WordPressはオープンソースのソフトウェアです。自由度の高さから、個人だけでなく企業においてもさまざまな用途で使用されています。しかしながら、WordPressの脆弱性からサイバー攻撃を受けることが少なくありません。
そこでWebアプリケーションを保護する「WAF」を利用し、WordPressを守る必要があります。
今回は、WordPressの脆弱性を狙ったサイバー攻撃の種類や被害事例、WAFを使用する際の注意点を解説します。
この記事の目次
WordPressにはWAFが必要?
WordPressは、オープンソースであることに加え、豊富な拡張機能を利用したデザイン変更や、スライドショーの追加、問い合わせフォームの作成などが可能です。自由度が高い分、攻撃者の目線からは脆弱性を見つけるための情報も豊富にあります。
その点WAFはクライアントとWebサーバー間の通信を監視し、不審な通信を検知できるため、脆弱性を狙った悪意のある攻撃を防げます。そのため脆弱性が常に増えていく状況下では、WAFでWordPressを守る必要は大いにあるといえます。
WordPressには脆弱性が多い?
WordPressはオープンソースのWebアプリケーションであるため、プログラムの内容が全部公開されています。そのため、脆弱性を発見されやすいといえるでしょう。
実際のところJVN脆弱性対策情報データベースによると、直近5年間(2018~2022年)において約2,000件もの脆弱性が公表されています。
利用者が多いため攻撃者に狙われやすく、またオープンソースであることも重なって、脆弱性の報告が多くあります。
WordPressの脆弱性を狙ったサイバー攻撃とは
WordPressの脆弱性を狙ったサイバー攻撃のなかで、よく報告されている攻撃は以下の通りです。
- SQLインジェクション
- クロスサイトスクリプティング(XSS)
- ディレクトリトラバーサル
- コンテンツインジェクション
- ゼロデイ攻撃
- ブルートフォースアタック
それぞれ解説します。
SQLインジェクション
SQLインジェクションは、データベースを操作できるSQLコードを送信して、データベースに不正にアクセスする攻撃です。この攻撃への対策を行っていないと、WordPressで使用しているユーザー名やパスワードが漏れてしまうだけでなく、顧客の名前・住所・クレジットカード番号などの個人情報も漏れてしまいます。
クロスサイトスクリプティング
クロスサイトスクリプティング(XSS)は、悪質なスクリプトをWebサイトに埋め込み、ユーザーが実行した場合にWebサイトを経由して個人情報がサイバー攻撃者に送信される攻撃です。近年では個人情報の漏えいだけでなく、マルウェアをダウンロードさせる攻撃も増えてきています。
XSSは、スクリプトの無効化等の比較的簡単なセキュリティ対策でも効果があります。そのためWordPressにXSS対策を施していないと、利用者から「基本的なセキュリティ対策をしていない」と信用を失いかねません。
ディレクトリトラバーサル
ディレクトリトラバーサルは、パスの操作により任意のディレクトリへの移動を許し、本来アクセスできないWebサーバー上のフォルダにアクセスされてしまうサイバー攻撃です。個人情報を格納しているフォルダを参照されてしまうと、情報漏洩につながります。
コンテンツインジェクション
コンテンツインジェクションは、WordPressに全く関係のない記事を投稿して、WordPressを乗っ取る攻撃です。場合によっては、巧妙に似せて作られた記事を投稿され、偽リンクから詐欺サイトへと誘導されます。
ゼロデイ攻撃
ゼロデイ攻撃は、新機能が公開されたあと、発見された不具合が修正される前に行われる攻撃です。脆弱性が発見されてから、更新プログラムやパッチなどのセキュリティアップデートが配布されるまでの時間差を標的にされます。
ブルートフォースアタック
ブルートフォースアタックは、「総当たり攻撃」と呼ばれるパスワード解読のサイバー攻撃です。ユーザー名とパスワードの組み合わせで、可能性のある文字列を入力し続け突破するものです。初期パスワードをそのまま利用している場合では、簡単に突破され、WordPressを乗っ取られる可能性があります。
WordPressの脆弱性を狙ったサイバー攻撃の被害事例
WordPressの脆弱性を狙ったサイバー攻撃は、日々報告されています。ここでは、被害事例として有名なものを紹介します。
- レンタルサーバー「ロリポップ!」
- Lydia Swanson(ファッションブロガー)
- 富山県立大学
それぞれ解説します。
レンタルサーバー「ロリポップ!」
2013年8月29日、個人向けレンタルサービス「ロリポップ!」において、WordPressの管理画面を構成するファイルの脆弱性を狙ったサイバー攻撃が行われました。この攻撃により、ログイン情報が抜き出され、不正アクセスやデータの改ざんが発生。8月29日だけでも8438件のユーザーが、被害を受けました。
対応策として、該当ファイルのパーミッションを変更する措置を取り、サーバーとファイルに対してウイルススキャンが実施されました。改ざんにはプラグインの脆弱性が侵入経路として利用されたことに加え、「ロリポップ!」のパーミッションの設定不備が原因であったと公表しました。
Lydia Swanson(ファッションブロガー)
Lydia Swansonさんが運営するファッションブログにおいて、記事の見せ方を簡単にカスタマイズできる「Yuzoプラグイン」がゼロデイ攻撃の標的として狙われました。マルウェアスキャンの実施とWAFの設置により復旧できた一方で、アフィリエイトリンクが無効になり、その月の収入は激減。さらに、ブランドの信頼は大きく失墜してしまいました。
Yuzoプラグインに関連したサイバー攻撃は2019年3月末に60,000件以上あり、その脆弱性が判明したあと、YuzoプラグインはWordPressのライブラリから削除されました。
富山県立大学
2022年12月、富山県立大学はレンタルサーバー上で公開しているDX教育研究センターのホームページに不正アクセスが発覚。何らかの方法で、管理者権限のあるユーザーアカウントが乗っ取られたことを公表しました。事の発端は、11月21日に担当者がホームページにも管理画面にもアクセスできない状況を確認したことでした。そこでレンタルサーバーに問い合わせをしたところ、10日前に不正なプラグインがインストールされていたことが判明しました。
3万件以上の迷惑メール送信の踏み台として、攻撃者に利用されたことがわかっています。
WordPressでWAFを使用する際の注意点
WAFはWebアプリケーションを保護する機能です。そのためコメントスパム等のコメント欄にメッセージを大量に送りつけるような迷惑行為は防げない点に注意が必要です。
WordPressにはWAFとセキュリティのプラグイン両方必要
WAFではWebサーバーとクライアント間の不審な通信を検知できる一方で、迷惑コメントの制御等はWAFでは対応できません。
コメントスパム等の迷惑行為があった場合に、再発防止として悪意のある人からのアクセスを禁止する方法があります。セキュリティプラグインを利用すれば、そのようなIPアクセス制限を行ったり、コメントを入力する際に画像認証機能を追加するなどして、迷惑コメントからWordPressを守れます。
このように、WAFとセキュリティプラグインを併用すれば、快適なWordPress環境を構築できます。
よくある質問
WordPressとWAFについてよくある質問に回答します。
Q1.WordPressにはWAF以外のセキュリティ対策も必要ですか?
A.WordPressのテーマやプラグインの脆弱性からウェブサイトを守るだけであれば十分ですが、コメントスパムを防いだり、迷惑なアクセスを制限するためにはセキュリティプラグインも必要です。
Q2.WAFの仕組みを教えて下さい。
A.WAFはHTTP/HTTPS通信を検査することにより、ユーザーとWordPressで交わされる通信に不審なものがないかを確認する仕組みです。通信を一つひとつ確認し、サイバー攻撃が行われていないかを監視しています。
まとめ
WordPressはオープンソースであり、テーマやプラグインも随時更新されるため、脆弱性がなくなることはありません。そのような脆弱性を狙った攻撃の多くは、WAFの活用により防げます。WordPressで攻撃を受けてしまうと、自身のウェブサイトが改ざんされ、他社への攻撃の踏み台となったり、ブランドの信用を失ってしまう可能性があります。
また安心なウェブサイトを運用するためには、WAFだけでなくセキュリティプラグインの活用も必要です。
セキュリティ対策の手始めとして、WAFの導入を検討してみてはいかがでしょうか。