HTMLやCMSの知識を保有していなくても、WEBサイトの構築が可能となる「オープンソースCMS」は、ライセンス料金が発生しないということもあり、世界中で利用されるシステムです。しかし“利用者が多い”ということは、そこを狙う“攻撃者も同程度存在している”と考えることが自然です。
今回は、オープンソースCMSの中で最も利用されている「WordPress」に焦点を当て、近年増加しているサイト改ざんの手法についてまとめていきたいと思います。
万が一WordPressが改ざんされた際の対処法についても解説しているので、参考にしてください。
この記事の目次
WordPressが狙われている
今や世界中のWebサイトの約半分はWordPressで作られています。2021年にAutomatticが発表した内容によると、世界の43.1%のWebサイトはWordPressで作成されており、前年の39.1%と比較して4.0ポイント増加したとのことです。
多くのシェアを持つ製品が悪意を持った犯罪者に狙われるというのは、古今東西よくある話です。IT業界でもOS製品で91.7%(2016年12月 Net Applications報告による)という圧倒的なシェアを持つWindowsは常に悪意を持った犯罪者たちによってターゲットとされてきました。今やWebサイトでは、このターゲットはWordPressとなっているのです。
WordPressが狙われる理由
Webサイトは誰もがアクセスできる環境にあり、狙いやすいものです。その中でもWordPressが狙われる理由は以下のようなものがあります。
- 世界中で利用しているユーザー数が多くターゲットにしやすい
- ブログやコラム、ニュース記事などページ数の多いサイトに利用されることが多く、WordPress内の一部のコンテンツが改ざんされてもすぐに気付かないことが多い
- 同じディレクトリ内で既存のWebサーバーとは別にWordPressを追加して使用することもあり、セキュリティ対策の抜け漏れが発生しやすい
- WordPress(CMS)本体・テーマ・プラグインごとにアップデート状況が異なり、種類によっては脆弱性が放置されている場合もある
特に、WordPressで発見されている脆弱性などを放置していると容易に不正アクセスされてしまうため、こまめなアップデートによる対策が必要です。
WordPress改ざんで起こりうる被害
WordPressの改ざんで起こりうる被害には、以下のようなものがあります。
- ユーザーの個人情報が漏えいする
- ウイルスを拡散される
- サイトの外観・内容が改ざんされる
- Googleの検索結果から除外される
- 企業のブランドイメージが失墜する
- 損害賠償に発展する
既に上記のような被害が発生しているという場合は、速やかに専門家に相談して適切な対応を取りましょう。
ユーザーの個人情報が漏えいする
WordPressをはじめとしたWebサイトの改ざんでよくある手口は、Webサイトのお問い合わせフォームを改ざんして送信された個人情報を抜き取ったり、詐欺サイトに誘導して~~~を取得するパターンです。
特にIDとパスワードといった認証情報や、クレジットカードの決済情報などが狙われることが多いです。万が一これらの情報漏えいが発覚した場合、後述のように該当するユーザー全員に通知する義務が発生し、損害賠償に発展する可能性もあります。
仮にWordPressの改ざんにより情報が漏えいした場合は、改正個人情報保護法(2023年4月施行)により
ウイルスを拡散される
以下のような巧妙な手段でユーザーのPCにウイルス拡散させられてしまう手口もあります。
- サイト上のダウンロードURLをウイルス入りの悪質なファイルに変更する
- 既存のダウンロードファイルにウイルスを仕込む
- サイトを表示しただけで自動的にウイルスがインストールされるよう書き換える
一見、外観は全く変わっていないという場合は発覚が遅れるケースもあり、ユーザーの通報などで発覚した頃には既に被害件数が拡大していることもあります。
サイトの外観・内容が改ざんされる
サイトの外観を改ざんして無関係な文言が表示されてしまったり、誤った情報に書き換えられることもあります。
連携しているデータベースの情報が改ざんされてしまった場合は悪質です。嫌がらせ目的の場合もあり、ブランドイメージや信用低下につながるリスクがあります。
Googleの検索結果から除外される
Googleではユーザーの安全のため、悪質な目的のサイトと判定された場合は検索結果に表示されづらくなる仕組みになっています。そのため、仮にWordPressが改ざんされ不正なWebサイトであると判定された場合は、検索結果の表示順位とサイトのトラフィックが大幅にダウンしてしまう可能性があります。
仮にサイト復旧後、検索結果のブラックリストから外してもらえたとしても、すぐに検索結果の順位が回復できるとは限りません。Webでの集客がメインになっている企業であれば、集客面で大打撃を受けることになります。
企業のブランドイメージが失墜する
ユーザーの個人情報やクレカ等の決済情報の漏えいやサイト外観が改ざんが発覚した場合、企業全体の信用が著しく低下する可能性があります。
取引先との取引停止につながるおそれもあり、業績悪化により倒産の危機にさらされる場合もあります。WordPressの不正改ざんが発覚した際は、ブランドイメージへの悪影響を最小限にとどめるためにも、被害範囲の早急な特定と関係者への迅速な通知を行うなどその後の対応が非常に重要です。
損害賠償に発展する
ユーザーの個人情報やクレカ決済情報が発生した結果、損害賠償にまで発展した事例もあります。
特に、サイトの所有者とは別の制作会社が運用・保守を任されているケースでは、制作会社側のセキュリティ対策や事前の説明責任に問題があったとして、サイト制作の委託元から政策会社に対して損害賠償を請求される可能性があります。
保守における責任がどちらにあるのか事前に決めておくことが大事です。また、サイト制作時から欠陥がある状態だったのか、後からリリースされたアップデートを怠るなど納品後の運用に問題があったのかどうかでも、責任の所在が変わります。
WordPressへの具体的な攻撃方法
WordPressのサイトはいったいどういった方法で狙われ、攻撃されているのでしょうか。サイトの攻撃は主に以下の方法があります。
- 不正ログイン
- 脆弱性の悪用
不正ログイン
不正ログインとは、WordPressの管理アカウントに対して第三者が許可なくログインすることです。不正ログインの手法には、以下のようなものがあります。
- 総当たり攻撃(ブルートフォースアタック)
- 辞書攻撃
- パスワードリスト攻撃
管理アカウントにログインされてしまうと、管理者と全く同じ権限でサイトの設定変更・編集・削除ができてしまいます。さらに、悪質なケースでは認証情報(ID・パスワード)を変更され正規の管理者がログインできない状態にされてしまう可能性もあるため、必ず対策が必要です。
脆弱性の悪用
脆弱性を悪用して攻撃する場合のターゲットや仕組みは以下の3つとなります。
- クライアントPC:ターゲット型攻撃によってマルウェア等に感染させ、そこから情報流出させる。
- WordPressの本体:本体の脆弱性を悪用してWebサイトの改ざんやサイトからの情報の不正取得を行う。
- プラグイン:WordPressには非常に多くのプラグインがあるが、プラグインには脆弱性の問題がある場合があり、それを悪用してWebサイトの改ざんや情報の不正取得が行われるケースがある。
WordPressの脆弱性を利用した具体的な攻撃手法としては以下のようなものがあります。
- クロスサイトスクリプティング(XSS)
- SQLインジェクション
クロスサイトスクリプティング(XSS)
クロスサイトスクリプティングとは、専門的な知識があれば比較的簡単に実行できてしまう攻撃です。
ターゲットとしたWebサイトの脆弱性を悪用して罠を仕掛け、攻撃者が悪質なサイトへ誘導(サイトをクロス)するスクリプトを実行し、サイトに訪れるユーザーの個人情報などを詐取したり、マルウェア感染させたりするサイバー攻撃のことです。
SQLインジェクション
SQLインジェクションとは、管理サーバーのデータベースを参照してサービスを提供するWEBサイト(ショッピング系ECサイトなど)において、データベースの情報を参照するためのSQL文章という言語を悪用し、データベース内の情報を不正に抜き取る攻撃のことです。
仮に個人情報やクレカ情報をデータベース内に保存していれば、深刻な情報漏えいにつながる危険性があります。
WordPressのセキュリティ事故事例
具体的なセキュリティ事故の事例をいくつか見てみましょう。
- REST APIの脆弱性によるWebサイトの改ざん
- アクセス権限設定の不備によるWebサイトの改ざん
- テーマファイルの改変(悪意のあるスクリプト埋め込み)
1 REST APIの脆弱性によるWebサイトの改ざん
2017年2月10日にThreatpostにより公開されたもので、WordPressのREST APIに存在する脆弱性のため、リモートでデータの書き換えが行えるようになるというもの。「WordPress 4.7.2」で対応がなされているが、バージョンアップされていなかった150万を超えるサイトが攻撃を受けた。
2 アクセス権限設定の不備によるWebサイトの改ざん
2013年にレンタルサーバのロリポップでサーバ内のディレクトリのアクセス権限設定に問題があり、8000以上のサイトが改ざんされたという事件がありました。
3 テーマファイルの改変(悪意のあるスクリプト埋め込み)
よくあるケースですが、脆弱性を悪用してテーマファイルを改変する事例があります。例えば悪意のあるスクリプトを埋め込んで、サイトを訪れると動作する、とか自動的に別のサイトに飛ばされるなどといったものです。
WordPressが改ざんされた場合の対処法
WordPressが改ざん被害に遭った場合、以下のような流れで対処しましょう。
- 通信を遮断し、Webサイトをメンテナンス中にする
- バックアップからサイトを復元する
- フォレンジック調査会社に相談して被害状況を調査する
- 警察に相談する
- 関係者に通知・報告する
WordPressを含むWebサイトの改ざん被害に遭った際の対処法については、こちらの記事で詳しく解説しています。
おすすめのWebサイト改ざん調査会社はこちら
Webサイトが改ざん被害に遭った際、情報漏えいやウイルス拡散などの被害内容・被害範囲の早急な確認が必要です。また、繰り返し被害を受けることのないよう、改ざんに至るまでの侵入手口を特定し対策することも重要です。
Webサイト被害の調査は自社内では限界があるため、サイバー攻撃被害調査の専門家であるフォレンジック調査会社に相談しましょう。
信頼できるフォレンジック調査会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- 緊急時のスピード対応が可能
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
全国30社以上を調査し、上記のポイントから編集部が厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式サイトデジタルデータフォレンジック
デジタルデータフォレンジックは、累計3万2千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も360件以上ある国内有数のフォレンジック調査サービスです。
一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。
運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。
費用 | ★相談・見積り無料 まずはご相談をおすすめします |
---|---|
調査対象 | デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等 |
サービス | ●サイバーインシデント調査: マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査 ●社内不正調査: 退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元 ●その他のサービス: パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等 ※法人・個人問わず対応可能 |
特長 | ✔官公庁・法人・捜査機関への協力を含む、累計32,000件以上の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査 ※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
基本情報 | 運営会社:デジタルデータソリューション株式会社 所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階 |
受付時間 | 24時間365日 年中無休で営業(土日・祝日も対応可) ★最短30分でWeb打合せ(無料) |
WordPressの改ざん防止に有効的な対策とは?
攻撃対象と仕組みを簡単に説明しましたが、攻撃からWebサイトを守るためにはどのような対策をすれば良いのでしょうか。
1 WordPressのバージョンアップはこまめに
先ほど紹介した2017年2月の事象では、脆弱性の問題を解決したバージョンがすぐにリリースされ、それを適用したWebサイトでは被害は最小限ですみました。しかし、適用しなかったサイトが多くあり、被害が広がってしまいました。
更新プログラムは脆弱性などの問題を解決するためにリリースされるもので、確実に適用するようにしましょう。
WordPressで見つかっている脆弱性の一覧
WordPressの脆弱性とその対策方法については、JPCERTとIPAが共同で運営しているJVN(日本で使用されているソフトウェアの脆弱性対策情報ポータルサイト)から確認することができます。
参照JVN
2 クライアントPCのセキュリティ対策は確実に
一般的なウィルス対策と同様に、以下のように作業などに使うPCのセキュリティ対策をしっかりと行っておきましょう。
- セキュリティ対策ソフトウェアの導入とウィルス定義ファイルの確実な更新
- 更新プログラムを確実に適用する
3 安全なプラグインを使う
WordPressはさまざまな機能を付加するプラグインが多く出されているのも魅力ですが、なかには安全でなかったり、古かったりするものもあります。
以下のことに気をつけるようにしましょう。
- 信頼性が高く安全なプラグインを利用する
- プラグインのバージョンは確実に更新する
最後に
WordPressを利用することで、WEBサイトの構築は以前に比べ劇的に簡単になりました。ユーザーにとって便利でメリットの多いオープンCMSですが、サイバー攻撃の面では不安も残ります。
今回ご紹介した対策に気をつけることで、WordPressのサイトが悪意をもった攻撃者に乗っ取られたり、改ざんされたりといった被害にあうリスクはかなり減らすことができるでしょう。