Wordpressのセキュリティ問題で大量のハッキングが発生。次はあなたのブログ?

次の記事

Smibs、ビジネスネットワーキングに新風

wordpress-logo1.png

WordPressは、ブログのプラットフォームとして人気があるため、ブログを乗っ取ろうとたくらむハッカーの主要なターゲットとなっている。その目的は、自分たちがコントロールする他のサイトの検索エンジン最適化(SEO)やトラフィック変更などだ。近頃、最近発見されたWordPressのセキュリティの脆弱性を悪用した自動化された攻撃が続発している。

これまでWordpressは、セキュリティ上の新しい弱点が見付かってから数日でアップデートをリリースすることで、セキュリティホールに対応してきた。しかし、この数日、誰にも解決できないような新たなセキュリティ上の弱点をつく攻撃が現れた。

今年1月、私は実際にそんな攻撃を受けた。製薬と大人のおもちゃに関連するページが何万と私のブログにくっついていることに気付いたのだ。誰かがブログにアクセスして、完全に新しいページを作ってしまっていた。例えばこんな:

wp-hack.png

そのブログは当時の最新版のWordpressを使っていた。そしてその後、適切にユーザーインプットをフィルターしないというスクリプト内の単純な弱点がエントリーポイントだということを私は探り当てた。Wordpressの名誉のためにいっておくと、(特に)脆弱性をパッチし、ユーザーにアップデートを求める新バージョンがすでにリリースされている

というのが6ヶ月前だった。ところが5月に同じことがまた起こったのだ。今度は別の新しいセキュリティホールが原因で、これもWordpressがアップデートで対処できる数日前に起こった。問題は、ほとんどのブログオーナーがブログをターゲットにするハッカーの脅威に気付いていないということだ。というのも、ブログオーナーに何の警告もしないで攻撃することがあるからだ。Wordpressのセキュリティの脆弱性が、非常に多数のブログに対する自動化された攻撃を引き起こした。ときとして、サイトオーナーは何が起こっているかわかっていない。

もし現在、最新のWordpressを使っていないなら、すでにサイトが攻撃されてしまっている可能性が高い。

攻撃の結果、バックドアがインストールされたり(ハッカーが後日その人のブログに出入りできるということ)、全ユーザーのパスワードがダウンロードされたり、スパムページが作られたりすることが多い。その時点で、Wordpressインストールがアクセスできる同じデータベース内の全てのコンテンツとその他のもろもろを含んだ自分のブログを完全にコントロールすることはできなくなっている。

ソースコードを分析し、それを潜在的な脆弱性にテストするため、ハッカーはソフトのオープンソース性を悪用している。その後の検出、トラックダウン、攻撃者が使っているコードの脆弱性の遮断は開発者とユーザーにかかっている。新たなホールが見付かると、それが広く悪用され、それから開発者がパッチと新しいリリースを急ぐ、というのがパターンのようだ。ありがたいことに、自動化された悪用によるほとんどの被害はアップグレードで防ぐことができる。とはいえ、残った何千ものページや画像を自分で除去しなければならないケースもある(そして、たいていそんなページや画像は上手に隠されている)。

WordPressのユーザーにとって、バックアップは必要不可欠だ。頻繁にアップデートし、自分のブログ使用をモニターすること、さらに、公式のWordpressブログや他のブログで新しいセキュリティホールに関するニュースのをトラッキングすることも大切だ。ブログをより安全にするためサイトオーナーをアシストしてくれる多くガイドアプリケーションも利用可能だ。

いくつのWordpressブログが感染しているのかはわかっていない(以前にハッキングされたホストがまたハッキングされる、という二重感染のケースを見たことがある)。しかし指標として、TechCrunchと私自身がアクセスした10以上のWordpressブログでは、これらのさまざまなセキュリティホールのリクエストを毎日100以上発見することができた。ハッキングされたブログについての はますますありふれたものになっていて、現在、いつなんどき最新のセキュリティホールが見付けられ悪用されるか、ということが懸念されている。

[原文へ]

(翻訳:Megumi H.)