WordPressを対象とした攻撃が全体の半数、「FileManager」の脆弱性悪用が目立つ | ScanNetSecurity
2024.04.24(水)

WordPressを対象とした攻撃が全体の半数、「FileManager」の脆弱性悪用が目立つ

イー・ガーディアン株式会社のグループ会社である株式会社ジェイピー・セキュアは4月26日、2018年2月に開設したJP-Secure Labsが分析した独自レポート第6弾「JP-Secure Labs Report Vol.06」の公開を発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
facebookLINE
攻撃種別の分類(全体)
攻撃種別の分類(全体) 全 3 枚 拡大写真
イー・ガーディアン株式会社のグループ会社である株式会社ジェイピー・セキュアは4月26日、2018年2月に開設したJP-Secure Labsが分析した独自レポート第6弾「JP-Secure Labs Report Vol.06」の公開を発表した。

「JP-Secure Labs Report Vol.06」では、2020年10月1日から12月31日の3ヶ月間にわたりユーザー数40万超のレンタルサーバ「ロリポップ!レンタルサーバー」環境の攻撃検出ログの分析を実施、主にWordPressで構築された Webサイトへの不正アクセスの実態や傾向とその対策について解説するとともに、その他Webサイトでソフトウェアやフレームワークを利用する際の注意点や集計期間中に確認された攻撃や検出の分類に加え、脅威動向などを取り上げている。

同レポートによると集計期間中に検出した攻撃の総数は90,814,679件で、SQLインジェクションが46,117,441件、WordPressの設定ファイル(wp-config.php)を読み取る攻撃が20,077,187件と多い傾向はこれまでと変わらないが、今回の集計期間では、WordPress上でファイルのアップロードや削除、リネームができるプラグイン「FileManager」の脆弱性を悪用した攻撃の検出が11,220,395件と目立った。

FileManagerはWordPress上でファイルのアップロードや削除、リネームなどができるプラグインで、FTPを使用せずにファイル操作が可能で、アクティブインストール数は60万を超える。2020年9月にFileManagerに任意のコード実行の脆弱性に関する情報が公開され、攻撃が観測され始め、2020年10月には国内外で検出が急上昇する波があり、対象サービスにて多数の攻撃を検出した。その後、11月から12月にかけてFileManagerの脆弱性を悪用する攻撃の検出数は減少したが、代わりにWordPress設定ファイルの読み取りを試みる攻撃が12月に向け増加に転じた。

また同レポートでは全体の攻撃の検出数9,080万件に対し、明らかにWordPressを対象にした検出、またはその可能性が高い検出は4,475万件となり全体の半数を占める結果となった。集計期間中のWordPressに対する攻撃は検出数順に、WordPress設定ファイルの読み取りが20,077,187件、FileManager(WordPressプラグイン)任意のコード実行の脆弱性悪用が11,220,395件、SQLインジェクションが9,286,458件となった。

WordPressに対する攻撃について検出箇所で分類すると、「/wp-content/plugins/」が28,323,934件「/wp-content/themes/」が7,172,743件で全体の8割近くを占めた。特に、FileManagerの任意のコード実行の検出が急増したため、pluginsディレクトリの検出が多くなった。

《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. 訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

    訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

  2. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

  3. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

  4. セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多

    セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多

  5. NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

    NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

  6. Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

    Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

  7. 笛吹市商工会へのサポート詐欺被害、調査結果公表

    笛吹市商工会へのサポート詐欺被害、調査結果公表

  8. 「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に

    「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に

  9. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

  10. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

ランキングをもっと見る
ホーム 調査・レポート・白書・ガイドライン 調査・ホワイトペーパー 記事
TOP