企業サイトやブログなど、世界的に広く利用されているワードプレスですが、使い勝手良い反面、システムの脆弱性を突かれサイバー犯罪者から攻撃を受けたり、不正にログインされ情報を奪われるリスクがあります。「ダークウェブ」と呼ばれる匿名性の高いサイトでは、ワードプレスのログイン情報が売買されているため、セキュリティ対策は急務です。この記事では、ワードプレスのログイン情報が不正に売買されているというダークウェブについて解説します。

◎違法性の高い情報が取引されているダークウェブ

「ダークウェブ」というサイトをご存じでしょうか。アクセスするために特定のソフトウェアや認証を必要とする「ダークネット」と呼ばれるネットワーク上に存在する、極めて匿名性の高いウェブサイトのことを総称してダークウェブと言います。

 

ダークウェブは一般的なウェブサイトとは異なり、GoogleやYahooといった検索エンジンではヒットしません。また、ダークウェブを閲覧するためには専用ツールが必要で、一般的なウェブブラウザ、たとえばChromeやSafariなどでは見ることもできません。このように匿名性が高いダークウェブの性質を利用して、違法性の高い物品やログイン情報などのコンテンツが売買されているのが現状なのです。

 

ダークウェブに対して、検索エンジンによって検索表示できる通常のウェブサイトのことを「サーフェイスウェブ」と呼びます。さらにもう1つ、「ディープウェブ」と呼ばれるものもあり、これは機密性の高い情報の閲覧をログイン・パスワードなどによって保護・制限しているウェブサイトです。ダークウェブは、ディープウェブの一部ということになります。

 

サーフェイスウェブとディープウェブ、ダークウェブの関係はしばしば氷山の一角として例えられ、海上に出ている部分は全体から見ればわずか1割程度であり、ダークウェブを含む大部分は、海中にあって目には見えないことを指しています。たとえ普段関わることがなくてもダークウェブと呼ばれる存在があり、見えないところに数多く存在していることを意識しておくことが大切です。

 

ダークウェブで使われる匿名性の高い技術は、もともと米国海軍によって生み出された情報通信技術でした。情報の匿名性を高くし機密情報の秘匿性を堅牢なものにするのが目的で、この技術を「Tor」（=The Onion Router・トア/トーア）と呼びます。オニオン、つまり玉ねぎのように何重ものレイヤーによって情報を隠すための技術という意味です。Torの技術を利用すれば匿名による通信が実現でき、国家機密など外部からのアクセスを絶対に阻止せねばならない情報のやり取りに利用されました。この匿名性の高い技術に目を付けたのがダークウェブです。Torの技術が今のように広く利用されるようになったのは2005年ごろであり、ダークウェブが勢いをつけはじめたのもこの頃とされています。

 

ダークウェブは基本的に匿名でアクセスするため、サーフェイスウェブでは見ることができないような違法性の高い物品やコンテンツが取引されています。ダークウェブで取引されるものには、銃器や暗殺以来、児童ポルノ、麻薬などといった、世界中の国々で禁止されている事物のほか、ワードプレスのログイン情報リスト、住所・電話番号・メールアドレスなど個人情報のリスト、クレジットカード情報や偽造クレジットカード情報、OSやアプリケーションのアクティベーションコードやライセンスコードなどがあります。

 

さらにダークウェブには、ワードプレスの脆弱性を攻撃するための情報や、マルウェアを作成できるツールキットまで売買されており、我々のセキュリティを脅かす材料が堂々と売買されているのです。

 

近年盛り上がりを見せている暗号資産（仮想通貨）もまた高い匿名性を有しており、ダークウェブを利用する犯罪者の地下経済を後押ししている一因になっていると言われています。ダークウェブと暗号資産はしばしばワンセットで犯罪に使われています。

 

たとえば2018年に起きた暗号資産「NEM」の流出事件においてもダークウェブが暗躍したことがわかっています。犯人はダークウェブ上の自分の販売サイトでNEMを販売して流出させており、追跡を逃れる隠れ蓑としてダークウェブが使われたことになります。このように、ダークウェブと暗号資産を合わせて利用すれば、容易に不正な資金を得ることもできてしまうのです。

 

2020年4月にはオンライン会議ツール「Zoom」のログイン情報50万件以上がダークウェブ上で売買されていたことも発覚しました。ダークウェブで取引されていたログイン情報の販売価格は非常に安く、無償で公開されていたログイン情報もあったということです。Zoomログイン情報がダークウェブに流出した事件は、過去に漏洩したログイン情報が悪用されたと推測されており、長年同じログイン情報を使い続けているユーザーに対する注意喚起としても注目されました。

 

ダークウェブに関する直近のニュースとしては、2022年7月有害ショートカットリンクを作る「MLNK Bulder 4.2」がダークウェブ上でリリースされたという報告が上がっており、このリンクによりハッキング等の事件が起こらないよう警戒が必要です。

 

このようにダークウェブと犯罪は親和性が高く、さらにダークウェブ上で展開されるサイバー犯罪の手口が年々巧妙化していることから、個人情報やログイン情報などを取り扱う企業は今以上に注意を払う必要があるのです。

 

違法なものが売買されている無法地帯とも呼ぶべきダークウェブですが、世界各国の捜査機関はダークウェブの取り締まりを強化しています。そのため、新たなダークウェブは作成されても3週間程度で消されてしまう特徴があり、なかなか尻尾をつかむことができないとされています。

 

世界中から閲覧できるウェブサイトを扱う企業は、厳しい取り締まりをもすり抜けて暗躍するダークウェブに関してしっかりと情報収集を行い、ダークウェブが存在することを前提としたサイト運営とセキュリティ対策を講じる必要があります。

◎ワードプレスはバックドアを仕込まれる危険性が高い

2022年1月、ワードプレスを利用するウェブサイトに最適化ツールやセキュリティ機能プラグインを提供している「Jetpack」の報告により、ワードプレスのテーマとプラグインに「バックドア」が仕込まれていたことが発覚しました。

 

バックドアとは直訳すると「裏口」、サーバー犯罪者が管理者に気づかれることなくコンピューターへ不正ログインするための入り口に当たります。バックドアを仕込まれたのは「AccessPress」というネパールのワードプレス開発企業で、AccessPressが提供しているサービスは36万以上ものウェブサイトで利用されていました。

 

ワードプレス向けのテーマとプラグインは、AccessPressのウェブサイトから直接ダウンロードを行った場合にのみバックドアに感染し、ワードプレス公式からダウンロードした場合には問題がないと確認されています。同バックドアに感染したウェブサイトは、放置してそのまま利用しているとサイバー犯罪者に不正ログインされてサイトを乗っ取られたり、ダークウェブにログイン情報を売られてしまう危険性があります。

 

企業サイトとしてワードプレスを利用している場合、該当するワードプレスのテーマやプラグインを利用しているかどうか確認するとともに、必要に応じたアップデートを適用してログイン情報のセキュリティ確保を行うことが重要です。

 

問題があるワードプレスのテーマやプラグインを1度でも実行してしまうと、たとえ対策を行っていても何らかの理由でバックドアが残っている可能性があり、ひとたび不正にログインされてしまえばダークウェブに情報が流出してしまいます。ウイルスチェックなども含めてパソコンやワードプレスをクリーンな状態に保ち、ダークウェブやバックドアに備えましょう。

 

その後の調査で明らかになった情報によると、AccessPressのウェブサイトは2021年9月前半ごろサイバー犯罪者によって不正にログインされており、今回問題になったワードプレス向けテンプレートやテーマはその際に改変されたということです。

 

ここで注目すべきなのは、今回の事件が当事者であるAccessPress自身の不正によって起こったのではなく、不正にログインして侵入してきたサイバー犯罪者によって引き起こされているという点です。被害に遭った企業に悪意がなくても「知らなかった」では済まされず、ワードプレスのログイン情報などのセキュリティ強化を行わなかったことが企業にとって大きなダメージにつながることを指しています。

 

AccessPressのワードプレス向けテーマやプラグインのバックドアに関連して発見されたマルウェアは、詐欺サイトへのリダイレクトやスパムを提供する程度のものであり、そこまで大きな被害を生まなかったのは不幸中の幸いだったと言えます。しかし、ダークウェブでワードプレスに脆弱性に関する不正な情報の取引があった可能性も出てきています。ダークウェブでワードプレスのログイン情報リストなど違法性の高い情報コンテンツの取引が盛んに行われていることを考えると、今後も同様の事件が起こることが考えられ、対策が急務なのです。

◎ワードプレスの脆弱性はダークウェブに狙われやすい

米国のインターネットセキュリティ会社であるMalwarebytesは2022年7月、ワードプレスのプラグインである「Modern WPBakery」の脆弱性を狙ったサイバー攻撃が増加していることから、該当のプラグインをすぐアンインストールするようにと伝えました。このプラグインはワードプレス「ページビルダー」のアドオンで、すでにサポートは終了しているため早急に削除することを推奨されているのです。

 

世界シェアが40%超と広く利用されているワードプレスですが、豊富なテンプレートやプラグインが利用できて使いやすい反面、これらがサイバー攻撃の足掛かりにされることも多いとされています。またワードプレス本体にも脆弱性が多く指摘されており、ワードプレスを利用する際は、新しいバージョンのものを使っていたとしても、何らかの問題でワードプレスに不正にログインされる可能性があることを理解しておかなければなりません。

 

ワードプレスがサイバー攻撃を受けてパソコンなどがマルウェア等に感染すると、ログイン情報など重要情報が抜かれてしまいます。それらの情報がダークウェブ上で違法に取引されているので、ワードプレスで不正にログインされサイトを乗っ取られるなどの被害につながる恐れがあります。ダークウェブ上の取引は巧妙化しており、さらなるサイバー攻撃を招く危険性があるため、ワードプレスのサイト運営をしている企業はダークウェブに情報が流出しないようセキュリティをさらに強化しなければなりません。

 

ワードプレスが不正ログインされハッキングされてしまうと、悪質なウェブサイトにリダイレクトされたり、ウイルスを埋め込まれる、サイトページを書き換えられる、スパムメールの送信元に利用されるなど、企業のイメージダウン・信頼ダウンにつながり大ダメージになります。セキュリティに対して無頓着ではいつダークウェブに情報が漏れてしまうかわからず、ワードプレスを企業サイトとして利用している場合には早急に対策を行う必要があります。

 

ログインのセキュリティ強化策として、パスワードを大文字・小文字・記号も混ぜた複雑なものにする、ログイン時にシークレットキーや画像による2段階認証を導入する、さらにログインに一定回数失敗するとアクセスできなくするなどの対策が有効です。

◎ホームページはワードプレスから安全性の高いCMSへ移行を！

当社ではECサイト構築のほかにホームページ制作も承っております。他社サーバーから移行をご希望のお客様で「ワードプレスを継続利用したい」というご要望をいただくことがあります。しかしワードプレスは、脆弱性を突かれてログイン情報がダークウェブに流出したり、プラグインをダークウェブ利用者に狙われてしまうなどさまざまなリスクがあり、ホームページを移行する際は注意が必要です。

 

ワードプレスのログイン情報がダークウェブや悪意ある攻撃者に狙われないために、ホームページ移行の際には当社オリジナルのCMS「更新プログラム+CMSパッケージシステム」でリニューアルすることを推奨しております。更新プログラム+CMSパッケージシステムは最大14ページまでウェブサイトのページを制作でき、素材さえ提供いただければ最短10営業日でホームページ公開が可能です。

 

「急いでホームページを制作したい」というご要望にも迅速に対応することができるので、イベント用の特設サイトや特定商品に限定した使い方にもご利用いただけます。さらに継続的な更新によってSEO対策にもなるほか、担当者の負担を軽減した非常にシンプルで使いやすい仕様になっています。

 

ワードプレスがダークウェブに狙われやすい理由の1つは、ワードプレスがオープンソースであることです。オープンソースは誰でも利用できるためインターネット初心者にも扱いやすく、それはすなわちサイバー犯罪者が狙いやすいところという意味でもあります。ログイン情報などのセキュリティ対策が甘い傾向があるため、サイバー犯罪者が簡単に情報を抜き取って不正ログインや、ダークウェブに情報を流出することができます。これらのリスク回避のために、サイト引っ越しの際はダークウェブや不正ログインの心配がない「更新プログラム+CMSパッケージシステム」によるリニューアルをご検討ください。

◎まとめ

ダークウェブは普段目に見えないところで暗躍しており、今もワードプレスのログイン情報など違法な事物や情報が不正に売買されています。企業はダークウェブに備えてワードプレスのログイン情報を強化するとともに、ダークウェブでログイン情報が売買されても被害を防げるよう対策しておく必要があります。自社のホームページの安全性は大丈夫なのか、今お使いのサーバーやホームページでご心配なことがありましたらお気軽にお問合せください。