先日、独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)がワードプレスに重大な脆弱性(弱点)があり、サイト内容が改ざんされる恐れがあると発表しました。
ワードプレスは、世界のウェブサイトの4つに1つを占める人気ウェブサイト制作ツールであるがゆえ、ハッカーなどの不正行為の攻撃対象になりやすいという点もあります。
今回も、この脆弱性を突いて実際に被害にあったサイトもあったようです。その中には、
- 政治家
- 大学の研究施設
- 病院
などのサイトもあります。
もちろん、個人ブログのような小さなサイトだからといって安心もできません。早急に対策を取る必要があります。
今回の改ざん行為は、ログインページにアクセスしたりすることなく、攻撃に使用するコードを使用するだけでいとも簡単に行えてしまえます。この方法も、現在ネット上で公開されていて再現性が高いので非常に厄介です。
あなたのブログが攻撃を受ける前に、しっかりと対策を施しましょう。
どんな危険があるのか?
今回ワードプレスに見つかった脆弱性ですが、これによってどのような危険性があるのでしょうか?
実際に被害にあった丸川珠代五輪担当相の公式サイトは、2月6日の朝時点で活動レポートのページに「Hacked By MuhmadEmad」と書き込まれていたそうです。幸い個人情報の流出は起きませんでしたが、ページの内容が改ざんされてしまうのは怖いですね。
他にも筑波大学の研究施設や、茨城県や福井県の病院施設、理化学研究所等のサイトも同様の攻撃を受けました。
「Hacked by 〜」というメッセージが書かれる被害が多数報告されています。
原因は、ワードプレスの4.7から有効化された「REST API」というものに脆弱性があり、そこを突かれた形です。
改ざんを行う方法ですが、検索するといくらでも表示され、特定の文字列をいくつか打ち込んでいくだけ、という容易に誰でも行えてしまう非常に厄介な方法です。
正直どうしてこういった行為をするのか理解しかねますが、そこは考えるだけ無駄でしょうね。
対策方法
では、今回の不正行為を防ぐには一体どうしたらいいのでしょうか?その対策方法を解説します。
対策方法は、以下の2点となります。
- ワードプレスを最新バージョンの4.7.2にアップデートする
- バックアップを取る
※この対策方法は今回の件に対しての対策方法で、サイトが完全に安全になる処置ではありません。
普段からセキュリティ対策を心がける必要があります。セキュリティ対策について詳しくはこちら
ワードプレスを4.7.2に更新する
ワードプレス公式も今回の件については非常に深刻に受け止め、新たに対策を施した最新バージョン4.7.2を公開しました。
公開自体は1月27日と今回のニュースが明るみになる前の公開ですが、事実上この件への対策としてのアップデートです。
古いバージョンのワードプレスを使用している方は、早急にアップグレーどしましょう。
アップグレード方法は、まずワードプレスの管理画面左メニューから「更新」をクリックします。
ワードプレスの本体やプラグイン、テーマの更新ページに移動するので、ワードプレスの新しいバージョンを確認しましょう。新しいバージョンがある場合、以下のように「今すぐ更新」と青いボタンが表示されるのでそれをクリックしてください。
更新が完了すると以下のような画面が表示されます。これで、ひとまずは安心です。
また、ワードプレスは本体やテーマ、インストールしているプラグインの最新バージョンが公開されると、管理画面でお知らせしてくれる親切機能があります。
以下の画面のように、左メニューの「更新」の横に赤丸で数字が表示されていたり、「WordPres ◯.◯.◯ が利用可能です!今すぐ更新してください。」と表示されていたら新しいバージョンが公開された合図です。
更新するしないに関わらずチェックするように心がけましょう。
バックアップを取る
万が一改竄されてしまったときのために、普段からバックアップを取っておきましょう。
バックアップを取っていれば、今回の件以外の不正行為があったとしても元の状態に戻せる可能性が高まります。
バックアップの取り方はこちら
まとめ
今回は、被害が大きく普段からセキュリティ対策をしっかり施しているであろう、政治家や企業、国の研究機関のサイトまで攻撃を受けたため大きなニュースとなりました。
しかし、ワードプレスは普段からニュースにならないような不正行為に晒されている点には注意しなければなりません。
あらかじめセキュリティ対策をしっかりとること、万が一のためにバックアップは必ずとっておくこと、この2点を改めて痛感させられますね。
タロログでも、セキュリティ対策ページを公開しています。ぜひご一読ください。
