HTMLやCMSの知識を保有していなくても、WEBサイトの構築が可能となる「オープンソースCMS」は、ライセンス料金が発生しないということもあり、世界中で利用されるシステムです。しかし“利用者が多い”ということは、そこを狙う“攻撃者も同程度存在している”と考えることが自然です。
今回は、オープンソースCMSの中で最も利用されている「WordPress」に焦点を当て、近年増加しているサイト改ざんの手法についてまとめていきたいと思います。
WordPressが狙われている
今や世界中のWebサイトの4分の1はWordPressで作られています。2016年にAutomatticが発表した内容によると世界の27.1%のWebサイトはWordPressで作成されているとのことです。
多くのシェアを持つ製品が悪意を持った犯罪者に狙われるというのは、古今東西よくある話です。IT業界でもOS製品で91.7%(2016年12月 Net Applications報告による)という圧倒的なシェアを持つWindowsは常に悪意を持った犯罪者たちによってターゲットとされてきました。今やWebサイトでは、このターゲットはWordPressとなっているのです。
WordPressへの具体的な攻撃方法
しかし、WordPressのサイトはいったいどういった方法で狙われ、攻撃されているのでしょうか。サイトの攻撃は主に「不正ログイン」と「脆弱性の悪用」の2つがありますが、ここでは後者について見ていきます。
脆弱性の悪用
脆弱性を悪用して攻撃する場合のターゲットや仕組みは以下の3つとなります。
- クライアントPC
ターゲット型攻撃によってマルウェア等に感染させ、そこから情報流出させる。 - WordPressの本体
本体の脆弱性を悪用してWebサイトの改ざんやサイトからの情報の不正取得を行う。 - プラグイン
WordPressには非常に多くのプラグインがあるが、プラグインには脆弱性の問題がある場合があり、それを悪用してWebサイトの改ざんや情報の不正取得が行われるケースがある。
攻撃の概要とターゲットがわかったところで、具体的なセキュリティ事故の事例をいくつか見てみましょう。
WordPressのセキュリティ事故事例
1 REST APIの脆弱性によるWebサイトの改ざん
2017年2月10日にThreatpostにより公開されたもので、WordPressのREST APIに存在する脆弱性のため、リモートでデータの書き換えが行えるようになるというもの。「WordPress 4.7.2」で対応がなされているが、バージョンアップされていなかった150万を超えるサイトが攻撃を受けた。
2 アクセス権限設定の不備によるWebサイトの改ざん
2013年にレンタルサーバのロリポップでサーバ内のディレクトリのアクセス権限設定に問題があり、8000以上のサイトが改ざんされたという事件がありました。
3 テーマファイルの改変(悪意のあるスクリプト埋め込み)
よくあるケースですが、脆弱性を悪用してテーマファイルを改変する事例があります。例えば悪意のあるスクリプトを埋め込んで、サイトを訪れると動作する、とか自動的に別のサイトに飛ばされるなどといったものです。
先ほど攻撃対象と仕組みを簡単に説明しましたが、攻撃からWebサイトを守るためにはどのような対策をすれば良いのでしょうか。
有効的な対策とは?
1 WordPressのバージョンアップはこまめに
先ほど紹介した2017年2月の事象では、脆弱性の問題を解決したバージョンがすぐにリリースされ、それを適用したWebサイトでは被害は最小限ですみました。しかし、適用しなかったサイトが多くあり、被害が広がってしまいました。
更新プログラムは脆弱性などの問題を解決するためにリリースされるもので、確実に適用するようにしましょう。
2 クライアントPCのセキュリティ対策は確実に
一般的なウィルス対策と同様に、以下のように作業などに使うPCのセキュリティ対策をしっかりと行っておきましょう。
- セキュリティ対策ソフトウェアの導入とウィルス定義ファイルの確実な更新
- 更新プログラムを確実に適用する
3 安全なプラグインを使う
WordPressはさまざまな機能を付加するプラグインが多く出されているのも魅力ですが、なかには安全でなかったり、古かったりするものもあります。
以下のことに気をつけるようにしましょう。
- 信頼性が高く安全なプラグインを利用する
- プラグインのバージョンは確実に更新する
最後に
WordPressを利用することで、WEBサイトの構築は以前に比べ劇的に簡単になりました。ユーザーにとって便利でメリットの多いオープンCMSですが、サイバー攻撃の面では不安も残ります。
今回ご紹介した対策に気をつけることで、WordPressのサイトが悪意をもった攻撃者に乗っ取られたり、改ざんされたりといった被害にあうリスクはかなり減らすことができるでしょう。