- 2019年8月19日
- WordPress脆弱性情報
実際にあるWordPress攻撃の事例
WordPressのセキュリティ対策が手薄だと攻撃を受けやすいことは分かっていても、具体的にどのような被害を受けるのかイメージがつきにくいかもしれませんね。
今回はWordPress攻撃の種類や手口、それによってどうなるのかまでお伝えしていきたいと思います。
不正ログインによる攻撃
不正ログインの手口
WordPressにログインをするにはまず
- ユーザー名
- パスワード
の2つを知る必要がありますね。
どのように攻撃者はこの2つを見破るのでしょうか?
代表的なのが、セキュリティチェックツール「WPScan」を使った手法です。
このツールを使えば、ユーザー名を取得することができます。
一方、パスワード取得の主な方法は2つあります。
1つ目はブルートフォースアタックです。
これは単純な手法ですが、ログインが成功するまでいくつもの異なるパスワードを入力し続けます。英字のみだったり、数字のみのパスワードほど推測されやすくなります。
2つ目は辞書攻撃です。
これは辞書に載っている全ての単語を当てはめていき、ログイン成功にたどり着こうとする方法です。英字と数字が混在したパスワードが良いとされるのは、この辞書攻撃を防ぐ為ですね。
不正ログインされるとどうなる?
WordPressに不正ログインされてしまうと、テーマや記事の改ざんの被害に遭うことが多いです。
改ざんというのは、ログインの権限を持たないユーザーが勝手にデータを書き換えてしまう行為のことですね。
この改ざんによる具体的な被害としては、
記事内に不正なプログラムが追記され、意図しないページ(改ざんした攻撃者がアクセスして欲しいページ)に飛んでしまうということもあります。
また、あらゆる人の個人情報を取得する為に、
そのWPに送られるお客さんのお問い合わせメールが攻撃者にも送られるようにプログラムを組み込まれることもあります。
SQLインジェクションによる攻撃
SQLインジェクションの手口
WordPressで登録されたデータはデータベースというところに保管されます。
このデータベースに保存されるデータを操作できるのがSQL文という言語です。
つまり、SQLインジェクションはこのSQL文を利用してデータベースを不正に操作します。
具体的には、お問い合わせフォームなどの入力フォームに有害なSQL文を送り込みます。
SQLインジェクションされるとどうなる?
SQLインジェクションの攻撃に合うと、主に考えられる被害は以下になります。
- 個人情報を盗み取られる
- データを不正に書き換えられる
- データが消去される
- WordPressの設定が勝手に変更される
これらの被害からも分かるように、
SQLインジェクションを受けてしまうと膨大な賠償金を請求される可能性のある個人情報漏洩など深刻な問題に繋がるリスクが高いです。
クロスサイトスクリプティングによる攻撃
クロスサイトスクリプティングの手口
SQLインジェクションと同様に多いハッキングの手法として、クロスサイトスクリプティングが挙げられます。
クロスサイトスクリプティングの攻撃を受けるのは、ユーザーが入力した内容が表示されるページです。
例えば、このようなページに訪れたユーザーが悪意のあるスクリプトが仕込まれたリンクを押します。
すると、攻撃者が仕込んだ別のリンクに飛ぶのですが、何も知らないユーザはそのままそこに個人情報を入力します。
これにより、ユーザーの個人情報が攻撃者に渡ってしまいます。
クロスサイトスクリプティングの「クロスサイト」は「サイトを渡って」、「スクリプティング」は「スクリプト(ソースコードをすぐに実行できるプログラム)」のことを示しています。つまり、Webページを介してプログラムで攻撃をするということですね。
クロスサイトスクリプティングされるとどうなる?
上記で紹介した具体例にもあるように、まず個人情報が盗まれる恐れがあります。
他にも、意図しないサイトに飛んでしまったり、本来閲覧したいものが表示されなかったり、訳の分からないポップアップが表示されてしまったり…。
クロスサイトスクリプティングによって様々な形でユーザーが被害を受けてしまいます。
まとめ
以上、実際にあるWordPress攻撃の事例に関してお伝えしました。
今回の内容をまとめると以下になります。
- 不正ログインは「WPScan」というツールでユーザー名を取得し、ブルートフォースアタックや辞書攻撃という手法でパスワードを見破られることがある
- 不正ログインされると、WordPressのテーマや記事の内容を変更されてしまう恐れがある
- SQLインジェクションはSQL文を利用することで不正にデータベースを操作されてしまう
- SQLインジェクションの被害に遭うと、個人情報が盗まれたり、データの消去や変更、WordPressの設定を変えられてしまう恐れがある
- クロスサイトスクリプティングは、サイトに訪れたユーザーが悪意のあるスクリプトが仕込まれたリンクに飛んでしまい、攻撃を受ける
- クロスサイトスクリプティングの攻撃に合うと、個人情報を盗む為に攻撃者の悪意で仕組まれたサイトに飛んでしまう恐れがある
今回は主にWordPress攻撃の種類や手口に関してご紹介しましたので、次回はこれを踏まえ、どのようにWordPressのセキュリティ対策を行えば良いのかについてお伝えしていきたいと思います。
参考URL:
Web制作に関わる全ての人が知っておくべき!サイトを守るためのWebセキュリティ対策 3つの盾
WordPressの脆弱性スキャンwpscanでログインID取得
【ブクマ推奨】油断は禁物!WordPressで作ったWEBサイトのセキュリティ対策まとめ
クロスサイトスクリプティング(XSS)のセキュリティ対策とは?