企業サイトは要注意!WordPressは本当に安全か?
世界で最も利用されるCMS
世界で最も使われているCMSといえば『WordPress』ですね。
国内外で数多くの法人企業様がWordPressを採用したサイトをお持ちのことと思います。
しかしWordPress製サイトの安全性となると、ネット上に様々な情報が溢れています。
「サイトを乗っ取られた・・・」などの怖くなる話もよく耳にします。
有名であるが故に、攻撃の標的となってしまうのでしょうか…?
そもそも「WordPressは本当に安全」なのか?
今回、弊社のパートナーでもあり、すご腕のホワイトハッカーとしての顔もお持ちの
株式会社松風 代表取締役社長 谷口昭平氏にお話を伺ってみました。
WordPressの脆弱性について非常に分かり易く解説くださった谷口氏の寄稿文、
是非ご一読ください!
株式会社松風 代表取締役社長
谷口 昭平
WindowsNT系OSの完成された安定・高速化技術を有する世界で唯一のソフトウェア「MATSUKAZE-PREMIUM」の開発メーカーであり、国内法人導入実績は12,000法人越えを誇る。2017年度中に多言語化による海外進出を目指す。
株式会社松風「http://matsukaze-tune.co.jp/」
『WordPressは本当に安全なのか?』松風 谷口氏による寄稿文
●WordPressは安全なのか?
この問いに対して、ソーシャルエンジニアリングの観点から結論を導く時、
その解は否=安全ではないとなる。
WordPressはまったく安全ではない。
その最大の理由のひとつが、WordPressのオープンソースという特性である。
オープンソースのソフトウェアの宿命として
WordPressがどのような原理原則で動作しているのかについては
クラッカー側に完全に筒抜けの状況にある。
結果、次々と新たな<不正な改竄方法>が発見・拡散され、
WordPressによって製作されたサイトは年柄年中、侵入と情報漏洩の危機に見舞われる事になる。
この一連の構造から鑑みても、
<法人がWordPressを使うべきではない>のは論理的に自明だが、
実際には自社サイトの作成に際して
<WordPressの使用>を選択する企業は少なくない。
それは、多くの企業の<WEB担当者/IT担当者>が
ITセキュリティ分野に関しては専門的知識を持たないが故で、
これはすなわち、
彼ら専門知識を持たない人々によって、
選定・採用・運用されている<現実のWordPress>の多くが
ほとんど絶望的なまでにハッキング対策が成されていない実情を意味する。
端的に言って、ハッカー側からの視点では
WordPressを採用している=セキュリティがザルの公算が相当に高いことを示し
それはある種の<侵入可能フラグ>と考えることができる。
一方、果たしてWordPressを現在進行形で運用している法人内部には、
IT担当ないしWEB担当が選定・採用・運用しているWordPressに関する十分な水準で機能する安全評価システムがあるのかと言えば実際に安全評価を行うのは当の選定・採用・運用チームであるケースが殆どだ。
つまりは、論理構造的には、まったく安全性など担保されない状況で
大多数のWordPress製WEBサイトの保守が継続されているのである。
では、実際にWordPressを<安全に運用>しようとする場合、
果たしてこれは可能なのだろうか?
残念ながら、その答えは否である。
一定の技術水準があれば<WordPressが誰にでも改竄が可能>な理由を
実際のハッキングプロセスを辿ることで実際に論証してみせよう。
始めに、WordPressで作成されたWEBサイトは、
ソースコードやディレクトリ名から一見してそれと判別が可能で
内部バージョンも外部に露見している状態にある。
したがって、クローラーを用いて国内外の
<WordPressで作成されたWEBサイトの一覧>を
予め取得しておくことは
ハッカーにとっては極めて容易だ。
そうやって収集したWordPress製サイトのリストを蓄積しつつ、
ハッカーたちはXデーを待つ。
ここで言うXデーとは、
定期的に起きるイベント=新たな脆弱性の発見を指す。
一定間隔で発生するXデーが到来したとき
侵入方法に関する最新の具体策の入手に至る訳で、
間髪をいれずリストにある企業サイトへの攻撃が実行される。
攻撃の要諦としては
各法人が新たに発見された脆弱性対策措置を完了する前に
予めリスト化しておいたWordPress製法人サイトに総当り攻撃を仕掛け
浸透に成功したサーバから個人情報を盗み出すのである。
こういう決定的な場面では
クラッカーの動きは極めて素早く
法人のIT担当者を圧倒する速度で動く。
その上で、土日祝日や深夜を問わず、ハッカーたちはこの機を逃さず執拗勝つ精力的に活動するので、労働基準法の内側でしか動けない法人IT担当者が抗う術は、殆ど残されていない。
以上の通り、オープンソースであるWordPressは、構造的に割られるべくして割られる運命にあるわけで、法人が採用すべきない理由は明らかだ。
WordPressの採用をIT担当が決めたので、そうした。
それはすなわち、襲ってくれと宣言するに等しく、経営層の判断としては、
あまりに無防備かつ無策といえよう。
まとめ
なんとも衝撃的な事ですが、
法人サイトでのWordPress採用はそもそも「してはいけない」という話です。
平たく言うとWordPressは、オープンソースであるため
"攻撃を行う前の情報収集が容易"で、例えるなら、見通しの良い広場で無防備に突っ立っている兵士のようなもので「頭を簡単に打ちぬける」に等しい状態ということでしょうか。
WordPressの脆弱性対策を真面目に考えるととても頭が痛いところですが、
「セキュリティは二の次」な法人はたくさんいらっしゃるような気がしますね。
うーん、むしろこの状況に頭が痛いところです。
【用語解説】
●ソーシャルエンジニアリング
人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法。 「本人が望むか望まないかを問わず、人を操って行為を起こさせること」と定義される。