被害サイト155万超え!WordPressで発生したページ改ざんの脆弱性とは

 2017.04.11 Secure Enterpriseポータル

2014年より、WordPressを狙ったページ改ざんなどのサイバー攻撃は、ほとんど成功していないという状況が続いていました。故にユーザー企業からの信頼性も高く、多くの企業がWordPressによりWebサイト運営を行っているかと思います。

しかし先般、155万サイト以上がページ改ざんの被害に遭うという、史上最悪かつ最大の脆弱性が発生したことで、WordPressに対するセキュリティ的な信頼を失った方も多いのではないでしょうか。

また、WordPressに重大な脆弱性が存在すると知りつつも、未だ対応できていないという企業も少なくありません。

そこで今回は、この度WordPressで発生した脆弱性について解説しつつ、今後どのようにセキュリティ対策を施していけばいいのかについて解説します。シマンテック クラウド型WAFによる防御についてもご注目ください。

155万サイトが被害に遭った「REST API脆弱性」とは

今回発生したWordPressの脆弱性は、バージョ4.7.1で発見されたものであり、2017年1月26日にリリースされたバージョン4.7.2では既に修正されています。いくつか修正された脆弱性の中でも、特に深刻性の高いREST API脆弱性については2月1日まで情報が伏せられた状態でした。

しかし、脆弱性情報が公開されてから2日と経たずに攻撃コードをがネット上で投稿され、2月9日までに155万を超えるWebサイトが被害に遭いました。

参考:155万サイトが改ざん被害、WordPressのREST API脆弱性を20のグループが攻撃、米Feedjit報告(http://internet.watch.impress.co.jp/docs/news/1043880.html)

では、この深刻性高い脆弱性が発生したREST APIとは何でしょうか?Webサイト運営を行っている担当者でも、開発に携わっていなければ聞きなれない言葉ではないかと思います。

そもそもAPIとは、ソフトウェアが持つ機能の一部を公開し、他のソフトウェアと共有できるようにする仕組みです。APIを活用すれば新たな機能を一から実装する必要がなく、外部から求める機能を呼び出して実装させることができます。

そしてREST APIとは、「REST」という原則に沿った形で設計されたAPIであり、現在多くのAPIがREST形式で設計されています。かみ砕いて言えば「汎用性の高いAPI」といったところです。

具体的な被害についてですが、このREST API脆弱性を悪用された場合、認証を受けないユーザーがWordPressで構築しているWebサイトのコンテンツやページを改ざんできてしまう可能性があります。

つまり、嫌がらせあるいは政治的な理由で管理者の意図していないページを表示させられたり、ユーザーを不正ページへと誘導しそこから個人情報を搾取されてしまうといった被害が発生します。

いずれにしろ、Webサイトとしての信頼性を低下させるには、十分な効果を持つサイバー攻撃だと言えます。

オープンソースに潜む危険なリスク

WordPressはオープンソースで提供され、権利に関係なく誰もが自由に利用、再配布などが可能なソフトウェアです。無償で利用できること、そしてセキュリティ性が比較的高いことからも人気があり、世界中の4分の1以上のWebサイトがWordPressで構築されていると言います。
参考:WordPress、世界のWebサイトの27%超えるシェア獲得(http://news.mynavi.jp/news/2016/11/21/330/)

しかし今回の脆弱性発見を受け、オープンソースは危険性が高いという事実を再認識した企業が多いのではないでしょうか。

  • 「商用ソフトウェアとして提供されているか」
  • 「無償で提供されているソフトウェアか」

ソフトウェアが持つ脆弱性の数や危険性は、上記2つの要素によって決定すると言っても過言ではありません。

商用ソフトウェアは脆弱性の発生や信頼性の低下が死活問題となるため、ソフトウェア開発を慎重に行い、可能な限り脆弱性を発生させない体制を整えます。

対してオープンソースソフトウェアは「継続的な開発、修正でソフトウェアを完成させてえいく」という考えのもと開発されているものも多く、セキュリティ性にそこまで力を入れていないというソフトウェアが少なくありません。

その中でも、WordPressは比較的セキュリティ性が高いオープンソースソフトウェアでした。それでも尚重大な脆弱性が発生したということは、やはりオープンソースのソフトウェアに潜む危険性を物語っています。

安全なWebサイト運営を実現するためには?

オープンソースとしての危険性が潜んでいると認識していても、利便性や導入メリットが高いWordPressを活用する企業は多いかと思います。その際は、Webサイトの安全性を確保するためいくつかのポイントを抑える必要があります。

アップデートを確実に対応する

REST API脆弱性でコンテンツやWebサイト改ざんに遭った企業は、アップデート対応をバージョン7.4.1以前のバージョンを使用していた企業です。つまり、重大な脆弱性が発生しても、アップデートへ迅速に対応していれば被害に遭う可能性を最大限に低下させることができます。

予防、対策、解決を意識する

予防はWordPressで脆弱性が発生しても、アップデート対応などで事前にリスクを回避すること。対策はコンテンツのバックアップを取っておいたり、サイバー攻撃を防御するようなソリューションを導入すること。そして解決は、対策でサイバー攻撃を取りこぼしたとしても、迅速に対処することで被害を防ぐ、あるいは最小限に留めるという対策です。

WordPressのようなオープンソースソフトウェアを使用する際は、これら3つの観点からセキュリティ環境を見つめ、対策を取ることが重要になります。

改ざん検知の仕組みを導入する

前述した解決の部分では、Webサイトのコンテンツやページを改ざんされたとしても、それを検知する仕組みを導入しておくことが有効的です。具体的には、Webサーバの前面に設置されるWAF(ウェブアプリケーソンファイアウォール)を導入することで検知の仕組みを導入することができます。

シマンテックのクラウド型WAFでWordPressを保護しよう

シマンテックが提供するクラウド型WAFは、面倒なインフラ調達やネットワークの再構成を必要とせず、Webサイトへ迅速にWAFを導入できるサービスです。

WAFを導入することで、コンテンツやページの改善を含めWebサイトへ実行される様々なサイバー攻撃(SQLインジェクションクロスサイトスクリプティングなど多数)を防ぎ、安心安全なWebサイト運営を実現することができます。

オープンソースのWebアプリケーションフレームワークとして広く普及しているApache Strats2の脆弱性対策にも対応しているため、総合的に自社Webサイトのセキュリティ性を高めることが可能です。

まとめ

ソフトウェアから脆弱性が一切無くなることは、基本的にはありません。それがオープンソースソフトウェアであれば尚のこと、今までセキュリティ性が比較的高いとされてきたWordPressも例外ではないのです。

しかしオープンソースソフトウェアのメリットを手放せない気持ちも分かります。だからこそ、安心安全なWebサイトを目指して様々な対策を取る必要があるのです。

現在WordPressを導入しWebサイトを運営しているものの、セキュリティ性に不安がある企業はシマンテック クラウド型WAFでコンテンツやページ、並びに重要情報を保護していきましょう。