夏休み更新の前にやっておきたいブログのセキュリティ点検 (1)

＞＞ブログが標的になる3つの理由

プライベートでブログを開設したきり放置していたが、夏休みを迎え、ひさしぶりに自分のブログを更新しようという読者もいることだろう。ほとんどのブロガーは、ブログを動作させているアプリケーション（WordPress,MovableTypeなど）や、アプリケーションを動かしているサーバアプリケーションのセキュリティのことまで考えていない。今回はブログのセキュリティについて考えてみよう。

ブログをセキュリティの観点から考えると、全体的に攻撃者から狙われる傾向にあると推測する。主な理由は以下の3つだ。

（1）受動的攻撃が犯罪手口の主流になりつつあること
（2）絶対数が多いこと(※)
（3）Webアプリケーションの脆弱性が放置されているケースが散見されること

(※試しに、Googleで「inurl:blog」などと検索してみると、1億4100万以上のWebサイトがあると表示される。2007/7/2 現在)

この理由において、攻撃が増大するかどうかはさて置き、実際にブログは攻撃への誘導に上手く悪用されていることは事実だ。オンラインゲームとRMTの関係を思い出して欲しい。さも、ゲームユーザのように装い、カモとなるユーザを詐欺サイトへ誘導している。

このように、「手軽」で「便利」しかも「無料」だからこそ、攻撃者も悪用したいのである。これらの脅威からブログサービスを守るためには、次に挙げる、最低限知っておくべき項目があるのだ。

＞＞ 6割のユーザが脆弱性を放置

ブログを自宅で構築しているユーザも多いのではないだろうか。恐らく、PerlやPHPで作成されたアプリケーションを利用しているのだと思う。

ブログで気にすべき脆弱性というと、クロスサイトスクリプティング(XSS)やSQLインジェクションが思い浮かぶ。XSSに関しては、昨年のBlackhatにおいて、ブログを利用しての JavaScriptマルウェアの悪用方法が紹介されている。SQLインジェクションに関しては、既に実害が報告されている。その他にも、update攻撃やinclude攻撃などシステムに直接影響を及ぼす脆弱性もある。

先日、ブログのセキュリティを扱うサイト「blogsecurity」でブログアプリケーションの1つである「WordPress」のセキュリティスキャナの結果が報告された。この情報によると、1,000サイトを対象に調査を行ったところ、最新のバージョンにアップデートしているユーザは約4割程だったという。つまり、残りの6割は何らかの脆弱性を含むアプリケーションでブログを運用しているそうだ。

BlogSecurity >> The 1000 Blog Vulnerability Assessment
http://blogsecurity.net/wordpress/article-300606/

この数値は、攻撃者にどれ程のメリットを与えるかというと、2005年のWordPress1.5のダウンロード数は90万、そして、現在GoogleでWordPressのログインページを検索(inurl:wp-login.php)すると、その数は約152万件だ。仮にこれらのサイトが全て運用されていると仮定すると、91万2,000もの悪用可能なブログサーバが世の中に放置されている計算になる。

WordPress
http://wordpress.org/about/

ちなみに、WordPress 2.x は、どのくらい脆弱性が報告されているかというと、2007年は16個の脆弱性が報告されている。そのうち、5つがXSSの脆弱性であり、2つが修正されていない。また、別のブログアプリケーションであるMovabletype 3.xは2007年は2つであり、いずれもXSSだった。

＞＞実際の攻撃方法

6割のユーザが脆弱性を放置したまま使用しているという、ブログアプリケーションの1つである「WordPress」は、日本でも人気のブログアプリケーションで、アップデートも比較的頻繁に行っている方だ。これらのメジャーなブログアプリケーションが、脆弱性を中々潰せないでいることを考えると、フルスクラッチで作成され、Webアプリケーション検査をしていないブログアプリケーションの場合は、どれだけ脆弱性を保有しているのか検討もつかない。

では、前述の脆弱性はどのように悪用されているのだろうか。実際に行われている攻撃事例を紹介する…

【執筆：二根太】

──
（この記事には続きがあります。続きはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec