こんにちは、吉政創成 菱沼です。
WordPressはユーザーも多いことから、脆弱性が良く発見されます。そして、テーマやプラグインの脆弱性が見つかることも、そしてそれを利用した攻撃が行われることもまた多々あります。
そして、バージョンアップの準備中や、バージョンアップによってサイトの機能が使えなくなってしまうかもしれないということにためらっている隙を狙って攻撃されてしまったという話もよく耳にします。
今回は最近話題のFileManagerのニュースと共に、脆弱性を攻撃されたことでWebサイトが一週間使えなくなってしまったという事例をご紹介します。
■WordPressもプラグインもテーマも常に脆弱性を狙われている
JVNの脆弱性対策情報データベースで2020年1月以降を検索してみると、プラグインを含めたWordPress関係の脆弱性は142件確認されており、内危険とされているものは22件、警告も入れれば109件あったようです。(WordPress単体だと詳細は未確認ですが11件程出ていました。)
そして直近で話題に上がっているのが、2020年9月、WordPressのプラグイン「FileManager」(サーバへのファイルのアップロードや削除などの操作機能を追加するもの)に深刻な脆弱性が発見されたというニュースです。
ここで発見された脆弱性の中身は、認証されていない遠隔の第三者によって、悪意のあるファイルをアップロードされ、任意のコードが実行される可能性があるというもので、すでに脆弱性が対応されたバージョンにアップデートするよう呼び掛けられていました。
そしてつい先日、警視庁から「WordPress用FileManagerを標的としたアクセスの観測等についてのレポート」が公開されました。
このレポートによると、9月10日頃にFileManagerプラグインへのアクセスを観測した後、10月13日からアクセスが増加した事を観測したということです。
アクセスの内容から、まずはプラグインのバージョンを確認するための行為と考えられるものだったようですが、実際に脆弱性を使用するアクセスも見受けられたようです。
Webサーバの改ざんやファイル蔵置、情報漏洩の原因となりうるため、バージョン 6.9 以降にアップデートすることが推奨されています。まだの方はお早めにご確認いただき、ご対応くださいね。
■脆弱性が見つかったら早めに対応がベストなのはわかっているけれど
そんなわけで、WordPressは人気なCMSであるがゆえに、いろんなサイバー攻撃にあっています。
とはいえ、どんなツールでも脆弱性はあるもので、人気があるからこそいっぱい脆弱性は見つかりますが、アップデートも割と早い段階で提供されるという面があります。
そして、脆弱性が見つかったらすぐ対応できるのが一番ですが、アップデートしたら機能が動かないものが出てくるのではないか、そもそも人手が足りないという課題はどの企業でも持っていて、どうしても後回しになりがちなのも事実です。
ですが、攻撃者が待ってくれるわけもなく、ゼロデイ攻撃なんていう脆弱性対応バージョンが出る前にやってしまえというお仕事がとっても速い攻撃者もいるわけです。
最近では中小企業を足掛かりに大企業のネットワークに入り込むというサプライチェーン攻撃も流行っていますので、そうしたものの対象とならないよう、セキュリティ対策をしっかりと行って、なるべくリスクは低くしておきたいところです。
そのためにも、何かしらの対策や対応を行ってくれる先を見つけておくことは万が一の時に役に立ちますし、事業によっては定期的にWebサイトを脆弱性診断しておくなど、何かが起きる前に把握できるような対策をとっておく必要もあるかもしれません。
今回ご紹介する事例は数年ほど前のものではありますが、WordPressの脆弱性が見つかってアップデートのアナウンスがあったころにサイトがハッキングされ、サイトが1週間使えない状態になってしまったようです。このサイトは会社の顔であるコーポレートサイトであったため、信用問題に繋がります。もし通販サイトのような顧客情報を持ち、売上に直結するようなサイトがハッキングされていたとしたら、その被害はより甚大なものになっていた可能性があります。
この企業ではKUSANAGIマネージドプランを採用することで、WordPressアップデートをプライム・ストラテジーに依頼し、安全にアップデートを完了させました。また、最新のOSとミドルウェアになっているKUSANAGIの環境に移ったことで、より安全な環境となりました。
もし、WordPress本体やプラグインのバージョンアップに悩まれている企業の方がおられましたら、ぜひプライム・ストラテジーにご相談ください。
それでは最後に事例のご紹介です。
■事例のご紹介
コーポレートサイトがハッキング被害に!「KUSANAGI」で問題いっぺんに解決!
株式会社ホールハート / HALLHEART
<課題>
・WordPressを用いたコーポレートサイトがハッキングされた
・アップグレードすると不具合が出るおそれがあり、逆にしないとハッキングの可能性が高まるという、前にも後ろにも進めない状況
<効果>
・手間をかけることなくセキュリティを強化できた
・アップグレードすることによる不具合の可能性が低下した
<お客様コメント>
コーポレートサイトに関しては、セキュリティの問題がクリアになった安心感が一番の恩恵です。WordPressを使ってサイトを構築して運用を開始してしまった以上、途中からシステムの変更も難しい。アップグレードすると不具合が出るおそれがあり、逆にしないとハッキングの可能性が高まるという、前にも後ろにも進めない状況で困っていました。そうこうしているうちに実際にハッキングされてしまった訳です。今回そうして悩みから解消されたことで、大いに助かりました。https://www.prime-strategy.co.jp/achievements/jirei_hallheart/
