orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。



WordPressへのサプライチェーン攻撃が相当に深刻な状況だ

f:id:orangeitems:20190418075757j:plain

 

WordPressが狙われている

私の担当は基本的にOSから下、ITインフラ基盤なのです。しかし、その上物であるミドルウェア・アプリケーションがセキュリティーリスクにさらされると、お客様が不幸になるので、セキュリティーについては後半に情報を収集しています。

下記の記事、驚きました。

 

piyolog.hatenadiary.jp

「Yuzo Related Posts」など人気のWordPressプラグインを狙った攻撃活動が観測されているとしてセキュリティベンダが注意を呼び掛けており、また国内でも関連が疑われる被害報告が上がっています。ここでは関連する情報をまとめます。

 

WordPressとプラグイン

WordPressはCMS(コンテンツマネジメントシステム)では日本でダントツの採用実績です。CMSの登場のおかげで、高度なスキルが無くとも複雑なWEBサイトが表現できるようになりました。下記は最新の情報ですが、WebサイトにおけるCMSの利用はますます増え、その中でもWordPressの利用がとても多いというデータです。

個人ブログも自分でサーバーをクラウド等に借りて、WordPressを構築し運用されている方もいらっしゃると思います。

 

news.mynavi.jp

Q-Successから2019年4月のWebサイト向けCMS (Content Management System)のシェアが発表された。2019年4月はCMSを使っていないサイトの割合が減少し、逆にWordPressの割合が増加した。それ以外に大きな変動は見られない。インターネットで配信されるコンテンツはWordPressを使って配信される傾向がますます高まっている。

 

特に日本ではWordPressの話ばっかり・・。

私の身の回りでは、企業のホームページすらWordPressが多く。Webサイト構築ベンダーは結局はWordPressを入れてCMS上でサイト構築して納品するケースが本当に多いです。

それぐらい大変に便利なWordPressですが、プラグインという機能があり、標準機能を拡張できるのも特徴の一つです。様々なプラグインが公開されていて、おそらくプラグイン無しで運用しているWordPressなど存在しないのではないかと思うほどです。ところが、このプラグインがセキュリティーリスクになっている、という話です。

 

攻撃の手法

このWordPressのプラグインへの攻撃ですが、以下のタイプがあると思います。

(1)プラグインそのものに脆弱性がある場合。
(2)WordPress本体の脆弱性を通じてプラグインに攻撃をする場合。
(3)プラグインの製作者が放置したまま本体が残り、その運用を第三者が乗っ取りリンク先を書き換える場合。

どれもこれも頭の痛い話です。

(1)は、とにかく最新版にアップデートしていくしかないです。プラグイン自動更新の機能がWordPressに備わっているのでこれを有効にするのが良いのですが、更新するとWebサイトに不具合が出る可能性もあります。また、プラグインの更新が止まってしまうケースもあります。ゼロデイと言って、更新前の脆弱性が見つかる場合もあります。

(2)は、いくらプラグインに脆弱性がなくても、WordPress本体に脆弱性がありプラグインが書き換えられてしまう攻撃です。WordPressやそのミドルウェア(PHPやApache、OS等)の更新が必要です。

(3)は、特に気を付けなければいけないケースです。WordPress導入時には有名なプラグインでも、5年後10年後に更新し続けているかは保証されません。そのリンク先のドメインを乗っ取ったりして、見知らぬWEBサイトにリダイレクトされるかもしれません。

なお、ソフトウェア本体やつながりのあるモジュールへの攻撃を、広範にサプライチェーン攻撃と呼んでいます。Chromeの拡張機能や、スマホのアプリなど、最近はソフトウェア単体ではなく複数の企業のモジュールをアドオンして使うことが増えているため、IPAの情報セキュリティー10大脅威にも登場しているほどです。

 

www.orangeitems.com

 

運用が重要

ベンダーがWebサイトを導入し、脆弱性試験をしてクリアしたら納品。あとは自社で運用・・なんてWebサイトは無数にあるのではないでしょうか。

導入当初は問題ないのです。しかし日が経つにつれてどんどん脅威は高まっていきます。その脅威を体系的に整理し効率よく攻撃するシステムも日々進化しています。

・サイト書き換えなどへの検知機構の導入
・WAFやIPSと言った外部セキュリティー防御の導入
・定期的な脆弱性検査実施
・OS、ミドルウェア(apache / PHP / MySQLなど)の定期バージョンアップ
・WordPress、プラグインの定期バージョンアップ

これだけやればいいのですが、そこまで運用でやっているサイトがどれだけあるか・・。

最近だと、WordPressを使わない宣言が話題となりました。

 

ics.media

ICS MEDIAは2019年4月にリニューアルしました。シンプルでモダンなデザインへと見栄えは変わり、フロントエンドの最新技術によって爆速なサイトへと生まれ変わっています。

技術的におもしろいポイントは、WordPressを廃止したことです。

この記事では、オウンドメディアとしてWordPressをやめた理由、代用技術の選定で苦労したことを紹介します。

 

ITインフラ担当者としては、できればこういった動きが活発化してほしいと思います。セキュリティインシデントがないのは、使い勝手以上に「価値」ですから。