「WordPress」にWEBサイトが改ざんされる脆弱性(セキュリティホール)があることがわかった。独立行政法人情報処理推進機構(IPA)が注意喚起し、修正を促している。IPAによると、すでにこの脆弱性を悪用する「攻撃コード」(脆弱性を攻撃するために、悪意をもって作成されたプログラム)が確認されており、これを使ったと思われるWEBサイトの改ざん被害も国内で複数確認されているという。WEBサイト構築システムの「圧倒的なシェア」「WordPress」は、インターネット上のWEBサイトのコンテンツ(画像やテキスト、ブログページなど)を統合的に管理して、WEBサイトを構築するシステムである「コンテンツマネジメントシステム(CMS)」の一つで、WEBサイトの制作知識や技術が乏しいユーザーでも、コンテンツの作成や更新、公開・非公開の管理が容易にできるのが特徴。W3TechsのCMSのシェアに関するデータによると、「WordPress」のマーケットシェア(2017年2月7日時点)は、58.6%を占める。ちなみに、同じCMSとして知られるJoomlaは7.2%、Drupalは4.8%、MovableTypeは0.1%にすぎない。そんな圧倒的なシェアを有する「WordPress」が狙われた。IPAセキュリティセンターは、「WordPress」に、認証を必要とせずに外部からの改ざんが可能となる深刻な「コンテンツインジェクション」の脆弱性が確認されたと、2017年2月6日に発表した。「標的」となった「WordPress」のバージョンは、「4.7.0」と「4.7.1」で、国内の複数のサイトがすでに改ざんの被害を受けているという。IPAは、「脆弱性を調べている研究者のデータでは全世界で6万6000ページ程度、国内(jpドメイン)に限っても約700のWEBサイトで被害があったとみられています。国内で、ここ5日ほどみられる企業や病院などのWEBサイトの改ざんは『WordPress』が原因とみられます」と話す。IPAによると、「脆弱性を悪用すると、本来必要な認証を得ずに、WEBサイトのコンテンツの投稿や編集、削除といった改ざんが可能になります。たとえば、一般のユーザーが管理者権限をもたないにもかかわらず、勝手にコメントの投稿を公開したり、記事を編集したりできてしまうわけです」と説明する。インターネットの掲示板などには、「Wordpressは誰でもどこでも使ってるからな。狙われやすいんじゃね」「朝からこの件で対応してるめんどくさー」「セキュリティ的にそれマズイだろって企業がいっぱいあってワロタ」「えらい大量だけど、これ何の騒ぎなん?」「どうするのが正解なの?現実問題・・・」などと、個人・法人を問わず、ユーザーらが右往左往している様子がうかがえる。被害が拡大したわけは・・・IPAの発表では、「WordPress」の脆弱性は、開発会社が2017年1月26日に公開した新しいバージョン「4.7.2」で、すでに修正されている。この「4.7.2」をアップデートすれば、「攻撃」されても回避できるとし、IPAは最新バージョンへの更新を推奨している。それにしても、なぜ改ざん被害が相次いでいるのだろう――。2月8日、IPAはJ‐CASTニュースの取材に、「1月26日に、『WordPress』が『4.7.2』をリリースした段階で自動更新しておけば、問題はなかったのですが...」と、話を切り出した。開発会社は「4.7.2」のリリース時に、脆弱性の修正について明かしておらず、「深刻な脆弱性」を公表したのは2月1日だった。そのため、「脆弱性があることを知らずに、自動更新しなかったユーザーが攻撃を受けたわけです」という。「開発会社の説明では、ユーザーが『4.7.2』への更新を安全に進めるために、(公表を)遅らせたとしています。脆弱性の修正をリリースと同時に公表すると、ユーザーが更新しないうちに攻撃コードが出回ってしまう恐れがあるためです」と説明。ユーザーが更新する、その隙をついて攻撃されたということのようだ。すでに攻撃コードが出回っていることから、IPAは「改ざんされていないか、確認してから、『4.7.2』への更新などの対処を進める必要があります。また、今回の件を教訓に、今後も最新版が公開された場合には早急にアップデートを実施してください」と、注意を促している。
記事に戻る