[記事数:1,202] 日本を元気にするキーワード、地域活性化×中小企業× ITのTips and Quotes(秘訣と引用文)
creative  link  memo 

パナマ文書の流出原因は、WordPressのプラグイン? セキュリティが穴だらけだったことが判明



パナマ文書の流出原因は、Wordpressのプラグイン? セキュリティが穴だらけだったことが判明
2016.04.11 13:00

160409_panama_wordpress_2思わぬところに穴が…。

世界中の政治家や経済人、著名スポーツ選手など、いわゆる「世界トップの大金持ち」たちがタックスヘイブンで資産を隠しているのではないかという疑惑が浮上した、パナマ文書問題。その真相をめぐり、いまだ世界を揺るがし続けています。

その情報の流出元については、内部の何者かによるリーク(漏洩)説と、「リークではなくハック」だという説が囁かれています。真相はまだ不明ながら、もしハックだとしたら、Wordpressのプラグインが原因である可能性が浮上しました。

そのプラグインの名は「Revolution Slider」。以前、Slider Revolutionというプラグインを狙ったロシアのマルウェアがありましたが、それと同様、サイトの中に簡単にスライドのエフェクトを導入できるものです。

指摘をしたのは、WordfenceというWordpressのセキュリティを専門とする企業。ブログ記事によると、情報が漏洩した法律事務所Mossack FonsecaのウェブサイトはWordpressで構築されており、Revolution Sliderの古いバージョンを使用していたとのこと。

それにより、ファイルのアップロードやサーバーへのスクリプト攻撃が、誰でも容易にできる状態にあったとのことで、Wordfenceではその手法についてビデオでも解説しています。

「実際に何が行なわれたのかは不明です。しかし、WordpressなどのCMSは常に激しい攻撃に晒されています」と語るのは、インターネットセキュリティの専門メディアMalwarebytesのJérôme Segura氏。同氏はまた、「サードパーティ製のプラグインを多く使えば使うほど、安全を確保するのは難しくなります」とも語っています。

前述のWordfenceによると、Mossack Fonsecaはメールサーバーもウェブと同じサーバーで管理しており、Revolution Sliderの脆弱性を突き、悪意のあるスクリプトをサーバー上にアップロードすることで、簡単に情報を抜き出せる状態にあったとのこと。さらには、ファイヤーウォールなど基本的な対応も行なわれておらず、セキュリティ対策の面ではなんともお粗末な管理だったことが判明しました。

ワイアードはさらに、Mossack Fonsecaのウェブサイトのログイン機能が3年間も放置状態にあり、ユーザに対する定期的なパスワード変更を促すこともなかったことを指摘。バックエンドとして利用しているCMSのDrupalも3年以上前の穴だらけのバージョンを利用していたとのこと。Microsoft Outlookのログイン機能も、2009年から変えていなかったそうです。

米Gizmodoは、本件についてMossack Fonsecaに取材を行ないましたが、いまだ回答は得られていません。ウェブサイトにおけるセキュリティ対策の重要性を思い知らされる内容ですね。





FavoriteLoadingお気に入りAdd to favorites
WordPressに複数の脆弱性 – 最新版4.7.1がリリース... WordPressに複数の脆弱性 - 最新版がリリース WordPressの開発者は1月11日(米国時間)、「WordPress 4.7.1 Security and Maintenance Release|WordPress.org」において、脆弱性を修正した最新のセキュリティリリース「...
Yoast WordPress SEO plugin version 2.2脆弱性、2年を経て修正版... WordPress人気のプラグインに脆弱性、2年を経て修正版 6月11日(米国時間)、Threatpostに掲載された記事「Popular WordPress SEO Plugin Fixes XSS Bug|Threatpost|The first stop for security...
「WPTouch」など多数のWordPressプラグインに脆弱性... 「WPTouch」など多数のWordPressプラグインに脆弱性 WordPress向けに提供されている複数のプラグインから、クロスサイトスクリプティングの脆弱性が見つかっているとして、セキュリティベンダーが注意を呼びかけている。関数の誤使用に起因し、多数のプラグインが影響を受けているという。...
Google Analytics連携用のWordPress向けプラグイン「Google Analyt... 「Google Analytics」連携用のWordPress向けプラグインに脆弱性 「Google Analytics」との連携を実現する「WordPress」向けプラグイン「Google Analyticator」に脆弱性が含まれていたことがわかった。アップデートが公開されている。...
Chrome拡張Webpage Screenshotはスパイウェア! ウェブストアから削除... Chrome拡張Webpage Screenshotはスパイウェア! ウェブストアから削除 イスラエルの開発者が提供してたGoogle Chrome向け拡張機能 Webpage Screenshot(webページショット - Webpage Screenshot)。 ブラウザ画面内の...
WordPressの脆弱性を悪用したキャンペーンが発生... WordPressの脆弱性を悪用したキャンペーンが発生 Zscalerは9月25日(米国時間)、「Zscaler Research: Compromised WordPress Campaign - Spyware Edition」において、WordPressの脆弱性を悪用してユーザにマルウェ...
WordPressのスマホ対応用プラグインにXSSの脆弱性... WordPressのスマホ対応用プラグインにXSSの脆弱性 スマートフォン向けの配信に利用されるWordPress向けプラグイン「WP Mobile Detector」に脆弱性が含まれていることがわかった。アップデートが公開されている。 同3.2以前のバージョンにクロスサイトスク...
「Pokémon Go」のAndroidスパイウェアを含む海賊版に注意... 「Pokémon Go」のAndroidスパイウェアを含む海賊版に注意 任天堂の最新のモバイルアプリ「Pokémon Go」が米国で公開され、大人気となっている。だがゲーム用サーバーの負荷を考え、任天堂は米国外では限定的にしか提供していない。では米国外でPokémon Goをやってみたい人はど...
WordPressプラグイン「CCTM」にバックドア見つかる... WordPressプラグイン「CCTM」にバックドア見つかる 世界で最も多く使われているCMSであるWordPressは、ユーザーが多いことからサイバー攻撃の対象とされるケースが多い。また、WordPressをカスタマイズする目的で使われるプラグインに脆弱性が見つかることも多く、プラグインも...
WordPress用プラグイン「All in One SEO Pack」に情報管理不備の脆弱性... WordPress用プラグイン「All in One SEO Pack」に情報管理不備の脆弱性 情報処理推進機構(IPA)のセキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は3月31日、WordPress用プラグイン「All in One SEO Pa...




コメントを残す