「STOP!ランサムウェア」 WordPress運用者による拡散防止のための脆弱性対策

2016.08.10 (Wed)

兵藤考史

WEB制作

ogp-rvw

皆さんは「ランサムウェア」によるマルウェア被害はご存知でしょうか。今年の3月に入り、日本での被害件数が急増し、現在も政府機関とセキュリティ企業各社が注意を呼びかけています。そして残念なことに、このランサムウェア拡散の背景にはWordPressの脆弱性も利用されています。

本稿ではランサムウェアの脅威を踏まえながら、WordPress運用者が拡散防止に向けて、注意すべき脆弱性対策についてお伝えします。

目次

 

ランサムウェアとは

感染した端末や共有データの一部を暗号化・操作不能にして身代金を要求

ランサムウェアは、感染したパソコンやスマートフォン、タブレット端末の操作画面を不正にロックしたり、内部やネットワーク上に保存されたファイルを暗号化して操作不能にし、これらを元に戻す見返りとして身代金を要求する不正プログラム(マルウェア)です。ランサム(Ransom)は「身代金」という意味から、身代金要求型不正プログラムとも呼ばれます。

1989年に初めてその存在が確認されて以来、2013年6月にはヨーロッパを中心に被害が発生し、現在も日本を含め世界各地で被害が広がっています。

FBIも追跡に頭を悩ます「匿名性」の高い2つの手口

ランサムウェアがマルウェア史上、最も厄介であると呼び声高い理由の一つには、通信を「匿名化」して犯罪活動を追跡しづらくする2つの手口にあります。一つはTOR(The Onion Ruter:専門家の間ではトーアとも呼ぶ)と呼ばれる、自身のIPアドレスを相手に知られずにインターネット接続やメール送信が行える匿名通信システムの使用。これによってマルウェアの管理サーバーは差し押さえされにくくなります。もう一つは、仮想通貨Bitcoin(ビットコイン)を使った身代金要求。Bitcoinは送金アドレスのみが存在し、銀行口座のような情報は無いため、そこから個人を特定できず、送金後にアドレスを削除すれば追跡が不可能となります。これら匿名性の高い手口によって、あのFBIも追跡に頭を悩ませています。

「安全で、手軽に、儲かる」マルウェア史上最も有用なビジネスモデル

ランサムウェアが拡大するもう一つの背景には、前述の通信を匿名化する2つの手口による、所謂「安全性」に加え、手軽に使えて、儲けることができる環境と仕組みが揃っていることにあります。ランサムウェアは、TOR(匿名通信システム)のネットワーク環境を経由してのみアクセス可能な「ダークウェブ(闇WEB)」上で数十万円程度で手軽に売買され、購入後も手厚いサポート窓口を頼りに、高度な知識を必要とせず、短期間で不特定多数へ攻撃を仕掛ける無差別攻撃を簡単に実行できるといいます。その費用対効果は実に1,425%※とも推定されています。

※キヤノンITソリューションズ株式会社が2016年4月に発表した独自調査による数値

 

日本におけるランサムウェアの被害状況

2016年3月には、被害件数が昨年第3四半期の2.6倍に急増

独立行政法人情報処理推進機構(IPA)によると、日本でのランサムウェアの相談と被害は2015年4月頃から発生し、2016年3月から急増しました。2016年4月から6月の期間は減少傾向にありますが、新たな亜種(※)急増などによる被害を警戒して、政府機関とセキュリティ企業各社は引き続き全国各地に注意を呼びかけています。

※亜種:或る種のコンピュータウィルスを基に改変して派生したコンピュータウィルス。

000053809

※資料:IPAが7月25日発表の「コンピュータウイルス・不正アクセスの届出状況および相談状況 2016年第2四半期(4月~6月)」より引用。

企業が支払った身代金の被害額は「500万円以上」が半数近く

ランサムウェアの被害を受けた企業が実際に支払った金額の統計が、トレンドマイクロ社が8月1日に発表した「企業におけるランサムウェア実態調査2016」により明らかになっています。調査の対象となった、企業・組織のITに関する意思決定者および関与者534名のうち、実際に攻撃を受けた134名の回答では「500万円以上」が46.9%、「1億円以上」が8.1%という結果になりました。

004l

※資料:トレンドマイクロ社が8月1日発表の「企業におけるランサムウェア実態調査2016」より引用。

尚、個人を対象とした場合の身代金要求額は様々ですが、確実に支払ってもらえる相場をみて、数千円程度が最も多いと言われています。

要求に応じてデータを完全に復旧できた企業は58.1%

身代金を支払った後のデータ復旧の割合は、トレンドマイクロ社の前述と同じ調査によると「完全に復旧できた」が58.1%、「一部復旧した」が40.3%、そして「全く復旧しなかった」が1.6%となっています。

tm11

※資料:トレンドマイクロ社が8月1日発表の「企業におけるランサムウェア実態調査2016」より引用。

この結果から、身代金の支払いによるパソコンやデータの完全な復旧の確証はなく、また身代金と同時に企業情報や個人情報を引き渡すことで、更なる被害に発展する恐れがあるとして注意を呼びかけています。

万が一の感染に備え、重要なデータは常にバックアップを取得しておくこと、そしてもし感染した場合は、二次感染を防ぐため直ちに感染したパソコンをネットワークから切り離し、専門機関の窓口へ相談することをお勧めします。

IPA情報セキュリティ安心相談窓口

 

ランサムウェアの感染経路

ランサムウェアの感染経路はメールとWEBサイトからの大きく2つの経路があります。

メールからの感染

スパムメールに記載されたURLにアクセスしたり、請求書や納品書などを装った添付ファイル、画像データを開くことで感染するケースが多くみられます。感染を防ぐには、使用するパソコンにウィルス対策ソフトを導入して定期的なバージョンアップを行うとともに、不審なメールと添付ファイルは絶対にダブルクリックして開いてはいけません。

WEBサイトからの感染

改ざんされた正規のWEBサイトにアクセスし、そこから強制的に不正なWEBサイトへ誘導され感染するケースや、正規のWEBサイト内で不正に細工された広告が表示されるだけで感染したり、不正プログラムのダウンロードが発動し、感染するケースもあります。感染を防ぐには、使用するパソコンにウィルス対策ソフトを導入して定期的なバージョンアップを行うとともに、基本ソフトやブラウザー、Flash Player、Adobe Reader、Javaなどのアプリケーションも同様に更新しておくことが重要です。

今年3月、日本で初めてスマートフォンアプリによる感染を確認

また、今年に入って注目された新たな感染事例として、3月18日に愛知県で、日本で初めてスマートフォンアプリによる感染が確認されました。Android端末を使ってWEBサイトを閲覧中にシステムアップデートを装った不正アプリが発動し、これをインストールしたことで感染しました。この不正アプリはGooglePlay以外の経路で配布されていたことから、今後の対策としては、公式ストア以外からのアプリ購入を避け、モバイル用のセキュリティソフトを導入しておくことが重要です。

 

WordPress運用者によるランサムウェア拡散防止のための脆弱性対策

ここまで、ランサムウェアの脅威と被害状況、感染経路をお伝えしてきました。前述の感染経路では、感染を未然に防ぐために個人と組織が、普段からセキュリティ意識を高め、実行することが大切になります。その一方で、WEBサイト運用者は感染被害を拡散させないための運用と管理責任があります。そして、WEBサイト改ざんによるランサムウェア拡散には、WordPressの脆弱性対策の不備が大きく関わっていると言われます。本稿の最後では、「改ざん」という観点からWordPress運用者が、どのような脆弱性に注意し対策を行う必要があるかをまとめたいと思います。

ブルート・フォース・アタック、辞書攻撃への対策

管理画面へのログインは、管理者のユーザーIDとパスワードの2つの情報が必要です。このうち、ユーザーIDは特別なツールを使うことでWEB上で簡単に確認することが可能です。安易で推測しやすいパスワードの場合、ユーザーIDを確認できれば、ログイン画面に対してブルートフォースアタックや辞書攻撃を行うことで解読され、管理画面を乗っ取られます。この脅威に対しては以下の対策が有効です。

【主な対策】

  • (1)ログイン画面に固定IPまたはBASIC認証によるアクセス制限を設定
  • (2)ログイン画面にログイン試行回数を設定、または画像認証を導入
  • (3)ログイン画面のURLを変更
  • (4)レベル「強」のパスワード設定

以上を検討するうえで、(2)と(3)はWordPress公式プラグインのSiteGuard WP Pluginを導入することで簡単に行えます。(1)はサーバー環境に依存し、専門知識が必要となります。

xmlrpc.phpを経由した不正アクセスへの対策

xmlrpc.phpは、WordPressの正規の管理画面に入らず、スマートフォンのブログ投稿アプリを使って遠隔で記事を投稿できる機能や、サイト内のブログ記事が他のブログ記事で紹介されたことを通知するトラックバック・ピング機能を提供します。しかしながら、過去の事例ではxmlrpc.phpに対してブルートフォースアタックを行い管理画面へ不正侵入された被害もあります。スマホアプリを使った遠隔記事投稿やトラックバック・ピング機能を特別に必要としない場合は、xmlrpc.phpに対してアクセス制限を施すか、機能を無効にすることをお勧めします。

【主な対策】

  • (1)xmlrpc.phpに対して.htaccessを使ったアクセス制限、もしくはfunction.phpにより機能を無効にする。

バックドア対策

バックドアと呼ばれる不正侵入の通信経路を一度設定されると、脆弱性対策を行った後も裏ルートを使って不正侵入され管理画面を操作されます。バックドアが仕掛けられるケースは、WordPress本体やプラグインのファイルアップロード機能の脆弱性を悪用し、uploadフォルダに仕掛けられるケースや、プラグインを装った不正プログラムによってpluginフォルダにしかけられるケースなどがあります。また、バックドアの中にはプログラムを削除されても通信経路を確保できるようwp-includesやincludesなど他のフォルダにコピーを置く場合もあるため注意が必要です。

【主な対策】

  • (1)WordPess本体とプラグイン、テーマのアップグレードは必ず行う
  • (2)WordPress公式プラグイン以外のプラグインを導入しない

.htaccessリダイレクトアタック、オープンリダイレクトへの対策

.htaccessリダイレクトアタックはWordPress本体やプラグインの脆弱性を悪用して不正プログラムをアップロードさせ、.htaccessファイルの内容を改ざんして訪問ユーザーを不正サイトへ誘導しウィルス感染させます。オープンリダイレクトも同様にWordPress本体やプラグインの脆弱性を悪用して、訪問ユーザーを不正サイトへ誘導しウィルス感染させます。

【主な対策】

  • (1)WordPess本体とプラグイン、テーマのアップグレードは必ず行う

SQLインジェクション、クロスサイトスクリプティングへの対策

WordPress本体やプラグインにこれらの脆弱性がある場合、不正なプログラムをWEBページ内の入力フォームなどから挿入し、訪問ユーザーを不正サイトへ誘導しウィルス感染させます。

【主な対策】

  • (1)WordPess本体とプラグイン、テーマのアップグレードは必ず行う

bnr_wpsecuritycheck_w1022h348

topsilde_wpsupport

タグ
更新をチェック

Facebookでフォローする

関連記事
この記事を書いた人

兵藤考史 制作部 ( WEBディレクター )

【所属部署での主な業務】
制作部でWEB制作ディレクションを担当しています。
WordPressなどのCMSを使ったWEBサイト構築や、レスポンシブWEBデザインを使ったスマートフォン・タブレット端末対応の制作も数多く手掛けてきました。
お客様のご要望に応えながらも、品質、安全、使いやすさを一番に心がけ、制作のスケジュール設定と仕様設計を日々、行っています。

【ひとこと】
猫が大好きです。家族にオスの三毛猫がおります。

兵藤考史 制作部 ( WEBディレクター )

【所属部署での主な業務】
制作部でWEB制作ディレクションを担当しています。
WordPressなどのCMSを使ったWEBサイト構築や、レスポンシブWEBデザインを使ったスマートフォン・タブレット端末対応の制作も数多く手掛けてきました。
お客様のご要望に応えながらも、品質、安全、使いやすさを一番に心がけ、制作のスケジュール設定と仕様設計を日々、行っています。

【ひとこと】
猫が大好きです。家族にオスの三毛猫がおります。

バックナンバー
  
コメント

コメントを残す

更新をチェック

ブレインネットプレス カテゴリー

▲ページTOPへ