WordPressの脆弱性を突かれて攻撃!?セキュリティ対策、忘れていませんか?不正アクセスの手口や対処法を解説
- 2021.09.162024.01.30
ブログやウェブサイトを簡単に立ち上げることができる「WordPress(ワードプレス)」。ライセンス費用が無料で、手軽に使えるCMS(Contents Management System)であることから、ECサイトのコンテンツマーケティングにも広く活用されています。
「WordPress」はとても便利なソフトウェアですが、セキュリティ対策をおこたると、悪意のある第三者から攻撃を受けるリスクもあります。そのため、不正アクセス対策や、サイトの改ざんを防ぐ対策が欠かせません。
そこで株式会社フューチャーショップは、「WordPress」のセキュリティ対策をテーマとしたオンラインセミナー「悪意のある攻撃の“手口”とは?WordPressセキュリティ対策ガイド」を8月5日に開催しました。
講師を務めてくださったのは、サーバホスティングサービスなどを手がけている株式会社フューチャースピリッツの大前司さんと照屋祐太さん。ウェブサイトの制作会社で働いた経験を持ち、現在はカスタマーサポートやエンジニアの立場でサーバ管理に携わっているお二人が、「WordPress」をターゲットとした攻撃の手口や、サイトを守るためのセキュリティ対策について詳しく解説してくださいました。
すぐに使えるセキュリティ対策のノウハウが満載だったオンラインセミナーをレポートします。
株式会社フューチャーショップ ECアドバイザー 稲生達哉(写真左上)、株式会社フューチャースピリッツ カスタマーコミュニケーション部 大前司 氏(写真右上)、株式会社フューチャースピリッツ サーバーホスティング本部 サービス運用部 照屋 祐太 氏(写真下)
目次
WordPressを使うすべての企業が攻撃を受ける可能性
WordPressはオープンソースのソフトウェアであるため、システムの脆弱性が発見されると、その弱点を突いたサイバー攻撃が発生しやすくなります。また、世界中で膨大な数のウェブサイトにWordPressが使われているため、無差別にサイバー攻撃を仕掛ける側にとっては攻撃の効率が良く、「サイバー攻撃のターゲットになりやすい」(大前さん)ことで知られています。
さらに、WordPress本体への攻撃だけでなく、WordPressのプラグイン(WordPressに追加するオプション機能で、主にサードパーティが開発している)の脆弱性が狙われるケースも少なくありません。
プラグインの脆弱性を利用した攻撃も増えている
大前さんは、「WordPressはセキュリティ的にも優れているため、使い方さえ間違えなければ簡単に攻撃されることはない」と説明した上で、「基本的なセキュリティ対策を徹底することが重要」と強調しました。
また、WordPressをターゲットにしたサイバー攻撃は「無差別」に行われることが多いことも説明し、「すべての企業が攻撃を受ける可能性がある」(大前さん)と指摘しました。
「自社のウェブサイトが狙われることはない」と思うかもしれませんが、ターゲットを特定せずに無差別で行われるサイバー攻撃の件数は、ターゲットを定めた攻撃よりも圧倒的に多いです。つまり、すべての企業が攻撃を受ける可能性があるということです(大前さん)
ターゲットを特定せずに「無差別」で攻撃するサイバー攻撃の件数は、ターゲットを定めた攻撃よりも多いことを説明した上で、「どの企業も被害にあうことがある」と強調した
サイト改ざんの事例と、想定される損害
不正アクセスを行う目的は、金銭目的(個人情報やクレジットカード情報を盗んで換金する)や愉快犯(世間を騒がせて自己満足する)のほか、組織犯罪や産業スパイ(ライバル企業を妨害する、機密情報を盗み出す)などがあります。大前さんは、過去に実際に起きた不正アクセスによる被害の事例を挙げながら、不正アクセスやサイト改ざんが発生した際に想定される損害について解説しました。
被害事例①:不正アクセスによってウェブサイトが改ざんされた
大手オンラインゲームの公式サイトのウェブサイトが改ざんされ、まったく無関係の海外のサービスを紹介する内容に書き換えられた。
想定される損害
- 企業の信用が失墜する
- 取引先やユーザーがサイトにアクセスすることを躊躇し、ビジネスチャンスを失う
- 特定の組織や政治的な主張が掲載されると、ユーザーが離れるリスクがある
被害事例②:ウェブサイトに外部リンクを埋め込まれた
ニュースサイトの記事の中に、外部サイトへのリンクが埋め込まれ、ユーザーを誘導されてしまった。
想定される損害
- ニュースサイトの信用が失墜
- ECサイトで同様の改ざんが行われた場合、偽の決済画面へユーザーが誘導され、クレジットカード情報などが盗まれる可能性がある
- 公的機関を装った偽の相談窓口に誘導する手口もある
被害事例③:スパムメールの踏み台にされた
商品紹介サイトのデータベースに不正なPHPファイルを置かれ、そのファイルからスパムメールが大量に配信された。
想定される損害
- スパムメールの踏み台にされ、知らずに他者に迷惑をかける
- 不正ログインの被害を受けた側が、スパムメールなどの「加害者」になり、社会的な責任を問われる可能性がある
不正アクセスの手口を実演
セミナーでは、不正アクセスの深刻さを伝える目的で、WordPressで構築したサンプルサイトに不正アクセスを実行する手口を実演しました。実演の詳細は記事では公開しませんが、誰でも入手することができるソフトウェアを使い、ログイン用のIDとパスワードを不正に取得する方法です。実演では、わずか数分で不正ログインに成功しました。
実演に使用したサンプルサイトのIDとパスワードは、比較的割り出しやすい文字列にするなど、あくまでもデモンストレーションとして実施したものです。しかし、誰でも入手できるソフトウェアを使い、いとも簡単に不正ログインに成功した実演は、セキュリティ対策の重要性をあらためて認識させられるものでした。
WordPressで構築したウェブサイトの管理画面に、不正にログインする手法を実演した
すぐに取り組める5つのセキュリティ対策
WordPressに対するサイバー攻撃は多岐にわたり、対策の方法もさまざまです。その中でも、必ず実施しておくべき基本的な対策として次の5つを解説しました。
①パスワードを複雑にする
パスワードが短い文字列や、簡単に推測できる文字列だと、総当り攻撃でログインされる可能性がある。パスワードはできるだけ複雑で、意味のない文字列にしたほうが良い。パスワード生成サイトを活用するのも効果的。
②アクセス制限をかける
ウェブブラウザ上で設定できる認証システム「ベーシック認証」を管理画面に設定し、ベーシック認証のID・パスワードと、WordPressのID・パスワードという二段階の認証を行うとセキュリティレベルが上がる。
また、「IPアドレス制限」によって管理画面にアクセスできるIPアドレスを限定することもセキュリティ対策として有効。ウェブサイトの管理者のIPアドレスだけアクセスを許可し、それ以外のIPアドレスはログインできないようにすることで、海外などからの不正アクセスを防ぐことができる。
③ファイル制限をかける
「wp-config.php」「wp-cron.php」「xmlrpc.php」など、攻撃を受けやすいファイルに制限をかける、または無効化する。
④WordPressのバージョンを最新版に保つ
常に最新バージョンのWordPressを使用する。WordPressは頻繁にバージョンアップが行われ、その都度、判明している不具合や脆弱性は修正される。
⑤プラグインをしっかり管理
WordPressに追加したプラグインが増えるほど、プラグインの脆弱性を突いたサイバー攻撃のリスクが高まるため、追加するプラグインは必要最低限にとどめ、使っていないプラグインは削除する。プラグインのバージョンを最新版に保つこともセキュリティリスクの低減につながる。
5つのセキュリティ対策のそれぞれについて、より詳細な実施項目を記載した「セキュリティ対策リスト」を、アンケートの回答者に提供した
セミナーでは、安全なプラグインを選ぶ方法も解説した
ウェブサイトが改ざんされたときの対処法
不正アクセス対策を実施していても、何らかの理由でウェブサイトが改ざんされる可能性はあります。ウェブサイトの改ざんが判明したら、被害の拡大を食い止めるため、即座に対処しなくてはいけません。照屋さんは、万一、サイトが改ざんされたら、すぐに実施すべき対処法として次の3つをあげました。
ウェブサイトへのアクセスを遮断
ウェブサイトがマルウェアに感染し、第三者がそのサイトにアクセスすると感染が拡大する可能性がある場合には、即座にサイトを「メンテナンス中」などに切り替えてアクセスを遮断する。
ID・パスワードの変更
ウェブサイトへの不正ログインが疑われる場合、IDやパスワードが外部に漏れている可能性があるため、ID・パスワードなどのログイン方法を早急に変更する。
バックアップデータの復元
ウェブサイトが改ざんされてしまったら、バックアップデータを使い、速やかに改ざん前の状態に復元する必要がある。ウェブサイトを復元できるように、普段から定期的にバックアップを取っておくことが重要。
質疑応答
セミナーの最後には、聴講者の方々から寄せられた質問に、大前さんと照屋さんが回答しました。質疑応答の一部を紹介します。
Q:プラグインの脆弱性情報を調べるサイトはありますか?
A: 「JVN iPedia」が参考になります。真偽不明の情報を掲載しているブログなどを鵜呑みにするのは危険なので、まずは「JVN iPedia」を参考にすると良いでしょう。
Q:人気があるプラグインほど、攻撃対象として狙われやすいのでしょうか?
A:人気があるプラグインは利用者が多いため、攻撃者からすると攻撃の効率が良くなりますから、狙われやすいと言えるでしょう。プラグインの脆弱性は、バージョンアップによって改善されることもあります。プラグインのバージョンアップの頻度や、最新の更新日を確認してください。
Q:ログイン用のIDとパスワードをパソコンのキャッシュで保存するのは良くないでしょうか?
A:結論としては、キャッシュに保存しないほうが良いと思います。キャッシュに保存する場合、パソコンのウイルス対策などが必要になるでしょう。
質疑応答では参加者からの質問に回答した
まとめ
今回のセミナーでは、会社の規模や知名度にかかわらず、すべての会社がサイバー攻撃の対象になる可能性があることをあらためて認識させられました。「自分たちの会社は有名ではないから、狙われるわけがない」といった先入観を捨て、適切なセキュリティ対策を行うことが必要でしょう。今回のセミナーの内容も踏まえ、自社のセキュリティ対策を再点検してください。
なお、今回講師を務めてくださった株式会社フューチャースピリッツは、ウェブサイトの不正アクセスを検知するサービスや、ウェブサイトのバックアップデータを自動的に保存するツールなども提供しています。セキュリティ対策ツールをお探しの方は、お気軽にお問い合わせください。
セキュリティ対策については、下記の記事もご参考ください。
ECサイトでのWordPress活用方法について、こちらの記事で詳しく解説していますので参考にしてください。