[記事数:1,202] 日本を元気にするキーワード、地域活性化×中小企業× ITのTips and Quotes(秘訣と引用文)
creative  link  memo 

パナマ文書の流出原因は、WordPressのプラグイン? セキュリティが穴だらけだったことが判明



パナマ文書の流出原因は、Wordpressのプラグイン? セキュリティが穴だらけだったことが判明
2016.04.11 13:00

160409_panama_wordpress_2思わぬところに穴が…。

世界中の政治家や経済人、著名スポーツ選手など、いわゆる「世界トップの大金持ち」たちがタックスヘイブンで資産を隠しているのではないかという疑惑が浮上した、パナマ文書問題。その真相をめぐり、いまだ世界を揺るがし続けています。

その情報の流出元については、内部の何者かによるリーク(漏洩)説と、「リークではなくハック」だという説が囁かれています。真相はまだ不明ながら、もしハックだとしたら、Wordpressのプラグインが原因である可能性が浮上しました。

そのプラグインの名は「Revolution Slider」。以前、Slider Revolutionというプラグインを狙ったロシアのマルウェアがありましたが、それと同様、サイトの中に簡単にスライドのエフェクトを導入できるものです。

指摘をしたのは、WordfenceというWordpressのセキュリティを専門とする企業。ブログ記事によると、情報が漏洩した法律事務所Mossack FonsecaのウェブサイトはWordpressで構築されており、Revolution Sliderの古いバージョンを使用していたとのこと。

それにより、ファイルのアップロードやサーバーへのスクリプト攻撃が、誰でも容易にできる状態にあったとのことで、Wordfenceではその手法についてビデオでも解説しています。

「実際に何が行なわれたのかは不明です。しかし、WordpressなどのCMSは常に激しい攻撃に晒されています」と語るのは、インターネットセキュリティの専門メディアMalwarebytesのJérôme Segura氏。同氏はまた、「サードパーティ製のプラグインを多く使えば使うほど、安全を確保するのは難しくなります」とも語っています。

前述のWordfenceによると、Mossack Fonsecaはメールサーバーもウェブと同じサーバーで管理しており、Revolution Sliderの脆弱性を突き、悪意のあるスクリプトをサーバー上にアップロードすることで、簡単に情報を抜き出せる状態にあったとのこと。さらには、ファイヤーウォールなど基本的な対応も行なわれておらず、セキュリティ対策の面ではなんともお粗末な管理だったことが判明しました。

ワイアードはさらに、Mossack Fonsecaのウェブサイトのログイン機能が3年間も放置状態にあり、ユーザに対する定期的なパスワード変更を促すこともなかったことを指摘。バックエンドとして利用しているCMSのDrupalも3年以上前の穴だらけのバージョンを利用していたとのこと。Microsoft Outlookのログイン機能も、2009年から変えていなかったそうです。

米Gizmodoは、本件についてMossack Fonsecaに取材を行ないましたが、いまだ回答は得られていません。ウェブサイトにおけるセキュリティ対策の重要性を思い知らされる内容ですね。





FavoriteLoadingお気に入りAdd to favorites
WordPressに複数の脆弱性 最新版「WordPress 4.7.2」公開... WordPressに複数の脆弱性 Automatticは1月26日(米国時間)、「WordPress 4.7.2 Security Release」において、WordPressの最新版となる「WordPress 4.7.2」の公開を伝えた。このバージョンは脆弱性を修正したセキュリティリリー...
「Pokémon Go」のAndroidスパイウェアを含む海賊版に注意... 「Pokémon Go」のAndroidスパイウェアを含む海賊版に注意 任天堂の最新のモバイルアプリ「Pokémon Go」が米国で公開され、大人気となっている。だがゲーム用サーバーの負荷を考え、任天堂は米国外では限定的にしか提供していない。では米国外でPokémon Goをやってみたい人はど...
IPA、WordPressの脆弱性対策で最新版へのアップデートを呼びかけ... IPA、WordPressの脆弱性対策で最新版へのアップデートを呼びかけ 2017/02/06 19:21  独立行政法人情報処理推進機構(IPA)は2月6日、WordPressの脆弱性対策について発表した。 影響を受けるバージョンは、WordPress 4.7.0からWordPres...
WordPressのスマホ対応用プラグインにXSSの脆弱性... WordPressのスマホ対応用プラグインにXSSの脆弱性 スマートフォン向けの配信に利用されるWordPress向けプラグイン「WP Mobile Detector」に脆弱性が含まれていることがわかった。アップデートが公開されている。 同3.2以前のバージョンにクロスサイトスク...
WordPressやJoomlaサイトの改ざん相次ぐ、ランサムウェアへ誘導... WordPressやJoomlaサイトの改ざん相次ぐ、ランサムウェアへ誘導 改ざんされたWordPressサイトやJoomlaサイトをユーザーが閲覧すると、悪質なWebサイトへリダイレクトされ、ランサムウェアの「TeslaCrypt」に感染する恐れがある。  ユーザーをランサムウェア(身代金...
深刻な脆弱性に対応した「WordPress 4.2.2」が公開 – 即時更新を推奨... 深刻な脆弱性に対応した「WordPress 4.2.2」が公開 – 即時更新を推奨 深刻な脆弱性を解消したセキュリティアップデート「WordPress 4.2.2」が公開された。WordPressの開発チームは、早期適用を呼びかけている。 今回のアップデートは、コンテンツマネジメントシス...
WordPressの人気プラグイン「Akismet」にクロスサイトスクリプティング脆弱性... WordPressの人気プラグインにクロスサイトスクリプティング脆弱性 10月15日(米国時間)、Threatpostに掲載された記事「WordPress Fixes Stored XSS Vulnerability in Akismet|Threatpost|The first s...
WordPressのプラグイン「Jetpack」に脆弱性、直ちに更新を... WordPressのプラグイン「Jetpack」に脆弱性、直ちに更新を 悪用されれば管理者アカウントが乗っ取られたり、訪問者が不正なWebサイトに誘導されたりする恐れがある。  WordPressの人気プラグイン「Jetpack」の脆弱性を修正する更新版が5月27日に公開された。脆弱性はコメ...
WP人気SEOプラグイン「WordPress SEO by Yoast」にブラインドSQLiやCSR... WP人気SEOプラグインにブラインドSQLiやCSRFの脆弱性 コンテンツマネジメントシステム(CMS)の「WordPress」向け提供されているプラグイン「WordPress SEO by Yoast」において複数の脆弱性が修正された。 同製品は、WordPressにおいてサーチエンジ...
WordPress用ECサイト向けプラグイン「WP e-Commerce Shop Styling」... WordPress用ECサイト向けプラグインに脆弱性 WordPress向けに提供されているECサイト用プラグイン「WP e-Commerce Shop Styling」に深刻な脆弱性が含まれていることがわかった。 同ソフトは、CMSであるWordPressをECサイトとして利用する...




コメントを残す