Webサイトの構築に使用しているコンテンツ管理システム(CMS:Content Management System)が古い場合や、使用していないにもかかわらず稼働していた場合などに、Webサイトに侵入され、ウイルスの配布やフィッシングサイトの設置などに悪用されてしまう事例が多数見つかっている。根本的な問題を解決しないために、再改ざんや再設置されるところも多い。
一般のWebサイトが不正アクセスを受け、ウイルスやフィッシングサイトのホスティング、迷惑メールの送信などに悪用されてしまうことがある。筆者が継続的に観測しているフィッシングサイトを例にとると、国内のサーバー上で稼働していた偽サイトの6割強が不正アクセスを受けたとみられる一般サイト上に設置されたものだ。
観測されるこの種の偽サイトは、平均すると月30件程度だが、7月は大幅に増加し、今年に入ってからの最高値57件を記録した。外部からの観測だけでは、原因の分からないものも多いが、約半数は、WordPress(ワードプレス)やJoomla!(ジュームラ)などのCMSからの侵入とみられるものだった。
20件あったWordPressを見てみると、最新版を使用していたのは1件のみで、残りは2年前のバージョン「3.4」から直前の「3.8.3」まで、バリエーションに富んだ旧版が使われていた。WordPressは、ブログのシステムとして人気が高く、システムに機能を追加するプラグインも多数流通している。ところが、本体やプラグインの旧版には、不正アクセスを許してしまう脆弱性が多数あり、アップデートせずに使い続けていると、第三者にサイトを悪用されてしまうことがある。
■CMSのアップデートは誰が行うのか?
レンタルサーバーなどで使用するCMSには、(1) CMSの用意やセットアップ、アップデートなど全てをホスティング会社や管理会社が行い、ユーザーはただそれを使うだけのタイプ。(2) 提供されているCMSをユーザーがセットアップして利用するタイプ。(3) CMSの調達からセットアップやアップデートまで、全てユーザー自身で行うタイプがある。
(2) にはさらに、セットアップ後のアップデートは、ホスティング会社や管理会社側が行うタイプ(2-A) と、最新版を用意され、ユーザーがアップデートするタイプ(2-B) がある。(1) と(2-A) を除くと、最新版への更新はユーザー自身で行わなければいけないので注意していただきたい。
最新版が提供されるところならそれを、自身で探して来るところなら公式サイトなどをこまめにチェックし、脆弱性のない最新の状態で使用するよう心がけたい。
■危険な「使わないCMSの稼働」「初期アカウントの放置」
WordPressが稼働しているサイトの中には、WordPressを利用している様子が全くないところがいくつかあった。使用していないのに、意味なく稼働しているのだ。最新版を使用していたサイトもそのひとつで、ここはインストール直後の状態のままだった。間違ってインストールしてしまったのか、あるいは試しにインストールしたが使い方が分からなかったのか原因は定かではないが、このようなインストール直後の状態で放置されているところも多い。
WordPressに限らず、こうしたサーバーソフトには、ディフォルトの管理アカウントがあり、初期値は広く知られたユーザー名とパスワードであることが多い。変更せずそのままの状態にしていると、脆弱性攻撃をせずとも正面玄関から堂々と入れてしまう。
Webサイトを開いている方は、使わないものが稼働したままになっていないか、初期状態のアカウントが放置されていないか、いまいちどチェックしていただきたい。
(2014/08/01 ネットセキュリティニュース)