WordPressのプラグイン「AMP for WP」と「WP GDPR Compliance」に深刻な脆弱性が存在することが明らかになりました。

【参考】WordPressに対する攻撃が進行中–標的は「AMP for WP」プラグイン

https://japan.zdnet.com/article/35128985/

【参考】WordPress向けのGDPR対応プラグインに深刻な脆弱性 – 乗っ取りや改ざん被害が発生

http://www.security-next.com/100144

AMP for WPはWordPressで構築された10万以上のサイトに導入されている、WebサイトをAMPに対応させるためのプラグインです。脆弱性を発見したのはオランダのセキュリティ研究家で、10月の中旬にはプラグインのメンテナーに脆弱性の件を通知していたそうです。

プラグインの開発者はセキュリティパッチを準備している期間、10月22日から31日の間は公式サイトからプラグインはダウンロードできない状態にしていました。なお脆弱性を修正した最新バージョン0.9.97.20は10月29日にリリースされています。

ところが11月15日にWebセキュリティ企業WebARXが脆弱性を悪用する実証コードを公開したことにより、この脆弱性がクラッカーに悪用されるきっかけとなってしまいました。クラッカーはXSSなどの脆弱性と組み合わせて、AMP for WPの脆弱性を悪用しているようです。

またAMP for WPと同じ時期にWP GDPR Complianceプラグインにも脆弱性が発見されました。このプラグインはECサイトなどをGDPRに対応させるために使われるプラグインであり、アクティブインストール数は10万サイト以上です。

WP GDPR Complianceのバージョン1.4.2以下には権限昇格の脆弱性があり、これは認証を受けていない攻撃者が、管理者権限をもつ新規ユーザーを登録できてしまうというものです。WordPressの設定で新規ユーザー登録を制限している状態でも、この脆弱性を悪用することで、誰でも登録が行えるようになってしまいます。

10月中旬にこのプラグインを導入していたWebサイトにて実際に被害が発生したという報告もあり、ゼロデイ攻撃に使われた可能性が高いです。

攻撃者によって不正に登録されるユーザーは「t2trollherten」「t3trollherten」「superuser」などのユーザー名を持ちます。もし運営しているWordPressサイトにこれらのユーザー名が存在していたら、プラグインの脆弱性を悪用されている可能性があるので、該当ユーザーを削除したうえで、早急にプラグインを無効化するかアップデートすることが必要です。

AMP（Accelerated Mobile Pages）とは何か？

今回の脆弱性の事件で知ったのですが、AMP for WPプラグインを使ってAMP対応させているWordPressサイトが10万以上あることに少し驚きました。筆者の身近にはAMP対応しているサイトがあまり多くないからです。

AMPはそもそもモバイル（スマートフォン・タブレット）などで高速・快適にブラウジングできるように作られたWebサイトのことです。とにかくスピード重視でWebサイトを閲覧できるようにするため、AMPに対応させたWebページの制作にあたっては、かなりの制約が存在します。さらにAMP独特のタグも使用することになるので、AMP対応サイトの制作では、公式のリファレンスとエディタを行ったり来たりしながら開発することになるでしょう。

今回、脆弱性が発覚したAMP for WPはプラグインをインストールして有効化するだけで、WordPressのWebサイトがAMP対応になります。

AMPはGoogleが推進する技術ですが、現在ではSEO上のメリットがあるとは言い切れない状態です。しかし将来どのようになるのかはわかりません。WordPressでWebサイトを運営していてAMPに興味を持たれたら、AMP for WPプラグインを導入して試してみるのもいいかもしれませんね。ただし、プラグインは最新版、そして完全に自己責任でお願いします。