大臣、病院などの大手サイトの改ざんも続出!最新版のWordPress (ワードプレス) を利用しないと【とんでもなく危険な状態】になっていた!!

  • このエントリーをはてなブックマークに追加
  • Pocket
大手サイトの被害も続出!最新版のWordPress (ワードプレス) を利用しないと【とんでもなく危険な状態】になっている!!のアイキャッチ画像

今月に入り、サイトの改ざんが大きな話題になっています。
改ざんされたのは「WordPress (ワードプレス)」を利用しているサイトなのですが、実は大きなセキュリティ上の問題がありました。
一体、何が起こっているのでしょうか!?

ブログ以外の利用サイトが多いWordPress

WordPress (ワードプレス) は、ブログを作成するためのソフトウェアです。
ソフトウェアと言いましても、ご自身のスマホやパソコンにインストールするものではなく、インターネット上のサーバーにインストールします。
インストールすることで、簡単に誰もが見ることができるブログが作成でき、このmizica公式ブログもWordPressを利用しています。
各社のブログサービスを利用する場合は、デザインが決まっていたり、広告などが表示されたりします。
一方、ご自身のサーバーで運用するWordPressの場合は、豊富なプラグインやテンプレートも用意されており、デザインなどを自由にカスタマイズすることができます。
そのため、ブログだけに限らず、CMS(コンテンツマネージメントシステム)として利用し、サイトそのものをWordPressを利用して作成することも多くなってきました。
■WordPress 日本語ローカルサイト
https://ja.wordpress.org/
■ウィキペディア WordPress
https://ja.wikipedia.org/wiki/WordPress

丸川五輪相の公式サイトも改ざんされていた!


ニュースでも取り上げられましたが、丸川珠代オリンピック担当大臣のホームページも被害にあってしまいました。
そのほか、ニュースでは茨城県立中央病院、福井県立病院、筑波大の研究施設、秩父観光なびなど、公的機関の改ざんを中心に報道され、多くの人たちがTweetしています。
しかし、ニュースで取り上げられていない改ざん被害サイトは無数にあると言っても過言ではありません。

改ざんの原因は「REST API」の脆弱性


WordPressでは、制作者のために様々な便利な機能を提供しています。その中に「REST API」というものがあります。API(アプリケーションプログラムインターフェイス)の1つなので、あまり一般には馴染みが無いと思いますが、REST APIを利用した他のアプリなどにより、より簡単に投稿や編集などができるようになります。
■HTTP REST API で WordPress を自由自在!
http://ja.wp-api.org/
■習うより慣れろ。WP API にリクエストをいっぱい投げる。& REST クライアント “Paw” が超便利。(Shinichi Nishikawa’sさま)
https://nskw-style.com/2016/wordpress/wp-api/get.html

今回、このREST APIにセキュリティ上の問題があり、WordPressで設定された管理者や投稿者でなくとも、勝手に内容が編集できる状態になっていたのです。
すでに1月26日に発表された更新版の4.7.2では行われておりましたが、対策がされていることは発表されませんでした。

WordPress.orgは2月1日のブログで、1月末に公開したWordPressの更新版で深刻な脆弱性に対処していたことを明らかにした。安全確保のため、意図的にこの脆弱性に関する情報の公開を遅らせていたという。

WordPressは1月26日に更新版の4.7.2が公開され、この時点ではそれほど危険性の高くない3件の脆弱性についてのみ情報を掲載していた。
引用元 http://www.itmedia.co.jp/enterprise/articles/1702/03/news063.html

つまり、発表を遅らせることで多くの人がアップデートする時間を稼ぎ、発表後の被害拡大を防ぐ目的があったと思います。しかし、今回の日本の状況を考えますと発表後に被害が拡大しているため、今後は発表の是非やタイミングなどについて議論がなされるのではないかと思われます。
一方、アップデート怠ることも多いのですが、今回のようなケースも想定されるため、今後はアップデートが配信されたら速やかに更新する必要がありそうです。
■WordPress の脆弱性対策について(IPA:独立行政法人情報処理推進機構)
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html
■WordPress 4.7.2 セキュリティリリース
https://ja.wordpress.org/2017/01/27/wordpress-4-7-2-security-release/

対策は最新版へのアップデート


mizica運営元のデジロックが提供するVALUE-DOMAIN(バリュードメイン)でも、「WordPressの脆弱性に関する注意喚起」というお知らせが、サーバー利用者に発表されました。
かなり深刻な攻撃ではありますが、最新版では対策済なのでアップデートすることで防ぐことができます。一方、アップデートされていない場合は改ざんのターゲットになる可能性が高いため、早急なアップデートが必要になります。

改ざんされているかチェックしたい場合は?

例えば、多くのページを公開している場合、改ざんされてしまったかどうか、確認できない場合もあると思います。
そんな場合は、以下のサービスを利用すると便利です、
■WP PORTALさま
https://wp-portal.net/
■Robtexさま
https://www.robtex.com/

ただ、面倒かも知れませんが、今後は万一の改ざんに備えてこまめにバックアップを取得し、意図しないファイルがあるかどうかを定期的にチェックした方が良いと思います。
もし改ざんされていても、バックアップがあれば、改ざん前の状態に戻せますからね!

被害報告&対策の体験談ありますか?

とにかく規模が大きかった今回の改ざん問題ですが、実際に被害にあってしまったという体験談などがあれば、ぜひコメント欄に投稿お願いします。
全部にご返事することはできないかも知れませんが、いただいた内容を元に新たな記事やインタビューをさせていただこうと思ってます。
運営者にとってもユーザーにとっても大迷惑な改ざん問題。ぜひ、一緒にいろいろと考えていきたいですね。

かぶ~:
kaboo
今まではAndroid4.2.2だったのですが、そろそろ動かないアプリなどもあるため、機材増強中。しかし初期不良で故障していた…などのトラブル多発中。美味しいネタにはなるので、そのうち記事にさせていただきます!(…とプラス思考)

  • このエントリーをはてなブックマークに追加
  • Pocket

この記事が良かったら
「いいね」しよう!

大手サイトの被害も続出!最新版のWordPress (ワードプレス) を利用しないと【とんでもなく危険な状態】になっている!!のアイキャッチ画像

この記事が良かったら「いいね」しよう!

最新情報をお届けします

10秒動画×地図 これからのSNS

SNSでもご購読できます。

コメントを残す

*

mizicaな日常を地図付き動画で
保存できる動画SNSアプリ
いますぐ、アプリを使ってみよう!
  • 無料
    App Store
    QR
  • 無料
    Google Play
    QR