サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

WordPressの脆弱性によるWebサイト改ざん事件まとめ



HTMLやCMSの知識を保有していなくても、WEBサイトの構築が可能となる「オープンソースCMS」は、ライセンス料金が発生しないということもあり、世界中で利用されるシステムです。しかし“利用者が多い”ということは、そこを狙う“攻撃者も同程度存在している”と考えることが自然です。

今回は、オープンソースCMSの中で最も利用されている「WordPress」に焦点を当て、近年増加しているサイト改ざんの手法についてまとめていきたいと思います。

WordPressが狙われている

今や世界中のWebサイトの4分の1はWordPressで作られています。2016年にAutomatticが発表した内容によると世界の27.1%のWebサイトはWordPressで作成されているとのことです。

多くのシェアを持つ製品が悪意を持った犯罪者に狙われるというのは、古今東西よくある話です。IT業界でもOS製品で91.7%(2016年12月 Net Applications報告による)という圧倒的なシェアを持つWindowsは常に悪意を持った犯罪者たちによってターゲットとされてきました。今やWebサイトでは、このターゲットはWordPressとなっているのです。

WordPressへの具体的な攻撃方法

しかし、WordPressのサイトはいったいどういった方法で狙われ、攻撃されているのでしょうか。サイトの攻撃は主に「不正ログイン」と「脆弱性の悪用」の2つがありますが、ここでは後者について見ていきます。

脆弱性の悪用

脆弱性を悪用して攻撃する場合のターゲットや仕組みは以下の3つとなります。

  1. クライアントPC
    ターゲット型攻撃によってマルウェア等に感染させ、そこから情報流出させる。
  2. WordPressの本体
    本体の脆弱性を悪用してWebサイトの改ざんやサイトからの情報の不正取得を行う。
  3. プラグイン
    WordPressには非常に多くのプラグインがあるが、プラグインには脆弱性の問題がある場合があり、それを悪用してWebサイトの改ざんや情報の不正取得が行われるケースがある。

攻撃の概要とターゲットがわかったところで、具体的なセキュリティ事故の事例をいくつか見てみましょう。

WordPressのセキュリティ事故事例

1 REST APIの脆弱性によるWebサイトの改ざん

2017年2月10日にThreatpostにより公開されたもので、WordPressのREST APIに存在する脆弱性のため、リモートでデータの書き換えが行えるようになるというもの。「WordPress 4.7.2」で対応がなされているが、バージョンアップされていなかった150万を超えるサイトが攻撃を受けた。

2 アクセス権限設定の不備によるWebサイトの改ざん

2013年にレンタルサーバのロリポップでサーバ内のディレクトリのアクセス権限設定に問題があり、8000以上のサイトが改ざんされたという事件がありました。

3 テーマファイルの改変(悪意のあるスクリプト埋め込み)

よくあるケースですが、脆弱性を悪用してテーマファイルを改変する事例があります。例えば悪意のあるスクリプトを埋め込んで、サイトを訪れると動作する、とか自動的に別のサイトに飛ばされるなどといったものです。

先ほど攻撃対象と仕組みを簡単に説明しましたが、攻撃からWebサイトを守るためにはどのような対策をすれば良いのでしょうか。

有効的な対策とは?

1 WordPressのバージョンアップはこまめに

先ほど紹介した2017年2月の事象では、脆弱性の問題を解決したバージョンがすぐにリリースされ、それを適用したWebサイトでは被害は最小限ですみました。しかし、適用しなかったサイトが多くあり、被害が広がってしまいました。

更新プログラムは脆弱性などの問題を解決するためにリリースされるもので、確実に適用するようにしましょう。

2 クライアントPCのセキュリティ対策は確実に

一般的なウィルス対策と同様に、以下のように作業などに使うPCのセキュリティ対策をしっかりと行っておきましょう。

  • セキュリティ対策ソフトウェアの導入とウィルス定義ファイルの確実な更新
  • 更新プログラムを確実に適用する

3 安全なプラグインを使う

WordPressはさまざまな機能を付加するプラグインが多く出されているのも魅力ですが、なかには安全でなかったり、古かったりするものもあります。

以下のことに気をつけるようにしましょう。

  • 信頼性が高く安全なプラグインを利用する
  • プラグインのバージョンは確実に更新する

最後に

WordPressを利用することで、WEBサイトの構築は以前に比べ劇的に簡単になりました。ユーザーにとって便利でメリットの多いオープンCMSですが、サイバー攻撃の面では不安も残ります。

今回ご紹介した対策に気をつけることで、WordPressのサイトが悪意をもった攻撃者に乗っ取られたり、改ざんされたりといった被害にあうリスクはかなり減らすことができるでしょう。



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。