「WordPressを守ろう!セキュリティの最新トレンドと対応事例」で得た対策と知見




 

Tokyo WordPress Meetup主催の「WordPress を守ろう!セキュリティの最新トレンドと対応事例」にWebデザイナーと一緒に参加してきました。

 

Tokyo WordPress Meetupのイベントへの参加は、去年の旧WordBench 東京「Webサイト制作プロジェクトマネジメント入門」以来久しぶり。

 

厄年のせいか、去年から今年にかけてリダイレクトスパムDoS攻撃の対応に追われたこともあり、今回のテーマは非常に楽しみにしていました。

 

WordPress 管理者がおさえておきたい Web アプリケーションセキュリティ

最初のセッションは表題の通り、WordPress ユーザー・管理者・開発者がおさえておきたいWebアプリケーションセキュリティのトレンドの解説を、OWASP Japan(オワスプ ジャパン)の松本悦宜氏がスピーカーをされていました。

 

僕はまず、OWASP(オワスプ)の存在を知りませんでした。

OWASPは、Open Web Spplication Security Projectの略で、Webセキュリティを取り巻く問題を解決するために各国の専門家が集結した国際的なコミュニティで、日本にも10の拠点があります。WordPressを愛するWordPress Meetupのようですね。

 

のちに、そのOWASPが発表している脆弱性と対処法に関するドキュメントなどを含め、WordPressにおけるリスクの確認と対策方法が紹介されました。

 

サイト改ざんなど、セキュリティリスクが多く報道されていますが、中でもWeb制作やWeb運用に携わっている人たちの間では、WordPressはセキュリティが弱いと思われがちですが、これは単にWordPressがCMSの中で圧倒的にシェア率が高いだけの話で、当然なにか脆弱性が発見されればそれに比例してしまい、他のCMSに比べれて名前が上がりやすいということで、決してWordPressが突出してセキュリティが弱いということではない冒頭のお話に納得しました。

 

リスクを確認するための3つのドキュメント

WordPressを安全に使うためにはどうすればいいのか。なにごとにもリスクヘッジができて越したことがないように、Webアプリケーションのセキュリティにおける最新の情報やトレンドを確認できる信頼性あるドキュメントが3つ紹介されました。

【1】OWASP TOP 10

前述のOWASPが発表している、最も注意すべき脆弱性と対処法が10件まとめられており、内容は3年おきに見直され更新。日本語版もあります。

OWASP TOP 10 – 1017(PDFドキュメント)

 

【2】WordPressセキュリティ白書

WordPress.orgで公開されている、まさにWordPressに特化したセキュリティ対策がまとめられています。日本語版もあります。

WordPressセキュリティ白書

 

【3】OWASP WordPress Security Implementation Guideline

OWASPのサイト内で提供されているWordOressに関連した情報のドキュメント。WordPressの様々な設定がまとめられているけど、現状は英語版のみです。

OWASP WordPress Security Implementation Guideline

 

3つのWordPressセキュリティ対策

【1】WordPressのログインを守る

ログイン画面のセキュリティ設計として、

  1. wp-login.phpのアクセス制限
  2. 2要素認証、アカウントロック
  3. パスワードポリシーの確認

 

上記3つが考えられますが、運営者への負担の許容など、ユーザーがどう使うかも考慮もしながら設定しなければならないとのこと。

 

しかしながら、3番目のパスワードポリシーは重要とのことです。映画(スターウォーズやスタートレック)のキャラクターやポケモンなどの名称を使用したパスワードは特にあぶないそうです。

 

僕の場合、クライアントの案件でもwp-login.phpのアクセス制限とパスワードポリシーだけは実施しております。

 

【2】脆弱性情報を確認する

WordPressの管理画面の更新情報に注目し、下記3つは最新のヴァージョンに保つ。

  • 本体
  • テーマ
  • プラグイン

 

注意すべきは、使用してないプラグインは削除する。停止では不十分だそうです。また、今回お話には出てきませんでしたが、使用していないテーマのバージョンアップや削除もしておいた方がいいという話を聞いたことがあり、例えば、WordPressをインストールするとデフォルトでバンドルされているテーマなどは不要の場合は僕は削除しています。

 

【3】WordPressの関数を使う

正しくWordPressの関数をしようしないと、SQLインジェクションやXSS(クロスサイトスクリプティング)といったデータベースへの漏洩や書き換えなどの攻撃にさらされる危険があるとのこと。

 

以前、固定ページでPHPをかけるようにするためのプラグインExec-PHPにてeval関数が使用されていて非推奨になった記憶がありますが、そういったことでしょうか。

 

とにかく、攻撃者が裏口を作り、PHPをアップし遠隔操作などを行うバックドアの話は恐ろしかったです。

 

 

セキュリティ診断ツール2点

最後に、推奨のセキュリティツールを紹介しておりました。

OWAAP ZAP

OWAAPが提供している診断ツールで、動的スキャンで擬似攻撃による検証ができるそうです。OWAAP ZAPの記事などのキータに一番まとまってるそうです。

検証といっても、結局は自分でサイトを攻撃していることになるので、自社で計画的に使用するなら問題ないですが、第三者のサイトに無断で使用するのは許可や計画が必要。

OWASP ZAP Hands-on In Osaka (2015-02-10)

 

WPScan

WordPressのセキュリティマニアの方々が集まる会社が提供している脆弱性スキャンツール。任意のパスワードリストからの総当たり攻撃もできるそうです。

WordPressの本体、プラグイン、テーマのバージョンが影響を受ける脆弱性を検証、また、不要なファイルが公開されてないか(readme.htmlなど)も確認できるそうです。

しかし、コマンドラインが必要なので、完全にエンジニアさん向けと思いました。

WPSCanによるWordPressの脆弱性スキャン

 

 

セッション1のまとめ

wp-login.phpのアクセス制限、パスワードの強化、本体・テーマ・プラグインの更新情報の注意と対処。これらは普段から行っていたことなので安心しました。

特に松本悦宜氏のお話の中では、OWASPの存在をはじめ、信頼性あるドキュメントや診断ツールを紹介していただいて、とてもためになりました。

また、今後「WordPressって大丈夫なの?」とクライアントに聞かれても、自信を持って説明できるようになれてよかったと思います。

 

今回の登壇で使用された松本悦宜氏のスライド

 

 

「WordPress セキュリティインシデントの対応事例」

セッション2は、主にサーバーサイドのプログラマーである神垣聡氏の豊富な経験の中から、実際に起きたインシデントとその対応事例について。

 

リダイレクトスパム編

あるURLを踏んだら、勝手にスパムサイトへ強制リダイレクトされるリダイレクトスパム。

 

リダイレクトスパムに関しては僕もやられた経験があり、その時のことを記事にしたことがあります。

 

WordPress マルウェアの確認と駆除作業(リダイレクトスパム)

 

リダイレクトスパムはリダイレクト用のプログラムがHTMLやPHPに埋め込まれてしまい、それが作用して強制的にリダイレクトされてしまう仕組みです。

 

WordPressの場合、主にplugin/index.phpが書き換わっている場合が多いらしいのですが、上記で紹介した以前の記事の時は、header.phpと、footer.phpが改ざんされていました。

 

しかも、コアファイル群の中にwp-login.phpに模した、w-login.phpというPHPファイルも仕込まれていたり。。

 

plugin/index.phpが書き換わっている場合、plugin/index.phpにファイルのアップロードを行うスクリプトが書かれ、他のファイルを呼び込むバックドアとなっているとにこと。

 

WorsFenceとSucuriScannerというプラグインで確認したそうです。

 

根本的な原因として、推測らしいのですが、メッセンジャーツールにてアカウント乗っ取りが多発時期だったらしく、フィッシングスパムメッセージを踏んで被害が拡大した可能性があるそうです。

 

 

スパム投稿記事編

この事例は知らなかったのですが、投稿一覧画面を確認してみると、記憶にない記事が大量に投稿されており、その記事にはスパム広告が貼られているそうです。

 

原因の推測として、パスワードが脆弱だったほかに驚いたことが、初期アカウントを調べるのは容易だということです。

 

「user id 1 wordpress」というキーワードでググってヒットした下記の記事でも詳しく書いてありますが、最初作ったアカウント「author=1」のログインユーザー名はダダ漏れということになります。

 

WordPressのログインユーザー名は丸見え!?

 

対処として、該当記事の削除、パスワードの一新、ロギングを行ったそうです。

 




 

サーバ屋さんから怒られた編

レンタルサーバー側がハッキングされているのを検知し、「ファイルが改ざんされてるので、おたくのサイトを停止します」という通達がきたお話です。

 

被害

  • サーチコンソールも検知しているので被害サイトとして認定されSEOランクダウン
  • 事例はECサイトであったため、即座に売上に直結し売上がダウン

 

「サーバ屋さんから怒られた編」というタイトルから、若干ほのぼのした話かと想定していましたが、このような被害状況に陥ったら生きた心地がしないかも知れません。

 

対処として、WordPressを移設しプラグインを入れ直したそうですが、この対処もなかなかの作業です。被害の進行と対処に掛かる機会費用は計り知れないので、松本悦宜氏が紹介されていたドキュメントなどを日頃からチェックするべきかなと思いました。

 

セッション2のまとめ

そのほかにも、古い事例の改ざん系として、header.phpに読み難いコードが埋め込まれていた「メール踏み台編」、サイトやサーバーにつながらない「DDoS攻撃 DNS攻撃編」といったインシデントと対応策も紹介されていて本当に豊富な事例はためになりました。

 

最後に、ディレクターにとって興味深い話として、思わぬ事態が起きてしまったときに当然Web制作事業者はクライアントに説明責任があり、ダウンタイムや復旧費用、また、毎月/年の保守やバックアップの金銭的根拠を明確に示さなければならないなど、今後心がける部分も勉強になりました。

 

今回の登壇で使用された神垣聡氏のスライド

 

 

セッション3「まとめ」

最後のセッションは、今回のTokyo WordPress Meetup 10月のモデレーター、ちくちゅう氏。

 

ちくちゅう氏は冒頭で、クライアントから「セキュリティ 対策はどうなっていますか?」と聞かれたときにどう答えるべきか?といったノウハウを紹介。

 

今後は、「暗号化はHTTPSのみ、SFTPのみ」「WAF」「インシデント発生時のルール化」「外部メモリ禁止」といったセキュリティ 項目リストを明文化して作っておくべきと思いました。

 

また、ちくちゅう氏、セッション1の松本悦宜氏、セッション2の神垣聡氏を交えて質疑応答となりました。
以下、メモれた限りです。

 

セキュリティ維持向上に普段利用しているおすすめのプラグインは?

「WP SiteGuard」と「Crazy Bone」。

監査ログをメールで通知してくれるプラグインもある。

との答え。

また、2年以上メンテ、アップグレードされていないプラグインは危ないとのこと。

 

user_id(初期アカウント)からアカウント名が簡単に取れるということでしたが防ぐ方法はあるか?

初期アカウント防げない。

とにかくパスワードを強化とのこと。

 

脆弱診断を実行できるツールはありますか?

Walti.ioがめっちゃ便利です。定期実行でログもずっと保管

JVNというサイトでWordPressの情報が出ると注意!

あと、JSACの注意喚起も注意!

 

本体をアップグレードしたら、プラグインの動作チェックはしてますか?

正直あまりしていないが、コピーサイトを作って調べるときはあります。

 

ほか、全てをメモれませんでしたが、とても有意義な質疑応答でした。

 

今回の登壇で使用されたちくちゅう氏のスライド

 

 

「WordPressを守ろう!セキュリティの最新トレンドと対応事例」まとめ

今回のイベントに参加して下記の認識と知見を得ました。

  • OWASP(オワスプ)の存在
  • WordPressが突出してセキュリティが弱いということではないこと
  • バックドアの恐ろしさと仕組み
  • 初期アカウントを調べるのは容易だということ
  • クライアントへの説明責任
  • ダウンタイムの復旧費用
  • 毎月/年の保守やバックアップの金銭的根拠の明示
  • セキュリティ項目リストを明文化
  • 様々な脆弱診断を実行できるツール

 

久しぶりのWordBench!じゃなかった、WordPress Meetupの参加でしたが今回も楽しませていただきました。

 

キャンセル待ちも出ていたみたいで人気のテーマだったのも納得するくらい、とても身になる良いイベントでした。

 

スライドの公開が早かった(その日のうち)のも嬉しかったです。

 

また、面白そうなテーマがあったら行きたい。

 

この記事も読まれています。

WordPress マルウェアの確認と駆除作業(リダイレクトスパム)

さくらレンタルサーバーで特定のIPアドレスからのアクセスをブロックする方法

 




人間やAIではなく神の領域なのか?『ソーシャルメディアの“掃除屋”たち』




 

先日NHKのBS1で、2夜連続放送された「BS世界のドキュメンタリー ソーシャルメディアの“掃除屋”たち 前編/後編」というドキュメンタリーを見て驚愕しました。

 

僕は日頃フェイスブックも含め複数のSNSを楽しんでいますが、たまに不愉快だったり際どい内容の投稿を見かけるときがあります。

 

それはフェイスブックではありませんが、別のSNSでは明らかに破廉恥で露骨な動画や画像、国外の暴力的ないじめの動画や画像などがそれにあたります。

 

そういった投稿は長続きせずに突然削除されたり、アカウント自体が凍結されたり、そもそも投稿がアップされる前にディープラーニングの経験を積んだ優秀なAIが自動で排除してフィルタリングしているのかと思っていました。

 

しかし、それをフィルタリングしていたのは実は人間だったのです。

 

フェイスブック社がフィリピンのマニラに置くクリーナーズという会社で働く現地のエリート学生たち。彼(女)らの作業は、世界中のユーザーが投稿する画像や動画を「秒単位」でチェックし、わいせつ・残酷な投稿を除外していく作業。

 

毎日のように、「秒単位」でそのような画像や動画やテキストを目の当たりにし、次第に精神がおかしくなる社員たち。

 

問題はそれだけではなかった。




 

「人間の裸」による表現はアダルト。でも人によってはそれはアート。価値観の違いから招く問題など。

 

こういった判断は、人間にもAIにも難しいことのように思います。もはや神の領域なのか。

 

発信者(表現者)も管理者(除外者)もアマチュアが大半を占めるUGCのもろさとリスクを暴き出してゆくNHKも参加した国際共同制作番組。

 

SNSを巡るトラブルは日夜耳にしてきましたが、こういった実情も抱えていることを初めて知りました。

 

ソーシャルメディアの“掃除屋”たち 前編

フェイスブック社のコンテンツから“社会的に不適切”なものを排除する“掃除屋=クリーナーズ”。検閲作業の実態をスクープ取材、ソーシャルメディアが抱えるリスクを探る。

 

ソーシャルメディアの“掃除屋”たち 後編

ソーシャルメディアの検閲作業の実態に初めて迫ったスクープ番組。後編は、精神を病んでいく“クリーナーズ”の横顔や、“表現”をめぐって世界各国で高まる論争にフォーカス。




『未来の年表2 人口減少日本でこれから起きること』感想




 

昨年(2017)、Webディレクターが読んだ2017年に出版された本という記事でも簡潔に紹介しましたが、講談社現代新書から出版された『未来の年表 人口減少日本でこれから起きること』を読んで、かなり衝撃を受けました。

 

前書は、Amazonでベストセラー1位になっていたこともあり、さらに仕事上での提案やアイデア発想のネタ探しとして軽い気持ちで購入。たしかにネタの宝庫で、実際にここに書かれていることをヒントに提案したこともあります。

 

しかしながら、ビジネスにつなげるための良いネタ本であると同時に、あまりの日本の深刻な状況に絶句もしました。そんな記憶がまだ新しく感じる中、続編の『未来の年表2 人口減少日本でこれから起きること』が出版されたと聞いて購入。

 

前書ををあらためて再読し、続編に挑む。

 

前書『未来の年表 人口減少日本でこれから起きること』

まずは、前書の説明。

 

社人研(国立社会保証・人口問題研究所)の調査報告などを中心に多くの確証あるデータに基づき、未来の日本で起こりうる出来事が第1部では記されており、後半の第2部では、著者の河合雅司氏による10つの対策案が講じられている。

 

人口減少にまつわる日々の変化というのは、極めてわずかである。「昨日と今日の変化を指摘しろ」と言われても答えを窮する。〜〜省略〜〜ゆっくりとであるが、真綿で首を絞められるように、確実に日本国民1人ひとりの暮らしが蝕まれてゆく。出版:講談社現代新書 著:河合雅司『未来の年表 人口減少日本でこれから起きること』P10〜11から一部引用

 

上記の引用文のように、第1部、第2部を通して河合雅司氏は、「静かなる有事」という言葉を使い、現状と将来を危ぶみながら、これから起きること、しなくてはならないことを説明しています。

 

ちなみに、現在世界中が注目している日本の少子高齢化問題に関しては、昨年のシルバー・イノベーションはデザイナーの吉祥性が鍵という記事で触れていたのを思い出し、久しぶりに読み返してみて、なんて楽観的な記事だったんだと前書を読み終えたあとに思いました。


未来の年表 人口減少日本でこれから起きること (講談社現代新書)

 

直面してからでは遅い「静かなる有事」

自分が住むマンモス集合住宅はまさに小さくした日本の姿だと最近感じました。

 

今の集合住宅に引っ越してからは、確かにご高齢の方は多い印象はあったものの、それなりに子どもたちの声も聞こえるし、僕と同世代のお父さんお母さんの姿も見受けられる。

 

しかし、これこそが「静かなる有事」なのでした。

 

今年から組合の役員となって、理事会における最年少はおそらく40代の僕。今までこの集合住宅を守ってきた建築関係、植栽関係、デザインや出版関係などの専門的な居住者の方たちは高齢化が進み、若い人たちへの引き継ぎが難しくなっいます。

 

これと同じように、今の日本において気づいたら手遅れにならないように、個人の周りでこれから起きること、できることを、より多くの人々が認識するべきです。




 

個人でできることを知る『未来の年表2』

前書は、俯瞰的に少子高齢化問題・人口減少問題に対して言及しており、また、政府や自治体などの機関・団体へ向けて取り組むべき対策が記されてあったのに対し、今回の『未来年表2』では家族や自分自身など、これから身の回りに起きるミクロな視点で迫る事態が描かれているので、前書よりもいっそう国民一人ひとりの危機感の意識が高くなるのではないかと思います。

 

  • やる気のない万年ヒラ社員が続出
  • 食卓から野菜が消える
  • 刑務所が介護施設と化す
  • 東京の路線が縮み、会議に遅刻する
  • 中小企業が黒字でも倒産

 

上記は『未来の年表2』に書かれている危機のほんの一例ですが、手遅れの時にはこのような事態になっていることが予想されており、前書同様、対策案が「今からあなたにできること」として個人の目線で8つ講じられています。


未来の年表2 人口減少日本であなたに起きること (講談社現代新書)

 

企業人として。個人として。

「企業人として。個人として。」一人の自分に対し、仕事とプライベートの二極化した表現はあまりしたくないのですが、ここはあえて『未来の年表』『未来の年表2』に倣っていろいろと考えてみました。

 

まず、近年、デザイン会社、Web制作会社などの実績を眺めていると、年々と地方再生などのプロジェクトの実績が以前よりも多く見受けられるようになったと感じます。

 

こういった案件はやり甲斐もあるだろうし、そこに着目し、企業の実績として今からとことん実績を重ねておくのも将来的に強みとなる。

 

また、『未来の年表2』の第2部、今からできる8つのメニューの2項目、「1人で2つ以上の仕事をこなす」に関して、副業やパラレルキャリアについて触れています。

 

自分が現在の定年歳となり、その時に今の若い人たちと共存していくためにも(迷惑をかけないためにも)、幾つになってもより多くの刺激ある経験を踏んでいきたい。

 

最後に

今後『未来の年表3』も出版されそうな気もしますが、まずは前編と後編の『未来の年表2』は自分たちのためにも読んでおいた方がいいと思います。久しぶりに会社の人間だけでなく、家族にも勧めた本となりました。