CMSの覇者WordPress
皆さんは「Webサイトを自分で更新したい」と考えたことがありますか? まあ、ありますよね。特にビジネスでWebを活用する皆さんにとって、日々の更新や情報発信は生命線ともいうべきもの。絶対に欠かすことのできない業務です。
しかし、いくらWebを更新したいと願っても、HTMLやCSSの知識がなければ「自分で更新」は実現できないものでした。
こうした課題を解決したのが「CMS(Content Management System)というシステムでした。
CMSは更新対象となるコンテンツを絞り、テキストや画像を投稿・公開することができるようにしたシステム。文字通り「コンテンツをマネジメントするシステム」です。
かつて「Web2.0」という言葉がありましたが、CMSの普及はWebの在り方を大きく進化させたと言って過言ではないでしょう。
現在、このCMSの普及にひと役買ったのがこの「WordPress」です。
オープンソースとして提供されている「WordPress」ではさまざまなカスタマイズ・ノウハウやプラグインが開発され「ユーザの希望通りのCMS」に近い形を実現できる自由度を生み出しました。
これにより、WordPressは「CMSの覇者」と言ってもよい普及率を実現したのです。
しかし、ここ数週間でこのWordPressがかつて経験したことのない危機に直面しているというのです。
70万ユーザが被害の危機!
「急にサイトが表示されなくなった!」「サーバから何か不正があると連絡がきた!」「何言ってるかわからない!」などなど。ここ数週間、Webやサーバの管理を行っている会社に膨大な数の問い合わせが発生しています。
その内容のほとんどがこうした「サイト表示のトラブル」についてです。
実はこうしたトラブルは日本だけではなく世界規模で発生しているもの。世界中でサイトがダウンする状況……これはかなり深刻な状況です。
このトラブルが発生しているのは、すべてWordPressが実装されているサイト。そのWebデータの中に膨大な数の不正ファイルが設置されているというのです。
ファイアウォール・プラグイン「Wordfence」の公式サイトでは、この被害を受けているのは70万ユーザにも上ると試算しています。まさに世界規模の緊急事態です。
今回のトラブルの概要
今回のトラブルはWordPressのプラグイン「File Manager(6.8以前)」が原因であることが判明しています。
このプラグインはWordPressのバックエンドからファイルやフォルダを直接的にコントロールできるようになるというもの。通常はFTPを介して行われるアップロードやコピーなどを、FTPなしで実現できるようにすることができるのです。
今回のトラブルは、このプラグインを通してサーバ内に膨大な不正ファイルが設置され、フォームに対して膨大なスパムメールが送信されてくるというものです。
このプラグインを新しいものに更新しているユーザはひとまず難を逃れているようですが、古いまま活用している世界中のユーザがこの攻撃を受けているというのです。
該当サイトだけでなくサーバ全体が被害を受ける?
今回の攻撃で恐ろしいところは、同一サーバ内で複数のWebサイトが運用されている場合、プラグインを入れたサイトだけでなく、運用中の全サイトに影響が発生する恐れがあるという点です。このプラグインは≒FTPクライアントであると考えればわかりやすい。FTPは各サイト単体に対してアクセスするものではなく、サーバに対してアクセスするためのもの。本プラグインも同様なのです。結果として攻撃者はプラグインが入ったWordPressサイトが入っているサーバそのものへの「鍵」を手に入れたことになり、攻撃は格納された全サイトに及ぶということになるのです。
具体的被害は?
今回、ジーベックが確認しているケースで検出された具体的被害は以下のとおりです。
1.不正ファイルの設置
多くのユーザがサーバから「不正ファイルの存在」を通知されることで気づいたようです。このリストが割と膨大。相当数の不正ファイルが設置されていることがわかります。実際に検証したケースでは、サーバからの通知にあった不正ファイル以外でも、相当数の不正ファイルが発見されました。
2.不正改ざん
サーバ側で検出できるのは不正ファイルのみ。更新された情報が正当なものか、不正のものなのかは判断することが出来ません。このため不正改ざんについての通知が送られてくることはほとんどないように考えられます。
しかしながら不正改ざんされたファイルも相当数発見されました。検証の際には留意すべきであると考えられます。
3.膨大なスパムメール
フォームに設定されたメールアドレス宛の攻撃です。膨大なスパムメールが次から次へと送られてきます。中には業務がマヒしてしまったという声も聞かれます。スパムである以上、悪質なウィルスを仕込まれたメールが届くことも想定されることもあり、非常に深刻な攻撃であると考えられます。
4.サイト閲覧不能
最もわかりやすい被害です。サーバが危機的状況と判断し、機能を停止させてしまう状況です。結果、サイトURLでは危険警告が表示され、一般ユーザ(ビジネスサイトなら顧客層)に深刻な不信感を与えかねない状況です。
基本的改善方法
サーバからの通知では、これらの攻撃への対処法として該当プラグイン「File Manager」のアップデートを呼びかけています。
しかしながら、いくらアップデートしたところで、こうした悪質行為は必ずセキュリティの穴を突こうとしてきます。つまり、アップデートでは根本的リスクを減らすことは出来ません。
結論としては、まずプラグインを削除し、その上でサーバのスクリーニング検査を実施。不正ファイルや不正改ざんを削除していくという手順が妥当だと考えられます。
これまで利用してきた「File Manager」は使いやすかったかもしれませんが、大きなリスクを取るよりかは、安全なFTPを活用すべきというのが一般的考え方。改めて運用の体制を検討も求必要です。
まずはプラグインの検証が必須
この攻撃が最初に報告されてから数週間が経過しました。しかし、今なお非表示になっているサイトや、不正ファイルを抱えたままのユーザが多く存在すると考えられます。
まずは運用中のサイトにWordPressが入っている場合は、改めて該当プラグインが入っていないか検証する必要があります。
現在、ジーベックでは提携するプロのWeb事業者とともに、全国から寄せられるスクリーニング調査やサーバ正常化のご相談に順次対応しています。
現在、非常に多くのお客様からのご相談が寄せられています。
皆さんもぜひ警戒の手を緩めずに、一度検証を行ってみてください。