WordPressの脆弱性をついたWebサイト改ざん事件から分かること

 今ではブログの作成のみならず、Webサイト全体を簡単に作ることができるCMSとして普及しているWordPress。

 オープンソースなので費用はかからない上に、プラグインも充実しているという利点もあり、世界中で使いまくられています。

 

 ただ、大勢が使っているということは、犯罪者に狙われやすいということでもあります。

 WordPressは、たびたび脆弱性が問題になってその修正版が作れてきました。

 しかし、2017年1月26日発表の4.7.2版で修正された脆弱性は、かつてないくらいやばいものでした。

 攻撃者が細工したリクエストを送ると、攻撃されたWebサイトの内容が簡単に書き換えできてしまうという脆弱性です。

 IPA発表の情報

 

 WordPressの公式サイトWordPress.orgでは、4.7.2版を発表した翌週の2月1日に脆弱性の内容を公表しました。

 こういったメジャーなソフトウェアの重大な脆弱性は、公表されるとすぐに悪者が攻撃用のソフトウェアを作成して攻撃を行います。

 無差別に攻撃が行われますが、被害を受けるのは最新版にアップデートしていなかったらセキュリティパッチを適用していなかったりするユーザです。

 ですから、非常に重い脆弱性が発見された今回は、4.7.2版へ必ずアップデートするようにアナウンスし、一週間の期間を空けて脆弱性の内容を公表しました。

 しかし、結局は一週間の期間中にアップデートされなかったWebサイトは数多くあり、世界中で150万件の改ざん被害が発生したそうです。

 

 ここからわかることは、外部に公開されているサーバで使っているソフトウェアで重大なアップデートの情報があった場合には、とにもかくにも対策を行わなければいけないということですね。脆弱性の内容が発表されてしまったら、ほぼ即時に攻撃手法が開発され、攻撃が開始されてしまう世の中です。(これをゼロデイ攻撃といいます)

 

 攻撃者は技術力が高く暇なので仕事が速く、防御する利用者側は知識不足な上に忙しく仕事が遅いというのがインターネットの世界の実情のようです。

 

コラム一覧へ