[記事数:1,202] 日本を元気にするキーワード、地域活性化×中小企業× ITのTips and Quotes(秘訣と引用文)
creative  link  memo 

150万サイトが被害、WordPressを狙った改ざんの教訓



150万サイトが被害、WordPressを狙った改ざんの教訓
北郷 達郎=日経NETWORK 2017/03/08 日経NETWORK

2017年2月、コンテンツ管理システム「WordPress」を利用するWebサイトが改ざんされる被害が相次いだ。世界中で155万以上のサイトが改ざんされ、国内でも多数の攻撃が確認された。原因は、WordPressの脆弱性(バグ)。あまりに深刻な脆弱性だったため、同ソフトの公式サイト「WordPress.org」では、脆弱性を修正したバージョンの提供開始から、1週間遅らせて脆弱性の詳細情報を公開した。ユーザーに修正版を適用する時間を与え、脆弱性情報を参考にした攻撃の被害を防ぐためだ。しかし、あまり効果はなかったようだ。

今回の脆弱性は特に深刻

WordPressはオープンソースで開発されているコンテンツ管理システム(CMS;Content Management System)で、広く使われている。オーストリアの調査会社Q-Successによると、世界中で27.5%のWebサイトが利用しているという。CMSのシェアでは58.7%を占める。WordPressの機能を拡張するプラグインも様々な開発者によって多数開発され、オープンソースとして公開されている。

WordPressに深刻な脆弱性が見つかったのは今回が初めてではない。頻繁に見つかっている。だが、その多くはプラグインの脆弱性だ。該当のプラグインを使っていなければ影響を受けない。また、攻撃を成功させるには、ある程度の工夫が必要なことがほとんどだ。

だが、今回の脆弱性はWordPress本体に見つかった。プラグインの使用の有無にかかわらず影響を受ける。しかも、Webサイトのコンテンツを簡単に書き換えられるという、極めて深刻なものだった。

具体的には、コンテンツの書き換え権限のチェックに問題があった。権限のないユーザーでも、特定の文字列を送るだけで権限のチェックを回避して、コンテンツの書き換えが可能になった。

公開から48時間以内に攻撃コード

ベンダーなどが脆弱性情報を公開する場合には、修正版やパッチを同時に公開することが多い。ところが、今回の脆弱性は非常に深刻だったため、WordPress.orgでは脆弱性を修正した4.7.2版を1月26日に公開。脆弱性情報はその1週間後の2月1日に公開した。

いわば、ユーザーに1週間の猶予期間を与えた形だ。脆弱性情報が公開されれば攻撃者はすぐに解析し、脆弱性を悪用する攻撃コードを作成する。このため、攻撃コードが出回る前に修正してもらおうと考えた。

実際、攻撃コードはすぐに出回った。今回の脆弱性を発見した米Sucuriによれば、脆弱性情報が公開されてから48時間以内に複数の攻撃コードが公開され、その後、攻撃が急増したという。

米Sucuriが観測したWordPressに帯する攻撃
脆弱性情報の詳細が公開されてから、48時間以内に攻撃コードが公開され、攻撃が急増した(出所:米Sucuri)
関連記事:WordPress REST API Vulnerability Abused in Defacement Campaigns

国内でも同じような状況だったようだ。サイバーセキュリティクラウドは、2月4日から攻撃が急増したことを報告している。

サイバーセキュリティクラウドが公開した日本における攻撃状況
国内の攻撃状況も海外と同様。脆弱性の詳細が明らかになった3日後から攻撃が急増している(出所:サイバーセキュリティクラウド)
関連記事:サイバーセキュリティクラウドのプレスリリース

対策は間に合わなかった

 攻撃の増加は想定内だった。だが対策は、WordPress.orgが考えたようには進まなかったようだ。2月6日時点で、Sucuriは6万以上のWebサイトが改ざんされたと推測。2月9日には、セキュリティベンダーの米Feedjitが、155万以上のサイトが改ざんされたと報告している。せっかくの猶予期間が生かされなかった。

関連記事:A Feeding Frenzy to Deface WordPress Sites
 「修正版やパッチが公開されたらすぐに適用すべき」――。セキュリティのセオリーの一つだ。今回の“WordPress事件”は、その重要性を改めて浮き彫りにした。特にインターネットで公開しているサーバーなどは、常に攻撃の危険にさらされている。脆弱性情報が公開されれば、そこを突く攻撃コードはすぐに作られる。

 脆弱性対策は時間との勝負だ。企業システムの場合は動作検証が必要なので、公開されたからといって、修正版やパッチをすぐに適用するのは難しいだろう。だが、使用しているソフトを把握し、それらのセキュリティ情報を常に気を配っていれば、対応は可能だ。特に、今回のように猶予期間がある場合には、検証の時間は十分に取れるだろう。





FavoriteLoadingお気に入りAdd to favorites
日本政策学校-主義主張・政党を越えて政治を志す人の学びの場... 日本政策学校-主義主張・政党を越えて政治を志す人の学びの場
波佐見焼でお守りとおみくじ 「コンプラ瓶」モデルに... 波佐見焼でお守りとおみくじ 「コンプラ瓶」モデルに 2015年12月28日 01時07分  長崎県波佐見町の金屋神社は31日午後11時から、コンプラ瓶を模した波佐見焼のお守りとおみくじ=写真=を個数限定で提供する。  江戸時代、酒やしょうゆの輸出に用いられたコンプラ瓶は、波佐見で...
Google XML Sitemaps  Google検索にXMLサイトマップを自動送信... Google XML Sitemapsの設定方法 あなたのコンテンツをしっかり検索エンジンに認識してもらうためには、サイトマップは必須である。だが、記事の公開や更新に合わせて毎回、このサイトマップを手動で編集してアップロードするのは非常に手間だ。 そこで、Google XML...
ACTiVO(アクティボ)「何かしたいあなた」と「待っている人」を繋ぐ、国内最大級のボランティアデー... ACTiVOとは? ACTiVOは、「何かしたいあなた」と「待っている人」を繋ぐ、国内最大級のボランティアデータベースサイトです。 「何かしたい人」と「ボランティアを求める非営利団体」が出逢って、互いに新たな一歩を踏み出すことができ、最終的には、「助けを待っている人」に確実に支援を届ける...
スタバ、「利益好調でも債務超過」の驚愕事態... スタバ、「利益好調でも債務超過」の驚愕事態 東洋経済オンライン 2/11(土) 5:00配信  2016年12月13日付の日本経済新聞に、ひっそりとスターバックス コーヒー ジャパン(以下、SBJ)の決算公告が掲載された。その内容は同社のイメージを大きく覆す驚くべき内容だった。 この決...
見舞金、災害義援金などの「目録」の書き方... 見舞金、災害義援金などの「目録」の書き方 ●目録の袋 目録の表書きは「目録」と書きます。 水引きがついた熨斗袋は使わず、白い封筒に入れます。或いは奉書紙を買って、自分で作っても良いと思います。 ●目録の用紙 基本的には和紙を用います。 しかし、堅苦しく考えるよりも、「自分たちがで...
「泊まれる本屋」がコンセプトのホステル「BOOK AND BED TOKYO」... 最高の「寝る瞬間」とは「読書中の寝落ち」 泊まれる本屋「BOOK AND BED TOKYO」が11月5日池袋に開店 ねとらぼ 2015年10月25日(日)13時57分配信 最高の「寝る瞬間」とは「読書中の寝落ち」 泊まれる本屋「BOOK AND BED TOKYO」が11月5日池袋に開...
表参道で新潟県が「チューリップロード」... 表参道で「チューリップロード」 新潟県が県産PR – Area Project

コメントを残す