当社へのご依頼で最も多いのが、WordPress(ワードプレス)の改ざん復旧対応です。
CMSとして最も高いシェアを誇るWordPressですが、豊富なプラグインで様々な機能を実現できる便利さの裏で、数々の改ざんケースがあります。
そのいくつかを実際にあった事例からまとめてみます。
またWebRepairで行っているWordPress改ざん復旧対応の流れも後半で公開しています。
目次
WordPressの改ざんケース
プラグインの脆弱性によるもの
便利なプラグインですが、時折脆弱性が見つかることも。
問題なのは、プラグインに脆弱性が見つかっても多くの方はその事実を知らない、ということです。
よくあるのは、Web制作会社に依頼して構築はしたもののその後はご自身で運用されているケース。
プラグインの脆弱性情報を取得したり、そうした情報が出た時にすぐアップデート対応をしたり、こうした運用がなされていればよいのですが、実際にはそうした運用はなされておらず、脆弱性が公表された後もアップデートされないままになっている、などです。
またプラグインをカスタマイズした結果、アップデート自体が出来ないというケースも。
テーマの脆弱性によるもの
WordPressはテーマを変えることでデザインを容易に変更することができます。
しかし、このテーマファイルに脆弱性が隠れていることもたくさんあります。
Web制作会社に委託して公式テーマではないオリジナルのテーマを使用する場合、そのWeb制作会社で事前に脆弱性チェックがなされていない限り誰も確かめる術がない訳です。
ところが、多くのWeb制作会社はデザインが主体で、セキュリティについての知識をほぼ持っていないということも多々あります。
このため、テーマに脆弱性が生まれ、ここから侵入されるというケースがあります。
サーバーの脆弱性によるもの
サーバー自体の脆弱性が原因の場合もあります。
実際の例では、一部上場企業や学校・大学などで自前のサーバーを運用、しかしながらそのサーバーのセキュリティがほぼ無策で、容易に侵入できるようになっていたこともあります。
また、サーバーのアップデートが数年前から止まっている、というケースもあります。
この場合、既知の脆弱性がそのまま残されていることになります。
自社内でのサーバー構築、また運用については十分に知識を持った人が定期的に保守を行わないと危険です。
WordPress本体の脆弱性によるもの
先のケースに比べてそれほど多くないものの、WordPress本体の脆弱性に起因する不正な侵入もあります。
WordPressの場合、管理画面に入ればテーマファイルやプラグインファイルの編集、またプラグインを偽装した不正なファイルのアップロードが可能です。
ここからまずはそのWebサイト、そしておなじFTP を持つ他のWebサイトまで改ざんされるということがあります。
FTPクライアントからのFTPアカウント漏えい
FTP接続してファイルなどをアップロードしたりするのに使用するFTPクライアント。
このFTPクライアントがそもそも正規のファイルではなくアカウントが漏えいしてしまうといった事例もあります。
実際、公式サイトからのダウンロードではない某有名FTPクライアントが汚染されていて、流出→改ざんと至った事例がありました。
その他のWebサイトに起因する脆弱性
ひとつのサーバーアカウント内で複数のWebサイトを運用できるマルチドメイン可のサーバーはコストも安いためよく使われています。
サーバー内に数十のWebサイトが存在することも珍しくありません。
しかし、その中に自作のCMSがある、あるいはテストで入れた古い他のCMSがそのまま存在している、こういった場合、そのCMSが持つ脆弱性からサーバー内に侵入されることがあります。
その場合、同じアカウントでサーバー内を動き回れるため、きっかけになったCMSやフリープログラムだけではなくその他のWebサイト全てが改ざんされるという事態も起きています。
特にWeb制作会社やWebデザイナーがクライアントサイトを自社契約しているレンタルサーバーで管理している場合、一気に複数の顧客のWebサイトが改ざんされてしまうといったこともあり、結果としていくつもの解約が発生している事例もあります。
WordPressの改ざん復旧手順
例として、WebRepairでの復旧手順をご紹介いたします。
WebRepairは他社と比較しても再改ざん発生率がきわめて低く、他社で3回目、4回目の被害を受けて、結果的に最後は保証付きの当社サービスをお選びいただくというケースが増えています。
これは主に改ざんの真因に辿り着けるかどうかによります。
バックアップの取得
まずはバックアップを取得します。
このバックアップは、ファイル、データベース、そして可能な限り取得できるログの全てです。
改ざんコードの検知・探査・調査
改ざんコードの検知・探査を行います。
このため、WebRepairでは組み込まれた改ざんコードをすべて拾い出し、何を目的としたものか、またどんなリスクがあったか、実際にはいつから侵入されていたのかなどを拾い出します。
この際、安価なコースであっても必要に応じてログファイルと照合を行い、侵入経路や侵入時刻を特定し、そのルートを確実に塞いでいきます。
改ざんコードの復号化
改ざんコードは一般に難読可されています。暗号化と言った方が一般的かもしれません。
WebRepairでは、こうした暗号化されたコードも必要に応じ復号化、つまり解読しています。
文字コードを変えたり、暗号化したり、暗号化を複数回重ねたりとあの手この手で暗号化されていますが、これらを復号化しています。
復号化によって、抜き取られたデータの行き先を特定できる
改ざんされたWebサイトを調べてみると、フィッシング詐欺にサーバーが利用されているケースもあります。
こうした際には積極的に復号化を行います。
フィッシング詐欺に利用されている場合、入力された情報はどこかに送信されている訳ですが、普通この送信先は暗号化されています。
復号化することにより、送信先の地域やサーバー、メールアドレスなどを特定出来ることが多いのです。
警察・経済産業省への届にも対応
大学・学校などの公的機関、また上場企業などの場合で特に個人情報の流出が絡む場合、警察や経済産業省への届け出や報告が必要になる場合もあります。
この場合、被害状況や侵入の経路、手法、時間などをまとめておく必要もあります。
また個人情報の流出事件の場合、個人情報がダウンロードされたのか、もしくは覗かれただけなのか、覗かれただけなら最大どの程度の件数が閲覧されたのかを具体的に提出させて頂く場合もあります。
このためにも、単に復旧するのではなくきちんと復号化を行い、意図を読み取り、流出先をある程度特定することは重要なのです。
不正なコードの除去(クリーニング)とチェック
こうして洗い出された不正なコードをすべて除去します。
最終的なチェックを、クリーンな状態のWordPressやプラグインと照合して行います。
再改ざん防止策
再改ざんの防止のために、次のステージに進みます。
パーミッション変更、ファイル位置変更
パーミッション(ファイルの権限です)の変更、またファイル位置の変更を行います。
一般に流布されている安全なパーミッション設定の場合、実はレンタルサーバーのある条件を満たした場合に想定と異なる動作をする場合があります。
このため、WebRepairでは独自のパーミッション設定を決めており、またファイル位置も一部変更しています。
実際、あるレンタルサーバーでは通常の接続では他社様の作業で正常に動作しましたが、特定のアクセス状況では残された脆弱性が見つかるというケースがありました。
ログイン情報・SALTキー・DBパスワード、FTPアカウントの変更
ログイン情報・SALTキーを変更します。
DBパスワードも変更し、原則としてFTPアカウントも変更します。
汚染されたファイルの残し方
汚染されたファイルをアクセスできないようにしてサーバー内に残しているケースが見受けられますが、これはレンタルサーバーの場合ある特定の方法で動作してしまうことがあります。
きちんとすべてのパーミッションを殺していればよいのですが、昨今こうした初歩的なミスで再改ざんが発生して当社にいらっしゃるお客様が多くいらっしゃいます。
汚染されたファイルは、サーバー内からすべて取り除いた方が安全です。
カテゴリ:wordpressの改ざん
タグ:フィッシング,復号化,暗号化,脆弱性
拡張子が.encryptedに変更されてしまっているケース
【WordPress】コンテンツインジェクションの脆弱性で改ざん被害が多発中、4.7.0-4.7.1のバージョンは直ちにアップデートを!