「WordPress」に脆弱性、150万超のサイトが改ざん被害に

「WordPress」の重大な脆弱性

WordPressは2月2日、オープンソースのCMS(コンテンツ・マネジメント・システム)である「WordPress」の脆弱性について発表を行いました。それによると、脆弱性が存在するバージョンは「WordPress 4.7.0 から WordPress 4.7.1」で、これらのバージョンにはリモートからサーバ上にあるコンテンツを改ざんされる脆弱性があります。

WordPressではこの脆弱性に対応した新バージョン「WordPress 4.7.2」を1月26日に公開しており、こちらにバージョンアップすることで脆弱性を解消できます。WordPressでは脆弱性情報の公表を遅らせた理由として「利用者の安全を確保するため」という点を挙げています。

脆弱性は「WordPress 4.7」から新たに搭載された「REST API」という機能の処理に起因しています。このため「WordPress 4.7 系未満」は同脆弱性の影響を受けないとしています。同脆弱性はCMSへの投稿IDの検証不備が原因であるため、これを悪用することで権限のないコンテンツの内容を書き換えることが可能になります。

この脆弱性は容易に悪用できてしまうことが特徴で、特定の内容を含んだリクエストをGETまたはPOSTデータとして攻撃したいURLに送ることで、コンテンツの改ざんが可能になります。攻撃のためのURLにはいくつかのパターンがあり、JSON形式でも悪用が可能です。

簡単なリクエストを送ることで脆弱性を悪用できるため、2月中旬には世界中の「WordPress」利用サイト150万件以上が改ざん被害を受けているとされており、さらに被害が拡大中です。修正が行われるまで何回も改ざんされるケースが多く、IPAやJPCERT/CCなどが注意喚起を発表しています。

「WordPress」で発見された脆弱性の特徴

「WordPress」で発見された脆弱性の特徴は特定の内容を含んだリクエストをGETまたはPOSTデータとして攻撃したいURLに送ることで、簡単にコンテンツを改ざんできること

狙われるCMSの脆弱性

CMSはブログコンテンツを制作するためのソフトウェアですが、更新作業や管理が容易なため、ブログだけでなくWebサイトの更新にも利用されています。またオープンソースであるため、アドオンソフトウェアやプラグインソフトが豊富に提供されており、これらを利用することで、さまざまな機能を簡単に追加できることも特徴です。

一方で、CMSは利用者の多いオープンソースソフトウェアであるため、脆弱性が発見された場合の影響も大きくなります。こうしたソフトウェアの脆弱性にはサイバー攻撃者も注目しており、脆弱性が発見された際にはすぐに攻撃を仕掛けてきます。

CMSの提供元は脆弱性が発見されるとすぐにアップデートやパッチの提供を行いますが、多くの導入環境には複数のアドインやプラグインも導入されているため、バージョン管理が難しくなり、アップデートやパッチの適用に時間がかかるケースが多くなっています。さらに部署ごとにCMSを導入するなど複数のCMSが存在しているケースも少なくなく、結果として脆弱性が放置されてしまうのが実情です。

ブログやサイトが改ざんされてしまうと、企業の意図しない情報が掲載されてしまったり、マルウェアを仕込まれてしまう危険性があります。またCMSに個人情報を書き込むようなページがあると、そこに書き込まれた個人情報を盗み出されてしまう危険性もあります。特に前者のケースでは、被害者であるはずの企業がサイバー攻撃に加担してしまう結果になってしまいます。

求められるバージョン管理

ソフトウェアで発見された脆弱性は、パッチやアップデートの適用で解消できます。しかし現実には、システム上に複数のソフトウェアが動作しており、パッチやアップデート適用時の影響を事前にチェックするためのテスト環境を構築することが難しく、また時間もかかってしまいます。また脆弱性はしばしば発見されるため、その都度の対処が必要となり、非常に手間のかかる状況となっています。

たとえばソフトウェアの脆弱性をその都度改修するのではなく、その脆弱性を悪用しようとするリクエストをゲートウェイで検出して対処できれば、結果として脆弱性を保護することができます。これが「WAF(Webアプリケーションファイアウォール)」の考え方で、ソフトウェアの脆弱性対策として有効とされています。

WAFを導入することで、ソフトウェアにパッチやアップデートを施すことなく、脆弱性を狙う攻撃からシステムを守れるため、WAFで攻撃に対処している間にソフトウェア改修のスケジュールを行い、定期メンテナンスに合わせて改修を行うことができます。

WAFでは脆弱性に対する攻撃コードをシグネチャとして持ち、新たな脆弱性が発見されたときには、その脆弱性を悪用する攻撃コードを登録することになります。このためシグネチャが膨大になると処理に時間がかかるようになるので、定期的なチューニングが必要になり、この作業には高いスキルが求められます。

そこで、WAFでもクラウドサービスとして提供されるものが人気です。クラウドサービスのため、企業内に機器を新たに設置する必要がなく、機器の運用や管理、シグネチャのチューニングも提供ベンダーが行うため、手間なく利用できます。

次々に発見される脆弱性に対して、自社が加害者にならないためにも、導入を検討してはいかがでしょうか。

WAFの導入に関して

WAFを導入することで、ソフトウェアにパッチやアップデートを施すことなく、脆弱性を狙う攻撃からシステムを守れる。WAFでもクラウドサービス型が人気を集めている