今回は最近相次いで報告されたWordPress向けに提供されているプラグインの脆弱性を狙った攻撃について、攻撃手法や動向、対策について、セキュアソフトのグループ会社であるサービス&セキュリティ株式会社(SSK)のセキュリティオペレーションセンター(e-Gateセンター)より情報が公開されましたのでご紹介いたします。

このニュースはこちらよりPDFファイルにてご覧いただくことができます。

1.概要

コンテンツマネジメントシステム(以下CMS)は今やWebサイト構築には欠かせないものです。本年の1月に代表的なCMSであるWordPress向けのプラグインを狙った攻撃について紹介いたしましたが、5月から6月にかけて新たにWordPress 用プラグインにおける脆弱性が相次いで報告されました。これらの脆弱性を悪用されることにより不正なアクセスや悪意のあるスクリプトを実行される可能性があります。本記事では、5月から6月にかけて報告されたこれらの脆弱性を狙った攻撃の手法と動向・対策についてご紹介いたします。

2.相次いで報告されるCMSの脆弱性について

5月から6月にかけてCMS関連の脆弱性が報告されております。その中でもWordPress用のプラグインを対象としたものが多数を占めています。これらの脆弱性を悪用されることにより、情報漏洩やWebページの改ざん、マルウェア感染などの恐れがあり対策が必要です。

【5月から6月にかけてJVN iPediaに公開されたWordPress 用プラグインの脆弱性】

 20190626_security_0.png

3.攻撃概要

前述で紹介しましたWordPress用のプラグインの脆弱性において、その対象となる攻撃手法は、いずれもクロスサイトスクリプティング(XSS)かクロスサイトリクエストフォージェリ(CSRF)です。これらの脆弱性を狙った代表的な攻撃手法であるクロスサイトスクリプティング(XSS)の概要と脅威について解説します。

クロスサイトスクリプティングは脆弱性のあるWebサイトに悪意のあるスクリプトを埋め込み、そのスクリプトにユーザーが誘導されて重要な情報を盗まれたり、マルウェアに感染するという攻撃です。情報の入力や誘導される不正なURLリンクへのクリックなどに対し注意が必要ですが、これらのリンクが不正なものであるかを全て判断することは非常に困難です。

攻撃の流れは以下となります(下図1を参照)

①   攻撃者は脆弱性のあるWebサイトを狙い、悪意のあるスクリプトを埋め込んだ罠リンクを用意します。

②   ユーザーが誤って罠リンクをクリックすることで、悪意のあるスクリプトが実行されます。

③   実行された悪意のあるスクリプトによりユーザーは、重要な個人情報などの入力を促す偽サイトなどに誘導されます。

④   ユーザーは偽サイトと気づかず、個人情報等を入力してしまいます。

これにより、重要情報の漏洩や、マルウェアに感染させるなどの被害が想定されます。

20190626_security_1.png

【図1 クロスサイトスクリプティング(XSS)の攻撃イメージ】

4.CMSの脆弱性を狙った攻撃の増加

このようにWebサイトを狙った攻撃の足掛かりとなりやすいのがCMSの脆弱性ですが、当e-Gateセンターにおいても、CMSの脆弱性を狙った攻撃を多数観測しています。下記グラフはWordPress以外にも、JoomlaやDrupal等のCMSの脆弱性を狙った攻撃イベントの検知件数の推移を示しています。

5月になり攻撃イベント検知数が従来の3倍以上に急増しており、6月現在も引き続き検知され続けています。これらの攻撃に警戒が必要です。

20190626_security_2.png

【図2 e-Gateセンターにて検知したCMSの脆弱性を狙った攻撃の検知件数の推移】

5.対策

このような被害の可能性のある脆弱性を放置しておくことは情報の漏洩やサービスの不正利用などにより多大な損害を受ける可能性がある為、早急に対処することが重要です。

① 定期的なCMSやプラグインのセキュリティ情報の確認

脆弱性のある古いバージョンのCMSは攻撃者がスキャニングをおこなうことで、容易に特定することが可能です。当e-Gateセンターでもこれらのスキャニング通信を多数観測しています。これらの脆弱性に対しては、JVNの脆弱性情報や開発元ベンダのアップデート情報など信頼できるサイトのセキュリティ情報をもとに対処することが必要です。また、これらの情報は攻撃者にとっても攻撃の糸口となります。確認できた脆弱性に対してベンダ情報を参考にアップデートなどの適切な処置をいち早く行えるようにするため、定期的にセキュリティ情報をチェックすることを強く推奨いたします。

② セキュリティ機器・サービスの導入

セキュリティベンダの提供するセキュリティ機器やサービスを導入し適切に運用管理することにより、重要な情報の流出や被害の拡大を抑えることができます。

6. e-Gateの監視サービスについて

サイバー攻撃への対策としてセキュリティ機器を導入する場合、それらの機器の運用監視を行うことが重要です。"e-Gate"の24時間365日有人監視体制のセキュリティ監視サービスをご活用頂きますと、最新の分析システムを活用し精度の高い検知、専任のアナリストによる分析、迅速なセキュリティインシデント対応支援でセキュリティ対策を強化することが可能です。"e-Gate"のMSSの導入をぜひご検討ください。

■総合セキュリティサービス「e-Gate」
SSK(サービス&セキュリティ株式会社)が40年以上に渡って築き上げてきたIT運用のノウハウと、最新のメソッド、次世代SOC"e-Gateセンター"この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの"e-Gate"です。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。
【参考URL】https://www.ssk-kan.co.jp/e-gate/

7.参考情報

■ IPAセキュリティ情報

https://www.ipa.go.jp/security/announce/alert.html

■ JVN iPedia

https://jvndb.jvn.jp/index.html

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標、または商標です。

≪お問合せ先≫

サービス&セキュリティ株式会社   

ssk_logo.jpg 

〒150-0011                
東京都渋谷区東3丁目14番15号 MOビル2F

TEL 03-3499-2077
FAX 03-5464-9977
sales@ssk-kan.co.jp