[記事数:1,202] 日本を元気にするキーワード、地域活性化×中小企業× ITのTips and Quotes(秘訣と引用文)
creative  link  memo 

パナマ文書の流出原因は、WordPressのプラグイン? セキュリティが穴だらけだったことが判明



パナマ文書の流出原因は、Wordpressのプラグイン? セキュリティが穴だらけだったことが判明
2016.04.11 13:00

160409_panama_wordpress_2思わぬところに穴が…。

世界中の政治家や経済人、著名スポーツ選手など、いわゆる「世界トップの大金持ち」たちがタックスヘイブンで資産を隠しているのではないかという疑惑が浮上した、パナマ文書問題。その真相をめぐり、いまだ世界を揺るがし続けています。

その情報の流出元については、内部の何者かによるリーク(漏洩)説と、「リークではなくハック」だという説が囁かれています。真相はまだ不明ながら、もしハックだとしたら、Wordpressのプラグインが原因である可能性が浮上しました。

そのプラグインの名は「Revolution Slider」。以前、Slider Revolutionというプラグインを狙ったロシアのマルウェアがありましたが、それと同様、サイトの中に簡単にスライドのエフェクトを導入できるものです。

指摘をしたのは、WordfenceというWordpressのセキュリティを専門とする企業。ブログ記事によると、情報が漏洩した法律事務所Mossack FonsecaのウェブサイトはWordpressで構築されており、Revolution Sliderの古いバージョンを使用していたとのこと。

それにより、ファイルのアップロードやサーバーへのスクリプト攻撃が、誰でも容易にできる状態にあったとのことで、Wordfenceではその手法についてビデオでも解説しています。

「実際に何が行なわれたのかは不明です。しかし、WordpressなどのCMSは常に激しい攻撃に晒されています」と語るのは、インターネットセキュリティの専門メディアMalwarebytesのJérôme Segura氏。同氏はまた、「サードパーティ製のプラグインを多く使えば使うほど、安全を確保するのは難しくなります」とも語っています。

前述のWordfenceによると、Mossack Fonsecaはメールサーバーもウェブと同じサーバーで管理しており、Revolution Sliderの脆弱性を突き、悪意のあるスクリプトをサーバー上にアップロードすることで、簡単に情報を抜き出せる状態にあったとのこと。さらには、ファイヤーウォールなど基本的な対応も行なわれておらず、セキュリティ対策の面ではなんともお粗末な管理だったことが判明しました。

ワイアードはさらに、Mossack Fonsecaのウェブサイトのログイン機能が3年間も放置状態にあり、ユーザに対する定期的なパスワード変更を促すこともなかったことを指摘。バックエンドとして利用しているCMSのDrupalも3年以上前の穴だらけのバージョンを利用していたとのこと。Microsoft Outlookのログイン機能も、2009年から変えていなかったそうです。

米Gizmodoは、本件についてMossack Fonsecaに取材を行ないましたが、いまだ回答は得られていません。ウェブサイトにおけるセキュリティ対策の重要性を思い知らされる内容ですね。





FavoriteLoadingお気に入りAdd to favorites
偽のjQueryを利用した攻撃、「WordPress」「Joomla」を利用するサイトで急増... 偽のjQueryを利用した攻撃、「WordPress」「Joomla」を利用するサイトで急増 Charlie Osborne (Special to ZDNet.com) 翻訳校正: 村上雅章 野崎裕子 2016年04月05日 16時32分  サイバーセキュリティ企業Avast Softwa...
レノボ製パソコンにスパイウェア、2省・市が注意喚起... レノボ製パソコンにスパイウェア、2省・市が注意喚起 2016/01/08 14:52 JST配信  東北部地方クアンニン省人民委員会はこのほど、「スパイウェア」をプリインストールされた中国の聯想集団(Lenovo Group=レノボグループ)製のパソコンの使用に注意を促す公文書を各部局や市・...
「WordPress 4.2.3」公開、XSSの脆弱性を修正... 「WordPress 4.2.3」公開、XSSの脆弱性を修正 XSSの脆弱性を悪用された場合、「投稿者」「寄稿者」の権限を持つユーザーがWebサイトを制御できてしまう恐れがある。  WordPressの脆弱性を修正した更新版の「WordPress 4.2.3」が7月23日付でリリースされた。...
WordPress用モバイル対応プラグイン「WP Mobile Detector」にゼロデイ攻撃 &... WordPress用モバイル対応プラグインにゼロデイ攻撃 - 修正版が公開 「WordPress」において、モバイル端末向けに最適なテーマを表示するためのプラグイン「WP Mobile Detector」に脆弱性が存在し、ゼロデイ攻撃が発生していたことがわかった。修正版がリリースされている。 ...
「Pokémon Go」のAndroidスパイウェアを含む海賊版に注意... 「Pokémon Go」のAndroidスパイウェアを含む海賊版に注意 任天堂の最新のモバイルアプリ「Pokémon Go」が米国で公開され、大人気となっている。だがゲーム用サーバーの負荷を考え、任天堂は米国外では限定的にしか提供していない。では米国外でPokémon Goをやってみたい人はど...
WordPressプラグイン「CCTM」にバックドア見つかる... WordPressプラグイン「CCTM」にバックドア見つかる 世界で最も多く使われているCMSであるWordPressは、ユーザーが多いことからサイバー攻撃の対象とされるケースが多い。また、WordPressをカスタマイズする目的で使われるプラグインに脆弱性が見つかることも多く、プラグインも...
WordPress、人気eコマースサイトプラグインに脆弱性... WordPress、人気eコマースサイトプラグインに脆弱性 11月22日(米国時間)、Threatpostに掲載された記事「WordPress Plugins Leave Online Shoppers Vulnerable|Threatpost|The first stop for se...
乗っ取りの危険性、WordPress 4.3.1のアップデート呼びかけ... United States Computer Emergency Readiness Team (US-CERT)は9月15日(米国時間)、「WordPress Releases Security Update」において、WordPressに2つのクロスサイト・スクリプティングの脆弱性が存在すると伝...
WordPress用ECサイト向けプラグイン「WP e-Commerce Shop Styling」... WordPress用ECサイト向けプラグインに脆弱性 WordPress向けに提供されているECサイト用プラグイン「WP e-Commerce Shop Styling」に深刻な脆弱性が含まれていることがわかった。 同ソフトは、CMSであるWordPressをECサイトとして利用する...
「WordPress」に深刻な脆弱性 – セキュリティ更新が公開... 「WordPress」に深刻な脆弱性 - セキュリティ更新が公開 コンテンツマネージメントシステム(CMS)の「WordPress」に、深刻な脆弱性が含まれていることがわかった。脆弱性を解消するセキュリティアップデートが公開されており、早急に更新するよう強く推奨されている。 セキュリティ...




コメントを残す