独自の脆弱性情報収集や、ハニーポットを活用した定点観測、無償セキュリティツールの開発などを行うほか、同社WAF製品「SiteGuardシリーズ」をセンサーとして集めたWAFの検知ログを分析したレポート「JP-Secure Labs Report」(ScanNetSecurityダウンロードページで公開)を配信していく。
2月23日、第一回目として公開された「JP-Secure Labs Report」で注目すべきは、WordPressに特化した攻撃傾向レポートだ。優れたCMSであるがゆえに広範に普及したことで、近年WordPressの脆弱性を突いた攻撃は増加しており、さまざまな注意喚起がセキュリティベンダや専門機関などから出されている。しかし、WordPressだけに限定した脅威動向の分析は、少なくともこれだけの規模のデータに基づくものはいままで存在しなかった。
株式会社ジェイピー・セキュア 取締役CTO であり、JP-Secure Labs チーフの齊藤和男さんに、このレポート公開の目的と利用方法を聞いた。
株式会社ジェイピー・セキュア 取締役CTO、JP-Secure Labs チーフの齊藤和男さん──JP-Secure Labs Report Vol.01を拝見しました。これまでにないレポートだと感じました。ひとつは、Webアプリケーション全般への攻撃傾向だけではなく、WordPressという非常にポピュラーなCMSの攻撃動向の分析に特化したところ、もうひとつは、単に攻撃の分析だけではなく、その対策方法についても具体的に言及しているところです。企業の情報システム部門の方だけでなく、WordPressのセキュリティ対策初心者向けのマニュアルとしても利用できる内容でした。
レポートには攻撃動向に基づいた実践的なアドバイスが記される(JP-Secure Labs Report Vol.01 p11より)レポートの元となる検知ログを提供いただく際、弊社がWAFサービスを提供している、ユーザー数40万超(サイト数では利用実績200万超)のレンタルサーバ事業者さんに趣旨へ賛同いただき、今回のレポートの公開が実現しました。当初からセキュリティの専門家だけではなく、幅広いWordPressユーザーの方に手軽に活用いただける内容にしたいとレンタルサーバ事業者さんと話し合いをしていました。
──今回のレポート以前からセキュリティ機能のWordPressプラグイン「SiteGuard WP Plugin」を公開するなど、ジェイピー・セキュアはWordPressのセキュリティを向上させる活動を続けてきましたね。
SiteGuard WP Plugin ダウンロードページ「SiteGuard WP Plugin」は、社内で企画して要件定義を行い、ホスティング事業者さんや、販売パートナーさんにも相談したり、β版のテストに協力いただいたりしながら、ご要望や意見を集約し、最後にWebアプリケーションセキュリティの権威である徳丸浩さん(EGセキュアソリューションズ株式会社 代表取締役)によるプラグイン自体の安全性診断を経て、2014年10月24日に最初のバージョンを発表しました。
不正ログイン、管理ページへの不正アクセス、コメントスパムを防ぐ機能を提供するプラグインで、現在アクティブインストール数が10万を超えています。
SiteGuard WP Plugin
https://ja.wordpress.org/plugins/siteguard/
https://www.jp-secure.com/siteguard_wp_plugin/
──プラグイン名称で検索すると、定番のひとつとして推奨するコメントも多いですが、不正ログインから守るためにログインページのURLを5桁の乱数に変更する機能によって、ログインページに入れなくなってしまったなど、トラブルの記事も散見されます。逆にそれだけ多くの人に使われているということなのでしょう。
SiteGuard WP Pluginユーザーによる記事
推奨コメントに混じるトラブル記事
ログインページURLが共通(/wp-login.php)のため攻撃に悪用されることがある──そもそもですが、プラグインから直接の利益は得られないにも関わらず、社内コストをかけて開発して、その後もバージョンアップを続けている理由は何ですか。
弊社ではWAF「SiteGuardシリーズ」を通じてWebサイトのセキュリティを守っています。SQLインジェクションのような攻撃はWAFで防ぐことができますが、たとえばWordPressのログインページがデフォルトですべて「wp-login.php」となっていることによる不正ログイン試行のような攻撃は、プラグインの機能として実装した方が効率良く防御できると考えました。そこで、すぐに直接的なビジネスにはならないとしても、インターネットの安全向上に貢献できることであれば、できることはやろうと考えました。
──レポートのうち、WordPressの攻撃分析の部分をかいつまんで教えて下さい。
集計期間中に「SiteGuardシリーズ」が検知した全体の攻撃件数が4,688万3,944件、うちWordPressを対象としたあるいはその可能性が高い検出が1,503万1,521件、約3分の1ありました。
攻撃を種類別に見ると多い順に、SQLインジェクション(404万6,307件)、クロスサイトスクリプティング(357万1,854件)、OSコマンドインジェクション(248万1,860件)、WordPress設定ファイルの読み取り(152万2,406件)とつづきます。
攻撃の種類別に見たWordPressへのサイバー攻撃(JP-Secure Labs Report Vol.01 p7より)また、攻撃が検出された箇所で多かったのは、xmlrpc.php(564万5,473件)、/wp-content/plugins/(342万8,170件)、/wp-content/themes/(209万8,575件)となります。
WordPressへサイバー攻撃が行われた箇所(JP-Secure Labs Report Vol.01 p11より)プラグインやテーマの脆弱性悪用で目立った「wp-config.phpの読み取り」のほか、2017年2月に大きな話題となった「WordPress REST APIの脆弱性」については、「トピックス」という項目で詳しく攻撃方法とその対策について解説しています。
──攻撃実態や具体的な対策方法はレポートを読んでいただくとして、総論としてWordPressの安全運用をしていくにあたってのポイントはありますか。
WordPressは危ない印象が先行しつつありますが決してそんなことはなく優れたCMSです。たまたま2017年は大きな脆弱性がありましたが、コア部分の致命的脆弱性はあまりありません。
脆弱性は本体プログラムではなく圧倒的にプラグインが多い(JP-Secure Labs Report Vol.01 p14より)
表4 WordPress脆弱性一覧より抜粋(JP-Secure Labs Report Vol.01 p15より)そのうえで2つポイントを挙げるとするなら、まず「知っていただくこと」です。つまり、自分が使っているバージョンやプラグインの種類など、ご自身の環境を知っていただくことがすべてのはじまりで、これはWordPress管理画面のダッシュボードで確認することができます。
そして、把握した環境に対して「アップデートやバージョンアップなど安全管理の意識を持つこと」です。別に特別なことではなく、「SiteGuard WP Plugin」にも本体やプラグインやテーマにアップデートがあるとメールで通知してくれる機能がありますが、最初の行動を促す仕組みとしてとても有効だと思います。
「WordPressだから危ない」ということは決してありません。ちょっとした意識と配慮を持って使えば、快適な利用ができると思います。
──ありがとうございました。
JP-Secure Labs Report Vol.01(ScanNetSecurityダウンロードページで公開)
