こんにちは、南波真之と申します。
こちらの記事では、 WordPressなどのCMSを狙ったランサムウェアに関してのトピックスをご紹介していきます。
WordPressは、世界中で最も利用されているコンテンツ管理システム(CMS)の一つであり、その手軽さや拡張性から、多くの企業がWebサイト運営に採用しています。しかし、その普及度の高さとオープンソースであるという特性が、逆に多くのセキュリティリスクを引き寄せる原因にもなっています。特に、プラグインの脆弱性を悪用したサイバー攻撃が増加しており、企業に深刻な被害をもたらしています。本稿では、WordPress利用企業が直面するセキュリティリスクについて、実例を交えながら詳しく解説します。
WordPressでのセキュリティの危険性とは?
WordPressはオープンソースのCMSであり、数多くのテーマやプラグインを自由に追加できる柔軟性があります。しかし、その柔軟性がセキュリティ上の脆弱性を生む原因となることも少なくありません。具体的に、WordPressにおけるセキュリティの危険性は以下の通りです。
1.プラグインの脆弱性
WordPressのプラグインは、サイトの機能を簡単に拡張できる便利なツールですが、これらはサードパーティによって開発されることが多く、必ずしも十分なセキュリティ対策が施されているとは限りません。脆弱なプラグインが攻撃者の入り口となり、サイト全体が乗っ取られるリスクがあります。
2.テーマの脆弱性
プラグインと同様に、テーマも外部の開発者が提供するものが多く、セキュリティ上の穴が残されていることがあります。こうした脆弱性が悪用されると、サイトのデザインが改ざんされたり、悪意のあるコードが仕込まれたりする可能性があります。
3.更新対応の遅れ
WordPress本体やプラグイン、テーマは定期的にアップデートされますが、これらの更新を怠ると、既知の脆弱性が修正されないままとなり、攻撃者にとって絶好の標的となります。更新を怠ったサイトは、攻撃リスクが格段に高まります。
プラグインをインストールして被害を受けた海外の例
実際に、プラグインの脆弱性を悪用したサイバー攻撃によって、多くの企業が深刻な被害を受けています。
最近発生した海外の例は、Sign1という大規模マルウェアキャンペーンに関連する被害です。
これはブルートフォース攻撃と呼ばれる総当たり攻撃が行われることでWordPressサイトに侵入し、カスタムCSSやJavaScriptを挿入する正規プラグインをインストールして悪用されるというものです。開発者や管理者からすると、任意のJavaScriptなどのコードをWebサイトの挿入できるプラグインは便利ですが、これによって攻撃者に悪用される可能性もあるということで被害が出ています。
正規のプラグインとしては、「Simple Custom CSS and JS – WordPress plugin | WordPress.org」がインストールされることが多いようです。
どうやら攻撃者によって埋め込まれている悪意のあるスクリプトは、10分毎にURLを切り替えてアクセスする機能があり、このURLは攻撃者が管理しているスクリプトへのリンクで、このスクリプトを実行するとポップアップ広告が表示される様になっているということです。
更に、GoogleやFacebookなどの主要Webサイトからの訪問者のみにポップアップ表示をさせる機能があるため、管理者などが直接WordPressサイトにアクセスしても何も表示されないようになっていました。
過去6ヶ月でこの Sign1キャンペーンによって、約3万9,000以上のWordPressサイトが侵害されたということで、悪意のあるアクティビティなどをチェックしてWordPressを管理していく必要があると言えます。
(参考: Sign1 Malware: Analysis, Campaign History & Indicators of Compromise – Sucuri)
CMSやWebシステムのランサムウェア対策はプライム・ストラテジーへ
WordPressはその利便性と柔軟性から、多くの企業にとって欠かせないツールですが、その反面、セキュリティリスクも高まります。特に、プラグインやテーマに関連する脆弱性は、サイバー攻撃の主要なターゲットとなるため、十分な注意が必要です。これらのリスクを回避するためには、常に最新のセキュリティ対策を講じ、WordPressサイトの定期的な監視と更新を怠らないことが重要です。
ユーザー登録(無料)をされた方のみ閲覧可能です。ユーザーアカウントをお持ちの場合は、ログインしてください。新規アカウントは以下から登録できます。
