自由研究
[セキュリティ講座]

WordPress 4.7.0、4.7.1の脆弱性、何がやばいのか?

自由研究
いきを
WordPress

ども、時短で働くWebディレクターのいきをです。

本ブログはすでに最新のWordPress4.7.2にアップデートを完了しています。

たぶん改ざんはされていない(はず)です。。。
WordPress 4.7.0、 4.7.1を利用しているかたは、アップデートお済みでしょうか?

WordPress 4.7.0、 4.7.1のセキュリティアップデート

1月26日にWordPress 4.7.0、 4.7.1のREST APIに起因する脆弱性に対するセキュリティアップデートがあり、WordPress4.7.2がリリースされました。

WordPress 4.7.2 セキュリティリリース

脆弱性をついた攻撃が急増し、この脆弱性やばい!ということで、ほうぼうでアップデートしましょう的なアナウンスが増えてきています。

とりあず
「なんかやばいらしい」
のはわかったので、当ブログは即座にアップデートをしたんですが、この脆弱性、そもそもなにがやばいのか、そしてどうするのがいいのか、当社でセキュリティ事情に詳しい平賀に話を聞いてみました。

平賀

エクスクラウドの担当者。
夜な夜なセキュリティサイトで情報収集をしているセキュリティマニア。
サイバー攻撃の情報をいち早く教えてくれる親切なひと。

今回の脆弱性はなにがやばいのか?

いきを:WordPress 4.7.0、4.7.1のREST APIに起因する脆弱性っていままのでサイト改ざんに比べて被害が広がっているようなんですが、どういうところがやばいんでしょうか?

平賀
平賀:今回の脆弱性の問題点は、簡潔にいうとコンテンツの書き換えがだれでも容易にできてしまうことです。詳しい攻撃手法は控えますが、この容易さのために今までの脆弱性攻撃よりも、攻撃の成功率が高く、被害が拡大しています。
WordPress脆弱性を狙うサイバー攻撃が日本国内でも多発!「攻撃遮断くん」においても2月5日(日)を境に攻撃量の急増を観測

ここ数日動向を追っていましたが、改ざんの成功率が高いため、通常の改ざん攻撃よりも被害が広がる速度や件数が多い印象です。
2月9日時点で、最新版へのアップデートをした利用者が増えたためか、改ざん件数は減りましたが、今後は改ざんを利用したSEOスパムが増えていくのではないかと考えています。
WordPress4.7と4.7.1の脆弱性を悪用した攻撃が多発。今後はSEOスパムに注意が必要

余談ですが、こういったサイバー攻撃は長期休み(ゴールデンウィークや正月など)に増加する傾向があります。お休みの間はサイトの管理をするのが難しい状況になるのを利用した攻撃です。お休みに入る前にはアップデート対応を済ませておくことをオススメします。

今回の脆弱性攻撃を防ぐのにはどうすればいいのか?

いきを:セキュリティ対策しないといけないのはよくわかっているんですが、いろいろありすぎてよくわかりません。

平賀
平賀:確かにセキュリティ対策はいろいろあって難しいですよね。
今回の脆弱性攻撃を防ぐためには

  • 脆弱性を直す
  • 脆弱性のある機能を使えなくしておく
  • 該当のポートを閉じる

といくつか方法があります。

WordPressを最新版にアップデートし、既存のバグを修正するのが最も効果的です。
サイトの運営上、どうしてもアップデートが難しい場合には、一時しのぎとして原因となっているREST APIを停止させ、ポートを閉じることで攻撃を防ぐことができます。

また今後の予防策として、攻撃者が利用しているIPアドレスを除外しておくのも、1つの手です。凶悪な攻撃者から自分のサイトを見えなくすることで狙われるリスクを減らすことができます。
下記のサイトでは、今回観測されている攻撃のリストや主な攻撃者のIPアドレスが掲載されているので参考にしてください。
WordPress REST API Vulnerability Abused in Defacement Campaigns

サイトが改ざんされてしまった場合はどうすればいいのか?

平賀
平賀:今回のような単純なコンテンツ書き換えの場合は、改ざんされた部分を元に戻せば大丈夫です。影響範囲が広い場合にはバックアップから戻すのが効率的です。

ただ、攻撃によってはマルウェアが入れられていたり、アクセスや権限の設定を書き換えられたりするため、サイトのログ解析、検証が必要となります。
自社にノウハウがない、セキュリティエンジニアがいない場合には外部のセキュリティ業者に依頼する必要があるため、お金も時間もかかってしまいます。
そうならないためにも、いまできるセキュリティ対策をしておくにこしたことはありません。

こまめにWordPressのアップデートをするのが難しい場合やセキュリティ運用に不安がある場合には、WAFを利用するのも効果的です。WAFであれば新しい脆弱性攻撃が検知されると自動的にシグネチャを更新してくれるので、手間なくセキュリティ対策を行うことができます。

エクスクラウド WordPressホスティングのWAFの仕組み

エクスクラウドのWAF
当社のWordPressホスティングで提供しているWAF(技術提供 サイバーセキュリティクラウド社)でも今回の脆弱性を利用した攻撃があった場合には無効化されるように対応されています。

またWAFをいれれば万全というわけでなく、WAFをいれることで脆弱性に対する攻撃を回避することができるようになるだけです。
複数の対策を講じることでサイトへの攻撃リスクを減らすことができます。
サーバー運用でのセキュリティに不安がある場合にはご相談にのりますので、ぜひお気軽にお問い合わせください。

いきを:ありがとうございました!複数セキュリティ対策をするのが大切なんですね。
エクスクラウドのWordPressホスティングでは複数のセキュリティ対策を施したセキュアなWordPress環境を提供しています。WAFもSSLも標準提供なので、中~大規模サイトでセキュリティ運用に不安のある方にオススメです。

この記事を書いた人

いきを

時短で働くWebディレクター。 好きな食べ物は米。

連載『平賀真琴のセキュリティ講座』の記事

この記事のタグ

オススメの記事

この記事を読んだ人にオススメのサービス

エクスクラウドのWordPressホスティング

WAF&SSLつきの超高速KUSANAGI標準搭載のWordPress専用サーバー。全てがオールインワン、さらに初期構築などの手間が不要なため手軽に超高速なWordPress環境をご利用いただけます。14日間無料お試しで超高速なWordPress環境を体感してください。

ページトップへ