- ※5 W3Techs - World Wide Web Technology Surveys
- ※6 Attacking WordPress
- ※7 通信利用動向調査 PDFファイル(2015年総務省)
- ※8(参考文献一例)
- ※9 SiteLock Company Overview(SiteLock, LLC)
- ※10 GMOインターネットグループ プレスリリース
- ※11 SiteLock Security(WordPress.org)
- ※12 SiteLock 機能一覧
- ※13 Q35. SiteLockの診断を利用することで、Webサイトやサーバー、ネットワークに負荷がかかりますか?
- ※14 SiteLockの料金・プラン表
執筆者プロフィール
- 西山一郎
- 企業でWebmasterとして10年間の経験を活かしライター、デザイナーとして活動中。情報セキュリティの認証取得経験もあり、利便性とリスクのバランスを考えた仕事を心がけている。