実際に発表されたWordPressの脆弱性まとめ

2020.06.11

Webセキュリティ

実際に発表されたWordPressの脆弱性まとめ

WordPressはブログやホームページを簡単に作成することが出来るツールです。しかし、WordPressでブログやホームページを作成するときに注意が必要なのがサイバー攻撃を受けるリスクがある点です。サイバー攻撃からブログやホームページを守るために都度修正プログラムなどが更新されて対策する必要があります。ここではワードプレスの脆弱性について解説をしていきます。

目次

WordPressの脆弱性を理解する

ハッカーが他のオープンソースのソフトウェアに攻撃しやすいのが、ユーザー数の多いWordPressです。情報量が多くて使いやすいメリットがありますが、あまりにも情報がたくさん公開されていると、悪意を持っているハッカーにとっても都合が良く、情報量の多さが攻撃しやすい条件にも繋がります。WordPress本体だけでなく、より便利に利用するためのプラグインから攻撃されることもあるので、便利に使うことができるWordPressは、攻撃をされやすい欠点があることを理解しておく必要があります。
 
WordPressの脆弱性の問題が発生することが多く、悪意を持っているハッカーやクラッカーが、WordPressを利用している相手のコンピュータウイルスを感染させてブログやホームページの内容を勝手に改ざんします。世界的に見てもWordPressを使っているホームページが全体の3割だと言われています。ハッカーにとって攻略する方法を理解していれば世界中の3割のホームページを攻撃し、ウイルスで感染させることができるようになります。WordPressは共通の構造になっているところも、攻撃をうけやすいポイントになります。

 

攻撃をしかけるハッカーがサイトを攻撃するとき、WordPressを使っているユーザー、WordPress本体、WordPressで使えるプラグイン、この3つに対して巧みに攻撃をしかけてきます。ユーザーが攻撃をされるときは、ターゲット型の攻撃をしかけてきます。この攻撃を受けるとパソコンなどがマルウェア等に感染させられてしまいます。もし感染してしまうとそこから情報が流出してしまう危険性があります。

 

WordPressの本体が攻撃されるとリモートで簡単にWordPressを使って作られているWebサイトの改ざんが可能になりますし、攻撃されたサイトからの情報をリモートで不正取得することができます。

 

ハッカーはプラグインも攻撃してきます。WordPressを自由にカスタムするための多くのプラグインはとても便利ですが、プラグインに脆弱性の問題が発生すると、そこをハッカーが攻撃してきて悪用されます。プラグインが攻撃されてもそこからWebサイトの改ざんや情報の不正取得を容易にすることができます。

WordPress本体が攻撃される

2019年の10月15日にWordPress 5.2.3とさらに前のバージョンのWordPressに1箇所だけでなく複数の脆弱性があることが分りました。2019年と比較的新しい時期でも何かしらの問題が発生することを理解してWordPressを使うことが求められます。発見された問題点を悪用されると、悪意があるハッカーの攻撃で影響を受けたウェブサイトの制御権が乗っ取られるという危険に晒されてしまいます。つまりサイトの所有者の意思ではないところでコントロールされてしまう恐ろしい事例です。

 

この問題を解決するためにWordPressではWordPress 5.2.3から5.2.4へアップグレードすることを推奨しています。全Webサイトの34.6%がWordPressなので世界中で使われているプラットフォームだからこそ、日本でもWordPressを使ってサイトやブログを運営している企業や個人は他人事と思わずに、自分も危険に晒されてしまう危険性があることを認識して迅速にアップデートをすることをおすすめします。

WordPressのテーマやプラグインの脆弱性をつく

悪意があるハッカーはWordPress本体を攻撃するのではなく、ブログ内のテーマやプラグインの脆弱性をうまくついてくることもあります。WordPress本体だけでなくテーマやプラグインを改ざんして不正なサイトに誘導させる事例が確認されています。2018年に起きた攻撃では2,200件、2017年に起きた事例では150万件を超えるサイトの改ざんの被害が報告されています。テーマやプラグインを攻撃することは、ハッカーとしての知識がある人であれば遠隔地から簡単にWordPressのコンテンツを変更できてしまうほど、深刻な脆弱性があることが大きく問題になったケースがあります。

EUのデータが危険に晒される事例

2018年の11月にEUが施行した「一般データ保護規則」に準拠するために役立つプラグインに脆弱性があることが分りました。一般データ保護規則とは欧州連合の新しい個人情報を保護する枠組みで、その地域に住んでいる人の大切な個人データを円滑に処理するために必要な情報などに関するルールを定めた規則です。EUの地域でプラグインを使ったサイトがたくさんあり、プラグインのアップデートが公開されてから、適用する前に攻撃が行われてしまいました。被害があったサイトは内容を改ざんされるだけでなく、そのサイトを乗っ取られる可能性があるほど危険な状態でした。サイト内の改ざんや乗っ取りだけでなく、WordPressを攻撃する手段でよくある不正なサイトへの誘導などの被害も確認されています。

REST APIの脆弱性を突く

2017年2月10日にデータの書き換えが行われる事態が発生しました。これはWordPressのREST APIに存在する脆弱性が原因でした。この事態が発生したせいでリモートでデータの書き換えが遠隔から行えるようになりました。この問題を受けて「WordPress 4.7.2」のバージョンアップをして対応をしましたが、対応が出来なくてバージョンアップされていなかった150万を超える世界中のWEBサイトが攻撃を受けてしまう事態に陥ってしまった事例です。

 

その都度バージョンアップをして対処してきますが、それをする前に攻撃されてしまったらどうすることもできず被害に遭ってしまいます。世界中で起こりうる問題ですが、日本でも2013年にレンタルサーバを提供する会社で問題が発生しました。サーバ内のディレクトリのアクセス権限設定の問題が発生し、結果的に8000以上のサイトが改ざんされたという事件です。

 

手軽に利用することができて初心者の方が契約していることも多く、知識が未熟な人もいて、すぐに対応できないまま自分のWordPressのサイトが簡単に改ざんされてしまうことに繋がってしまうリスクがあるということを意識しながら、サイトの運営だけでなくセキュリティに関しても学ぶ必要があります。

悪意のあるスクリプトの埋め込み

WordPressの脆弱性を突く問題で良くあるのが、悪意のあるスクリプトの埋め込みです。脆弱性を悪用してサイトのテーマファイルを改変させられる事例も多いです。目的を持っているハッカーが悪意のあるスクリプトを埋め込むことで、そのサイトを訪れたユーザーの反応して何かしらのアクションがあって、最終的には自動的に別のサイトに飛ばされるなどの被害があります。

 

飛ばされたサイトが詐欺サイトだったり、そこから自分のパソコンやスマホにウイルスが感染してしまう可能性もあります。WordPressは使い勝手の良いサービスですが、ユーザーにまで迷惑をかけてしまう可能性があることを十分に理解してください。

サイバー攻撃を可視化・遮断する「攻撃遮断くん」

クラウド型WAF 攻撃遮断くん Web Application Firewall
https://www.shadan-kun.com/

 

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。

  • DDoS攻撃対策|導入社数、導入サイト数No.1|選ばれ続ける理由とは?クラウド型WAFでWebセキュリティ対策|今すぐ無料でダウンロード
  • 累計12,000サイトの導入実績 多数の事例から、導入までの経緯と抱えていた課題の解決方法をご紹介