2017年2月1日に WordPress の提供元より、WordPress のバージョン 4.7.0~4.7.1 において、重大なセキュリティの脆弱性があることが発表されました。レンタルサーバー各社からは、今週に入りサイトやメールなどで通知されていますが、すでにサイトが改ざんにあったり、各種の攻撃に利用されたりしていることが確認されているとのことです。
実際に日本でもハッキングされているサイトが多数見られています。新着記事の記事名に「Hacked By Imam」、本文に「Hacked By Imam with Love」と書かれているサイトが、大量ハッキングを受けたサイトのようです。
今回は、このセキュリティの脆弱性の概要と、それに対するレンタルサーバー各社側での対策などについてお伝えしたいと思います。
WordPress 4.7.0 および 4.7.1 の脆弱性とは?
今回の問題は、WordPress 4.7.0 と 4.7.1 に組み込まれた「REST API」に脆弱性があり、これを利用した Webサイトの改ざんや攻撃などが行われているという状況です。
「REST API」とは、主に他サービス等と WordPress が連携するための開発者向けの機能で、バージョン 4.7以前はプラグインなどで利用されていたものでしたが、4.7 から実装されたため、その脆弱性の影響を受ける結果になったとのこと。
通常、WordPress で記事を更新するためには、WordPress の管理画面にログインし、その管理画面から更新を行う必要があります。しかし、この「REST API」の脆弱性を利用することにより、認証を一切行うことなく、Webサイトの改ざんが行えてしまいます。
この脆弱性を利用して、いかに簡単に改ざんできるかは、以下のサイトに詳しく書かれています。
・WordPress 4.7.1 の権限昇格脆弱性について検証した
今回の件に関して、WordPress の提供元は、すでに 2017年1月26日にこの問点を修正した、バージョン「4.7.2」を配布していました。しかし、今回の問題については、非常に影響範囲が広く、深刻度も大きいため、自動アップデートなどである程度新バージョンが浸透するまで待ってから問題を公表したとのことです。
レンタルサーバー各社の対策
では、今回の問題に対する、レンタルサーバー各社の対策状況を見てみましょう。以下は、公式サイトなどで公表されている内容です。
「エックスサーバー」・「クローバー」
日本国外のIPアドレスを経由した不正なアクセスを複数確認したため、ユーザーの WordPress の REST API に対する、国外IPアドレスからのアクセスを制限
「ロリポップ!」+「heteml」
1. 不正アクセスの可能性がある IPアドレスからのアクセス拒否設定
2. 同脆弱性への攻撃を検知・遮断するよう、WAFのシステムを調整
その他のレンタルサーバーに関しては、WordPress 4.7.2 へのアップデートと、WAF が利用できるサーバーは WAF の有効化を促す情報の掲載に留まっています。
ABLENET・SpeeVer に関しては、現時点では公式サイト上に関連情報の掲載もありませんでした。
WordPress 4.7 ~ 4.7.1の重大な脆弱性と各社の対策についてまとめ
以上、WordPress の脆弱性と、それに対する各社の対策についてまとめてみました。
今回の問題に関しては、かなり広範囲、かつ深刻な問題ですね。すでにサイトの改ざん等行われていることもわかっているようなので、WordPress ユーザーは早急に対応が必要です。
WordPress を利用している人は、今すぐにすべてのサイトの管理画面から、WordPress のバージョンを確認して、最新の 4.7.2 以下であれば、すぐにアップデートしましょう。
また、プラグインも攻撃の対象となることがありますから、あわせてアップデートをぜひ行いましょう。アップデート前に、万が一に備えて、データのバックアップも忘れずに!
