無料ですぐできるWordPressセキュリティ対策~WordPressへのサイバー攻撃実態レポートより | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.06.25(月)

無料ですぐできるWordPressセキュリティ対策~WordPressへのサイバー攻撃実態レポートより

調査・レポート・白書 調査・ホワイトペーパー

「すぐにビジネスにはならないとしても、インターネットの安全向上に貢献できることであればやろうと」株式会社ジェイピー・セキュア 取締役CTO であり、JP-Secure Labs チーフの齊藤和男さん
「すぐにビジネスにはならないとしても、インターネットの安全向上に貢献できることであればやろうと」株式会社ジェイピー・セキュア 取締役CTO であり、JP-Secure Labs チーフの齊藤和男さん 全 11 枚 拡大写真
純国産のWebアプリケーションファイアウォール(WAF)を提供する株式会社ジェイピー・セキュアが今春、研究調査を行う専門組織「JP-Secure Labs(ジェイピー・セキュア ラボ)」を設立した。

独自の脆弱性情報収集や、ハニーポットを活用した定点観測、無償セキュリティツールの開発などを行うほか、同社WAF製品「SiteGuardシリーズ」をセンサーとして集めたWAFの検知ログを分析したレポート「JP-Secure Labs Report」(ScanNetSecurityダウンロードページで公開)を配信していく。

2月23日、第一回目として公開された「JP-Secure Labs Report」で注目すべきは、WordPressに特化した攻撃傾向レポートだ。優れたCMSであるがゆえに広範に普及したことで、近年WordPressの脆弱性を突いた攻撃は増加しており、さまざまな注意喚起がセキュリティベンダや専門機関などから出されている。しかし、WordPressだけに限定した脅威動向の分析は、少なくともこれだけの規模のデータに基づくものはいままで存在しなかった。

株式会社ジェイピー・セキュア 取締役CTO であり、JP-Secure Labs チーフの齊藤和男さんに、このレポート公開の目的と利用方法を聞いた。

「すぐにビジネスにはならないとしても、インターネットの安全向上に貢献できることであればやろうと」株式会社ジェイピー・セキュア 取締役CTO であり、JP-Secure Labs チーフの齊藤和男さん
株式会社ジェイピー・セキュア 取締役CTO、
JP-Secure Labs チーフの齊藤和男さん


──JP-Secure Labs Report Vol.01を拝見しました。これまでにないレポートだと感じました。ひとつは、Webアプリケーション全般への攻撃傾向だけではなく、WordPressという非常にポピュラーなCMSの攻撃動向の分析に特化したところ、もうひとつは、単に攻撃の分析だけではなく、その対策方法についても具体的に言及しているところです。企業の情報システム部門の方だけでなく、WordPressのセキュリティ対策初心者向けのマニュアルとしても利用できる内容でした。

レポートには攻撃動向に基づいた実践的なアドバイスが記される(JP-Secure Labs Report Vol.01 p11より)
レポートには攻撃動向に基づいた実践的なアドバイスが記される(JP-Secure Labs Report Vol.01 p11より)


レポートの元となる検知ログを提供いただく際、弊社がWAFサービスを提供している、ユーザー数40万超(サイト数では利用実績200万超)のレンタルサーバ事業者さんに趣旨へ賛同いただき、今回のレポートの公開が実現しました。当初からセキュリティの専門家だけではなく、幅広いWordPressユーザーの方に手軽に活用いただける内容にしたいとレンタルサーバ事業者さんと話し合いをしていました。

──今回のレポート以前からセキュリティ機能のWordPressプラグイン「SiteGuard WP Plugin」を公開するなど、ジェイピー・セキュアはWordPressのセキュリティを向上させる活動を続けてきましたね。

SiteGuard WP Plugin ダウンロードページ
SiteGuard WP Plugin ダウンロードページ


「SiteGuard WP Plugin」は、社内で企画して要件定義を行い、ホスティング事業者さんや、販売パートナーさんにも相談したり、β版のテストに協力いただいたりしながら、ご要望や意見を集約し、最後にWebアプリケーションセキュリティの権威である徳丸浩さん(EGセキュアソリューションズ株式会社 代表取締役)によるプラグイン自体の安全性診断を経て、2014年10月24日に最初のバージョンを発表しました。

不正ログイン、管理ページへの不正アクセス、コメントスパムを防ぐ機能を提供するプラグインで、現在アクティブインストール数が10万を超えています。

SiteGuard WP Plugin
https://ja.wordpress.org/plugins/siteguard/
https://www.jp-secure.com/siteguard_wp_plugin/

──プラグイン名称で検索すると、定番のひとつとして推奨するコメントも多いですが、不正ログインから守るためにログインページのURLを5桁の乱数に変更する機能によって、ログインページに入れなくなってしまったなど、トラブルの記事も散見されます。逆にそれだけ多くの人に使われているということなのでしょう。

SiteGuard WP Pluginユーザーによる記事(プラグイン名称によるGoogle検索結果抜粋)
SiteGuard WP Pluginユーザーによる記事


推奨コメントに混じるトラブル記事は多様なユーザーが使っている裏返し(プラグイン名称によるGoogle検索結果抜粋)
推奨コメントに混じるトラブル記事


WordPressはログインページのURLが共通なので簡単にログイン試行ができる
ログインページURLが共通(/wp-login.php)のため攻撃に悪用されることがある


──そもそもですが、プラグインから直接の利益は得られないにも関わらず、社内コストをかけて開発して、その後もバージョンアップを続けている理由は何ですか。

弊社ではWAF「SiteGuardシリーズ」を通じてWebサイトのセキュリティを守っています。SQLインジェクションのような攻撃はWAFで防ぐことができますが、たとえばWordPressのログインページがデフォルトですべて「wp-login.php」となっていることによる不正ログイン試行のような攻撃は、プラグインの機能として実装した方が効率良く防御できると考えました。そこで、すぐに直接的なビジネスにはならないとしても、インターネットの安全向上に貢献できることであれば、できることはやろうと考えました。

──レポートのうち、WordPressの攻撃分析の部分をかいつまんで教えて下さい。

集計期間中に「SiteGuardシリーズ」が検知した全体の攻撃件数が4,688万3,944件、うちWordPressを対象としたあるいはその可能性が高い検出が1,503万1,521件、約3分の1ありました。

攻撃を種類別に見ると多い順に、SQLインジェクション(404万6,307件)、クロスサイトスクリプティング(357万1,854件)、OSコマンドインジェクション(248万1,860件)、WordPress設定ファイルの読み取り(152万2,406件)とつづきます。

攻撃の種類別に見たWordPressへのサイバー攻撃(JP-Secure Labs Report Vol.01  p7より)
攻撃の種類別に見たWordPressへのサイバー攻撃(JP-Secure Labs Report Vol.01 p7より)


また、攻撃が検出された箇所で多かったのは、xmlrpc.php(564万5,473件)、/wp-content/plugins/(342万8,170件)、/wp-content/themes/(209万8,575件)となります。

WordPressへサイバー攻撃が行われた箇所(JP-Secure Labs Report Vol.01 p11より)
WordPressへサイバー攻撃が行われた箇所(JP-Secure Labs Report Vol.01 p11より)


プラグインやテーマの脆弱性悪用で目立った「wp-config.phpの読み取り」のほか、2017年2月に大きな話題となった「WordPress REST APIの脆弱性」については、「トピックス」という項目で詳しく攻撃方法とその対策について解説しています。

──攻撃実態や具体的な対策方法はレポートを読んでいただくとして、総論としてWordPressの安全運用をしていくにあたってのポイントはありますか。

WordPressは危ない印象が先行しつつありますが決してそんなことはなく優れたCMSです。たまたま2017年は大きな脆弱性がありましたが、コア部分の致命的脆弱性はあまりありません。

脆弱性は本体プログラムではなく圧倒的にプラグインが多い(JP-Secure Labs Report Vol.01  p14より)情報提供:株式会社レオンテクノロジー
脆弱性は本体プログラムではなく圧倒的にプラグインが多い(JP-Secure Labs Report Vol.01 p14より)


表4 WordPress脆弱性一覧より抜粋(JP-Secure Labs Report Vol.01  p15より)
表4 WordPress脆弱性一覧より抜粋(JP-Secure Labs Report Vol.01 p15より)


そのうえで2つポイントを挙げるとするなら、まず「知っていただくこと」です。つまり、自分が使っているバージョンやプラグインの種類など、ご自身の環境を知っていただくことがすべてのはじまりで、これはWordPress管理画面のダッシュボードで確認することができます。

そして、把握した環境に対して「アップデートやバージョンアップなど安全管理の意識を持つこと」です。別に特別なことではなく、「SiteGuard WP Plugin」にも本体やプラグインやテーマにアップデートがあるとメールで通知してくれる機能がありますが、最初の行動を促す仕組みとしてとても有効だと思います。

「WordPressだから危ない」ということは決してありません。ちょっとした意識と配慮を持って使えば、快適な利用ができると思います。

──ありがとうございました。

JP-Secure Labs Report Vol.01
JP-Secure Labs Report Vol.01(ScanNetSecurityダウンロードページで公開)

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. Microsoft Windows OS においてライセンス認証プログラム slui.exe の仕組みを悪用して UAC を回避する手法(Scan Tech Report)

    Microsoft Windows OS においてライセンス認証プログラム slui.exe の仕組みを悪用して UAC を回避する手法(Scan Tech Report)

  2. アジア地域のセキュリティリーダー、6名の日本人がISLA賞を受賞((ISC)2)

    アジア地域のセキュリティリーダー、6名の日本人がISLA賞を受賞((ISC)2)

  3. BCCをTOに、メール誤送信366人分アドレス流出(和歌山市)

    BCCをTOに、メール誤送信366人分アドレス流出(和歌山市)

  4. 海にこぎ出す穴だらけの船舶 IoT システム、航路変換も可能(The Register)

    海にこぎ出す穴だらけの船舶 IoT システム、航路変換も可能(The Register)

  5. いまだ9万人がP2Pファイル共有ソフト利用、著作権侵害ファイル存在(ネットエージェント)

    いまだ9万人がP2Pファイル共有ソフト利用、著作権侵害ファイル存在(ネットエージェント)

  6. アカウント情報の有効期限が切れたとする、MUFGカードを騙るフィッシング(フィッシング対策協議会)

    アカウント情報の有効期限が切れたとする、MUFGカードを騙るフィッシング(フィッシング対策協議会)

  7. 3種類のエンジンを搭載する、Windows向け無料セキュリティ対策ソフト(エクサゴン)

    3種類のエンジンを搭載する、Windows向け無料セキュリティ対策ソフト(エクサゴン)

  8. 法人 iOS、Android 端末向けセキュリティサービス(ソフトバンク)

    法人 iOS、Android 端末向けセキュリティサービス(ソフトバンク)

  9. 超絶うっかり注意:GDPR 対応完了メール送信し情報漏えい、海外で炎上事案大量発生(The Register)

    超絶うっかり注意:GDPR 対応完了メール送信し情報漏えい、海外で炎上事案大量発生(The Register)

  10. 患者5名の個人情報が記録されたUSBメモリを紛失(小諸高原病院)

    患者5名の個人情報が記録されたUSBメモリを紛失(小諸高原病院)

ランキングをもっと見る