CMS脆弱性診断（WordPress診断）

サイバー攻撃による情報セキュリティへの被害は、企業運営に重大なインパクトを与える要素になっています。情報漏洩が原因で上場廃止になったケースや、不正利用が多発したことによりサービス停止になったケース、そのどれもが、セキュリティの対策をしておけば未然に防げる可能性があったことです。

「CMS（Contents Management System）」とは、ウェブサイトのコンテンツを構成するテキストや画像、デザイン・レイアウト情報などを一元的に管理するシステムのことです。
専門的なプログラミングスキルがなくても、ウェブサイトの作成や運営を効率的に行えるため、企業サイトやブログなど幅広い用途で利用されています。

その中で、数多くの企業で採用されているのが、WordPressです。

WordPressは知識がない人でも簡単にウェブサイトが作れ、プラグインの数が多くカスタマイズもしやすいため、ユーザ数が多いCRMツールです。一方で、公開されているプラグインやテーマには脆弱性が存在していることが多く、悪意のある攻撃に晒されやすい傾向があります。手軽に利用できるWordPressですが、セキュリティにも意識を置く必要があるのです。

WordPressで作られたウェブサイトに、脆弱性が存在するプラグインやテーマ、バージョンが使われていることを攻撃者が突き止めてしまった場合、攻撃者は脆弱性を悪用し様々な攻撃を行ってきます。攻撃者がWordPressで作られたウェブサイトに攻撃をしかける場合、コンテンツの改ざん、悪意あるプログラム(マルウェア・ウイルス)の感染といった攻撃が代表的です。それらを組み合わせることで、ウェブサイトを管理している人間が気づかない間に、情報を窃取してしまうのです。

WordPress本体が攻撃され、乗っ取られてしまった場合、ウェブサイトの内容が改ざんされてしまうだけでなく、ウェブサイトへのアクセスができなくなってしまいます。本体だけでなく、プラグインに脆弱性がある場合、プラグインを攻撃の踏み台に、ウェブサイトの改ざんや情報漏洩が起きる可能性があります。また、簡単にユーザ情報を不正取得されてしまうこともあります。

技術は日々進歩しています。WordPressそのものもアップデートされているのですが、そのたびに、複数の脆弱性も発見されています。WordPressでも対応は行っていますが、WordPressと連携するREST APIという機能に含まれた脆弱性が悪用されたケースでは、アップデート情報が公開されたものの、公開後すぐに対応できなかったウェブサイト100万件以上で、ウェブサイトの改ざんが行われてしまいました。

また、人気プラグインであるfile managerの脆弱性を悪用されたケースでは、発見されてから数日で45万回も攻撃が行われており、悪意のあるスクリプトによってウェブサイトが改ざんされるという被害が起きています。

これらの脆弱性は、ユーザがアップデートを行うまでサイトに残り続けています。脆弱性に対応できていないサイトはそのまま攻撃対象になり、その結果、毎年何千件何万件というウェブサイトの改ざんが発生してしまうのです。

被害にあうのは、サイトを作っている企業や運営している企業だけではありません。
WordPressの脆弱性が悪用されることで、サイトのテーマファイルが改ざんされた結果、サイトを訪問するユーザを罠サイトまで誘導してしまうといったケースもあります。その場合、被害にあうのはユーザで、もしもあなたの管理するサイトのログイン画面に似た罠サイトが用意されていた場合、漏洩するのは利用者の情報なのです。近年、SMSにAmazonの偽ログイン画面が送られるといった事例がありますが、気づかぬ間に同じような手口の踏み台に利用されている可能性があるのです。
繰り返しになりますが、手軽に利用できるWordPressは、一方でセキュリティにも意識を置く必要があるのです。

WordPressにフォーカスしてご説明しましたが、その他のCMSについても同様のリスクがあります。
株式会社ポルトでは、CMSの脆弱性を悪用されないよう、CMS脆弱性診断を行っています。
WordPressをはじめCMSをお使いのウェブサイトが、セキュリティ面でどういう状態なのか、検証することができます。