WordPress用のプラグイン「Total Donations」に脆弱性が含まれていることがわかりました。バージョン2.0.5以前のプラグインに、Webサイトの管理者権限が奪われる脆弱性も含めた88の動作のうち、49個もの脆弱性が存在するとのことです。

【参考】WP向け寄付管理プラグインに深刻な脆弱性 – ゼロデイ攻撃発生中

http://www.security-next.com/102069

新規ユーザーを作成し管理者権限を付与したり、本来アクセスできないデータベースへのアクセスが可能なったり、SQLインジェクションやスパムメールの踏み台になるなど、非常に多くの危険な脆弱性が存在します。

2019年1月の段階で、修正パッチの開発の依頼のため開発者に連絡を取ろうにも、返事は得られず、プラグインのメンテナンスはすでに行われていないとみられてます。

脆弱性を悪用したゼロデイ攻撃が確認されているにも関わらず、プラグインのメンテナンスがなされていないため、同プラグインの使用はただちに中止し、WordPressから削除することが推奨されています。

メンテナンスされていないソフトウェアにゼロデイ攻撃されたら

ゼロデイ攻撃とはソフトウェアに存在する脆弱性に対する修正が行われる前に、脆弱性を悪用する攻撃のことです。

例えばパソコンにウイルス対策ソフトがインストールされていても、新しく登場したばかりのマルウェアは、ウイルス対策ソフトでは検知されない可能性があり、正常なソフトウェアとしてパソコン上で動作してしまう可能性があります。

このようにマルウェアの開発と、セキュリティ対策ソフトによる対応の時間差で発生する攻撃が、ゼロデイ攻撃のうちの一つです。

脆弱性を悪用した攻撃やマルウェアの開発と、セキュリティ対策を講じる開発者との関係はよくイタチゴッコと言われます。

しかしメンテナンスされていないソフトウェアに対してゼロデイ攻撃が行われてしまったら、利用者はソフトウェアの利用を停止するしか手段がありません。使い続けるという選択肢はありません。

ここ数年、AdobeのFlash PlayerやWindows XPに対するゼロデイ攻撃の報告がありました。これらのソフトウェアの開発者は大手のソフトウェアメーカーであるAdobeやMicrosoftです。脆弱性の報告があったら、対策しなければ企業イメージの低下にもつながります。

「もうこんな古いソフトウェアは使わないでくれ」

と思いながらも修正パッチの開発を続けているのではないでしょうか。大手のソフトウェアメーカーなら修正パッチの開発に対してリソースが割けるかもしれません。

しかしWordPressのプラグインの開発はたった一人の開発者が無償で開発しているケースも多く、万全の開発体制で開発されているとは限りません。

「便利なソフトウェアを無償で提供したい」

という想い一つでWordPressのプラグインを開発している開発者もいるでしょう。ユーザーからの要望を真摯に聞いて、新しい技術やWordPressの仕様変更も追いかけながら、本業の仕事とは別にプライベートの時間を使って、孤独に開発を続けている。有名なプラグインを開発しているわけではないけど、ユーザーが一人でもいるなら、開発を続けたいと思っている。お金にはならないけど、やりがいはある。

そんな風に思いながらプラグインを開発していたある日、突然プラグインの脆弱性が発覚して、ゼロデイ攻撃の被害を受けたユーザーがいたとしたら。開発者としては本当に恐怖ですよね。

「無償で提供しているのだから、ユーザーは自己責任で使うべき」という主張も成り立つと思います。プラグインの開発者も機械ではなく人間です。たとえ建前でも自分の身を守る必要がありますが、内心とても悲しく悔しい思いを持つでしょう。

今回の脆弱性の発覚後に「Total Donations」の開発者にコンタクトを試みた人物がいたようですが、返信は得られなかったようです。私には同プラグインの開発者が現在何をしているのかわかりませんが、また別の機会に姿を見せて欲しいと思っています。なぜなら、今回の対応について「無責任」という言葉で片付けるのは、残酷すぎると私は思うからです。

（Photo by Blake Connally on Unsplash）