WordPressの脆弱性によるWebサイト改ざん事件まとめ

この記事は約 4 分で読めます。



HTMLやCMSの知識を保有していなくても、WEBサイトの構築が可能となる「オープンソースCMS」は、ライセンス料金が発生しないということもあり、世界中で利用されるシステムです。しかし“利用者が多い”ということは、そこを狙う“攻撃者も同程度存在している”と考えることが自然です。

今回は、オープンソースCMSの中で最も利用されている「WordPress」に焦点を当て、近年増加しているサイト改ざんの手法についてまとめていきたいと思います。

WordPressが狙われている

今や世界中のWebサイトの4分の1はWordPressで作られています。2016年にAutomatticが発表した内容によると世界の27.1%のWebサイトはWordPressで作成されているとのことです。

多くのシェアを持つ製品が悪意を持った犯罪者に狙われるというのは、古今東西よくある話です。IT業界でもOS製品で91.7%(2016年12月 Net Applications報告による)という圧倒的なシェアを持つWindowsは常に悪意を持った犯罪者たちによってターゲットとされてきました。今やWebサイトでは、このターゲットはWordPressとなっているのです。

WordPressへの具体的な攻撃方法

しかし、WordPressのサイトはいったいどういった方法で狙われ、攻撃されているのでしょうか。サイトの攻撃は主に「不正ログイン」と「脆弱性の悪用」の2つがありますが、ここでは後者について見ていきます。

脆弱性の悪用

脆弱性を悪用して攻撃する場合のターゲットや仕組みは以下の3つとなります。

  1. クライアントPC
    ターゲット型攻撃によってマルウェア等に感染させ、そこから情報流出させる。
  2. WordPressの本体
    本体の脆弱性を悪用してWebサイトの改ざんやサイトからの情報の不正取得を行う。
  3. プラグイン
    WordPressには非常に多くのプラグインがあるが、プラグインには脆弱性の問題がある場合があり、それを悪用してWebサイトの改ざんや情報の不正取得が行われるケースがある。

攻撃の概要とターゲットがわかったところで、具体的なセキュリティ事故の事例をいくつか見てみましょう。

WordPressのセキュリティ事故事例

1 REST APIの脆弱性によるWebサイトの改ざん

2017年2月10日にThreatpostにより公開されたもので、WordPressのREST APIに存在する脆弱性のため、リモートでデータの書き換えが行えるようになるというもの。「WordPress 4.7.2」で対応がなされているが、バージョンアップされていなかった150万を超えるサイトが攻撃を受けた。

2 アクセス権限設定の不備によるWebサイトの改ざん

2013年にレンタルサーバーのロリポップでサーバー内のディレクトリのアクセス権限設定に問題があり、8000以上のサイトが改ざんされたという事件がありました。

3 テーマファイルの改変(悪意のあるスクリプト埋め込み)

よくあるケースですが、脆弱性を悪用してテーマファイルを改変する事例があります。例えば悪意のあるスクリプトを埋め込んで、サイトを訪れると動作する、とか自動的に別のサイトに飛ばされるなどといったものです。

先ほど攻撃対象と仕組みを簡単に説明しましたが、攻撃からWebサイトを守るためにはどのような対策をすれば良いのでしょうか。

有効的な対策とは?

1 WordPressのバージョンアップはこまめに

先ほど紹介した2017年2月の事象では、脆弱性の問題を解決したバージョンがすぐにリリースされ、それを適用したWebサイトでは被害は最小限ですみました。しかし、適用しなかったサイトが多くあり、被害が広がってしまいました。

更新プログラムは脆弱性などの問題を解決するためにリリースされるもので、確実に適用するようにしましょう。

2 クライアントPCのセキュリティ対策は確実に

一般的なウィルス対策と同様に、以下のように作業などに使うPCのセキュリティ対策をしっかりと行っておきましょう。

  • セキュリティ対策ソフトウェアの導入とウィルス定義ファイルの確実な更新
  • 更新プログラムを確実に適用する

3 安全なプラグインを使う

WordPressはさまざまな機能を付加するプラグインが多く出されているのも魅力ですが、なかには安全でなかったり、古かったりするものもあります。

以下のことに気をつけるようにしましょう。

  • 信頼性が高く安全なプラグインを利用する
  • プラグインのバージョンは確実に更新する

最後に

WordPressを利用することで、WEBサイトの構築は以前に比べ劇的に簡単になりました。ユーザーにとって便利でメリットの多いオープンCMSですが、サイバー攻撃の面では不安も残ります。

今回ご紹介した対策に気をつけることで、WordPressのサイトが悪意をもった攻撃者に乗っ取られたり、改ざんされたりといった被害にあうリスクはかなり減らすことができるでしょう。

セキュリティ診断サービス
あなたの会社のWEBサイトは大丈夫?社内ネットワークも心配... サイバー攻撃されて問題になる前にしっかりチェック!

IT企業10年間、Linux・Windows系のサーバ・インフラ系構築・運用エンジニアとして経験を積み、現在は、とある企業で社内SEとして活動。
多種多様な業務に携わってきたため知識は幅広く、得意分野はLinuxをはじめとしたサーバー構築。社内セキュリティ担当者としての経験も長く、セキュリティソフトウェアや、ゲートウェイ対策にも精通している専門家として活躍中。
>プロフィール詳細

こちらのページもご覧ください。

0からサイバーセキュリティの現状がわかる
情報漏洩セキュリティ対策
ハンドブックプレゼント

img_pdf1.はじめに
2.近年の個人情報漏洩の状況
3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策
4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策
無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?

メルマガ登録はコチラ