ITコラム
セキュリティに関わるワードプレスの脆弱性!リスクと被害事例を徹底解説
Webページの開設が簡単にできるワードプレスは、誰でも無料で使用でき、利便性が高いと人気のCMSです。世界トップシェアを誇っており、個人だけでなく多くの企業が自社のホームページやブログを作成するためにワードプレスを利用しています。その反面、ワードプレスにはセキュリティ面での不安があるという声も多く、実際にワードプレスの脆弱性をついた外部からの攻撃による被害事例も多数発生しています。この記事では、ワードプレスの脆弱性について、脆弱性によるリスクや被害事例などをご紹介します。
◎セキュリティに関わるワードプレスの脆弱性
ワードプレスは、CMSと呼ばれるコンテンツマネジメントシステムのひとつで、Webサイトのブログ記事など、Webコンテンツを簡単に作ることができるツールです。HTMLなど、プログラミングの専門知識がなくてもWebサイトを開設でき、誰でも簡単に記事を修正したり更新したりすることができます。ワードプレスはその利便性から、世界のWebサイトの約40%、CMSの約60%で利用されていると言われており、日本のWebサイトでは約80%を占めるシェア率を誇っています。
このように世界中で広く利用されているワードプレスですが、その脆弱性について公表されることも多く、ワードプレスの脆弱性をついた攻撃や攻撃の種類は年々増加傾向にあるとも言われています。脆弱性とは、セキュリティ上の欠陥のことを指していて、プログラムのバグやエラーなどの弱点が含まれます。どのようなプログラムも人間が作成しているので、バグが一切ない完璧なプログラムを作るのは不可能です。そのためどのようなプログラムであっても、何かしらの欠陥が生じてしまいますが、ワードプレスの脆弱性がサイバー攻撃などの悪意ある攻撃の標的になりやすいことには、いくつかの理由があります。
まずワードプレスが多くの人に利用されているCMSだからこそ、脆弱性を見つけると多くのWebサイトへの攻撃が可能になるため、狙われやすい点があげられます。ハッカーの目的が何であれ、対象が多ければ多いほど、大きな影響を及ぼせるということです。またワードプレスは、プログラムの設計図であるソースコードが公開されているオープンソースであることも、悪意のある攻撃を受けやすい理由のひとつです。オープンソースであることは、プログラミングの知識があれば公開されているコードを自分で編集できるというワードプレスの良い面にもつながりますが、不明な部分がないオープンソースは、悪意のあるハッカーにとっても脆弱性を探しやすいため、脆弱性をついた攻撃を受けやすくなってしまいます。またワードプレスは、初心者でも簡単に利用できるので、セキュリティ対策が甘くなってしまう利用者が多いことも、悪意ある攻撃に狙われやすくなります。
このようないくつかの理由によって、ワードプレスの脆弱性は狙われ、悪意ある攻撃を受けやすくなっています。ワードプレスではデザインや機能を追加するための、テーマやプラグインと呼ばれるプログラムを利用することも多く、ワードプレス本体の脆弱性だけでなく、テーマやプラグインの脆弱性をついて攻撃される事例もあるため、注意が必要です。
◎ワードプレスプレスの脆弱性によるリスク
ワードプレスの脆弱性によって、Webサイトにどのようなリスクが生じるのでしょうか。まずは不正アクセスです。ワードプレスの脆弱性を突いてネットワークの内部に侵入されてしまい、管理画面やデータベースへ不正にアクセスされてしまうリスクがあります。ワードプレスに不正アクセスをされてしまうと、悪意あるプログラムへの感染や情報の抜き取り、システムの改ざんなど、いろいろな被害に遭う危険性が高まります。
次に起こりえるワードプレスの脆弱性によるリスクは、Webサイトの不正改ざんです。不正改ざんには、コンテンツインジェクションと呼ばれる、Webサイト内のコンテンツを勝手に変えられてしまう手法があり、Webページ内の文章や画像、リンクなどが置き換えられる、勝手に挿入されるなどの脆弱性をついた悪意ある攻撃が含まれます。不正に改ざんされた間違った情報によって企業のイメージダウンにつながってしまったり、置き換えられたリンクによってWebサイトを閲覧した人が悪意のある別サイトへ誘導されてしまったりする場合があるため、危険です。
ほかにも、クロスサイトスクリプティングと呼ばれる、ワードプレスに不正なプログラムを組まれる手法があります。ユーザーがWebページを閲覧すると別ページへ転送されてしまい、ウイルスなどを含む悪意あるソフトウェアをダウンロードしてしまう、フィッシング詐欺の入力フォームに誘導されてしまうなどの危険につながります。ワードプレスの不正改ざんは、Webサイトの一部分が変わっているだけだったり、ワードプレスの内部にプログラムが仕込まれていたりするため、改ざんされたこと自体に気付きにくいことが難点で、不正改ざんによってWebサイト自体が長期間運用できなくなるリスクもあります。
ワードプレスの脆弱性によるリスクには、情報の漏洩や盗難もあげられます。これは、SLQインジェクションと呼ばれる、脆弱性をついてワードプレスのデータベースに侵入する手法です。データベースにはさまざまな情報が格納されているため狙われやすく、特に企業の顧客情報や機密情報がターゲットになりやすくなっています。
企業が管理している顧客の個人情報が漏洩してしまうと、顧客がフィッシング詐欺の被害に遭ってしまい、顧客からの信頼を失ったり損害賠償請求に発展してしまったりといったリスクが考えられます。また、開発や販売のノウハウなど、企業の機密情報が盗難されてしまうと、情報がライバル企業に漏れて模倣されてしまうなどのリスクも起こり得るでしょう。
ほかにも、ワードプレスの脆弱性を突いて攻撃されることで、Webサイトがスパムメールの送信に利用されてしまうケースもあります。ワードプレスのお問い合わせフォームやメール配信用プログラムが悪用され、勝手に大量のスパムメールを送信されてしまうため大変危険です。
ワードプレスの脆弱性によって、送信元偽装や攻撃の踏み台にされ、意図せずに犯罪に加担させられてしまうリスクもあります。アクセスログを偽装するために、ハッカーが中継地として利用したり、標的とする企業や公共機関に大量のデータを送り、正常に動作できないようにするDoS攻撃と呼ばれる攻撃に利用されてしまったりするケースもあります。
◎ワードプレスの脆弱性による被害事例
ワードプレスの脆弱性をついた攻撃はさまざまで、これまでにも多くの被害事例が発生しています。いくつかのワードプレスの脆弱性による被害事例をご紹介します。
○ダークウェブでワードプレスのログイン情報が売買
ダークウェブとは、一般的なブラウザでは閲覧できない匿名性が高いWebサイトで、個人情報などの違法売買も行われていると言われています。そのようなサイトで、ワードプレスのログイン情報も違法に売買されているという事例が発生しています。
ワードプレスのアカウント情報の流出は、ワードプレスのテーマやプラグインの脆弱性をついて、不正アクセスするためのバックドアが仕込まれることにより起きる場合があります。バックドアは、意図的に埋め込まれる不正プログラムで、外部からシステム内部に侵入するために設置されます。バッグドアを設置しておいて、バックドアでアクセスできるワードプレスのリストとして販売するのです。実際の事例では、ある企業が配布していたワードプレスの40のテーマと53のプラグインにバックドアが仕込まれていたというケースが発生しています。バックドアが仕込まれていたテーマやプラグインは、36万以上のサイトで使用されており、問題があるテーマやプラグインは削除されましたが、すでにインストールした場合は削除したとしても問題をすべて解消するのは難しいとも言われています。
○ワードプレスのテーマに脆弱性
ワードプレスの脆弱性をついた攻撃による被害事例は、ワードプレスのテーマに脆弱性が発見されたケースです。データベースに認証なしで侵入できてしまう脆弱性により、情報の盗難や漏洩につながるSQLインジェクション攻撃や情報の置き換えが可能になり被害が発生しています。
ワードプレスのプラグインに脆弱性が発見された事例もあります。認証されていないユーザーがユーザー登録を行い、管理者権限を付与できてしまう脆弱性で、管理者権限があれば設定の変更やソフトウェアの導入なども行えるため、ウイルスなどを含む悪意あるソフトウェアを埋め込まれる可能性がありました。
ほかの被害事例には、ワードプレスのプラグインの脆弱性を狙った攻撃があります。スマートフォンに対応した表示をするためのプラグインでしたが、任意のファイルをアップロードできる脆弱性が発見され、ハッカーの標的になりました。このようなワードプレス本体やテーマ、プラグインの脆弱性をついた攻撃による被害事例は後を絶ちません。
◎安全なWebサイト運営にはYTC・PLUSオリジナルCMS
ワードプレスの脆弱性をついた悪意ある攻撃は増加しているため、ワードプレスを利用してWebサイトやブログを構築している場合は、脆弱性をついた攻撃に対処するためのセキュリティ対策に注意を払う必要があります。
ワードプレスの脆弱性が発見されると、その脆弱性を解消するためのアップデータが提供されるため、アップデートを頻繁に行い常に最新のバージョンで管理するようにしなければなりません。ワードプレス自体のアップデートだけでなく、テーマやプラグインのアップデートも必要です。さらに、セキュリティ対策用のプラグインを導入するなど、ほかにもさまざまなセキュリティ対策を行いながら運用します。
ワードプレスの脆弱性に不安を感じていても、ワードプレスのように簡単に便利に使えるCMSがほかにもあるかわからないため、セキュリティが心配でもワードプレスを使用するしかないと思う人も多いかもしれません。
ワードプレスの脆弱性が発見されると、その脆弱性を解消するためのアップデータが提供されるため、アップデートを頻繁に行い常に最新のバージョンで管理するようにしなければなりません。ワードプレス自体のアップデートだけでなく、テーマやプラグインのアップデートも必要です。さらに、セキュリティ対策用のプラグインを導入するなど、ほかにもさまざまなセキュリティ対策を行いながら運用します。
ワードプレスの脆弱性に不安を感じていても、ワードプレスのように簡単に便利に使えるCMSがほかにもあるかわからないため、セキュリティが心配でもワードプレスを使用するしかないと思う人も多いかもしれません。
YTC・PLUSでは、安全にWebサイトを運営できるオリジナルCMS「更新プログラム+」を提供しています。
「更新プログラム+」は、Wordを使うように簡単にWebサイトの編集や更新ができるCMSで、誰でも手軽に利用していただけます。新着情報やイベント告知、コラム記事などのコンテンツを発信するブログ型ホームページを作成するために最適なCMSです。
パソコン初心者の方の意見を取り入れて開発しているためメールを作成する感覚で使用でき、ワードプレスのようにセキュリティへの心配も必要ありません。SNSとの連動も可能で、各種カスタマイズも承っております。
「更新プログラム+」は、Wordを使うように簡単にWebサイトの編集や更新ができるCMSで、誰でも手軽に利用していただけます。新着情報やイベント告知、コラム記事などのコンテンツを発信するブログ型ホームページを作成するために最適なCMSです。
パソコン初心者の方の意見を取り入れて開発しているためメールを作成する感覚で使用でき、ワードプレスのようにセキュリティへの心配も必要ありません。SNSとの連動も可能で、各種カスタマイズも承っております。
◎まとめ
ワードプレスは、誰でも簡単にWebサイトを作成でき、世界中で利用されているCMSです。一方で、ワードプレスの脆弱性をついた悪意ある攻撃のターゲットにもなりやすく、不正アクセスやWebサイトの改ざん、情報漏洩といったさまざまなリスクがあり、実際にワードプレスのログイン情報が売買されているなど被害事例も多数発生しています。YTC・PLUSでは、安全にWebサイトを運営できるオリジナルのCMSを提供しています。
Webサイトのセキュリティに関するお悩みは、当社までお気軽にご相談ください。
Webサイトのセキュリティに関するお悩みは、当社までお気軽にご相談ください。