【お知らせ】WordPress の REST APIの脆弱性を悪用したサイト改ざんについて(2017/02/07)

2017年2月現在、WordPress の REST API の脆弱性を悪用され、リモートからの攻撃によってWordPress のコンテンツが改ざんされる事例が国内外で多数報告されています。JPCERT コーディネーションセンターおよびIPAからもこれら改ざん被害に関して注意喚起がなされており、早急の対策が求められています。 WordPress の脆弱性に関する注意喚起【2017.02.06 JPCERT/CC】 WordPress の脆弱性対策について【2017.02.06 IPA】 WAF「Scutum」では、注意喚起がなされた当日に今回のWordPressの脆弱性への対応を完了しており、Scutumを経由した通信は本脆弱性を狙った攻撃の影響を受けません。また、WordPress等のCMSに限らず、WAF「Scutum」はサイト改ざんの原因となるWebアプリケーションの脆弱性を狙った攻撃の多くを防御することが可能です。 WordPress の REST APIの脆弱性について

もし、あなたのWebサイトが「改ざん」されたら

相次ぐ「Webサイト改ざん」、そして改ざんが原因となって起こる「情報漏えい」のニュース。サイトを運営する側にとっては、毎月のように報じられる被害に「対岸の火事として放っておけない」と感じている方も多いのではないでしょうか。
2012年中頃から増加した改ざん事案件数は、2013年に急激に増加し、その数は実に7409件。単純に計算すると、1日あたり20件以上発生していることになります。2014年4月15日に公開された「JPCERT/CC インシデント報告対応レポート」によれば、2014年1月から3月までに報告されたWebサイト改ざん件数は1501件にも上ります。その期間に大手企業が被害を受けた、主なインシデントだけでも下記のような事例がありました。

  • 大手ゲーム会社:Webサイトへの不正アクセスにより一部公式サイトの閲覧を停止
  • 大手衣料品メーカー:不正アクセス被害によりサイトを約1カ月間閉鎖
  • 大手情報出版社:Webサイト改ざん被害、サイトにマルウエアが埋め込まれる
  • 大手旅行会社:PC向けサイトが改ざんされ、不正なファイルが配置される
2011~2013年インターネットバンキング不正送金事犯件数推移

※出典:JPCERT/CC インシデント報告対応レポート(https://www.jpcert.or.jp/ir/report.html)より

インシデントというと、サイト運営者としてはまず、情報漏えいの規模や、影響を受けるユーザー数などに目が行きがちですが、昨今では、改ざん被害の発見から事後の処置、経過報告を公式に発表するまでの一連の対応にも、ユーザーや報道は注目しています。また、長期にわたってサイト閉鎖等を行った場合は、SEO上のダメージも避けられません。サイト改ざんは、事故単体の影響のみならず、長期的な企業の信用やブランドの維持に直結する大きな問題となっているのです。

被害者が加害者になるケースも

万が一、サイト改ざんの被害を受けてしまった場合。そのとき、被害者であると同時に、加害者になってしまう可能性も高くなっています。被害事例のなかにもあった、不正なファイルを埋め込まれるケースでは、改ざんされたサイトを訪問した利用者のPCへ、誘導コードの埋め込まれたhtmlファイルがダウンロードされてしまいます。その結果、悪意あるWebサイトへ気づかぬ間に誘導され、攻撃コードやマルウエアを仕込まれたり、また、それが元となってIDやパスワードが盗まれ、オンラインバンキングへの不正アクセスに繋がり、利用者が金銭的な被害を受けることもあります。いわば、整備不良の自動車で事故を起こすのと同じようなもので、改ざんの「被害を受けた」企業やWebサイトであっても、サイト利用者から見れば被害を拡大させてしまった「加害者」となるのです。

そのような事態を未然に防ぐため、当記事では以下の項目について解説します。