連載
» 2018年05月15日 12時00分 公開

半径300メートルのIT:だからCMSは狙われる WordPressやDrupalに攻撃が相次ぐわけ (1/2)

このところ相次いでいるCMSの脆弱性を突いた攻撃。なぜCMSは攻撃者の餌食になっているのでしょうか。

[宮田健,ITmedia]
Photo キャプション

 ブログといえば、今ではTwitterなどのマイクロブログが台頭していますが、それ以前には「個人Webサイト」や「ブログ」の全盛時代がありました。

 私もずいぶん前からWebサイトを運営していますが、あるタイミングで画期的な仕組みが登場しました。それは「コンテンツマネジメントシステム」(以下、CMS)。わざわざHTMLなどのマークアップ言語を書く必要がなく、FTPでファイルを転送しなくてもWebサイトを管理できるという仕組みに驚いた私は、すぐに導入した記憶があります。

 しかし、私が使っていたこのCMSはほとんど更新がなされておらず、いつ脆弱性が発見され、攻撃されるか分からない状態でした。仮に脆弱性が発見されても自分ではどうにもできないため、数年間ため込んだコンテンツを泣く泣く公開サーバから削除しました。ネットから記録が消えていくのはもったいないのですが、リスクを考えると仕方がありません。

CMSを狙うのは「合理的」

 W3Techの調査によると、現在では「CMSではないWebサイト」は48.7%となり、ほぼ半数を割り込んでいます。利用されているCMSのトップ3は「WordPress」がダントツの30.7%で、「Joomla」(3.1%)、「Drupal」(2.1%)と続きます。

Photo CMSのシェア(出典:W3Tech)

 CMSを知らないという人でも、名前くらいは聞いたことがあるかもしれません。特にWordPressはCMSの代名詞となっていて、「レンタルブログを卒業したら、いつかはWordPressを使いたい」と考える人も多く、WordPressのインストール方法や運用方法がブログの形で公開されています。

 ところが、「市場シェアが高いこと」と、「公開サーバ上で動いていること」は、攻撃者から見れば“おいしい獲物”に他なりません。そんな背景からシェアTop3のCMSは、常に攻撃にさらされているといってもいいでしょう。最近よく取り上げられるのは、シェア3位のDrupalです。つい先日も深刻な脆弱性が発見され、まず予告として修正プログラムの適用依頼が周知されたあと、脆弱性の内容が明らかになりました。もちろん、同時に攻撃も観測されています。

 ポイントはその攻撃の速さです。Drupalが「極めて重大な脆弱性」を予告したのが2018年3月21日で、修正プログラムが公開されたのは3月28日。しかし、4月上旬には早くもこの脆弱性を狙ったアクセスが観測され、現在では脆弱性が残るDrupalサイトに「クリプトジャッキング攻撃」と呼ばれる、仮想通貨の採掘をさせる仕組みを不正に埋め込むなど、より具体的で実践的な攻撃さえ行われています。

 攻撃者から見ると、CMSは「脆弱性を持つWebサイトが、インターネット上に大量に存在する」点と、「公開サーバで常に動き続けている」点が好都合なのです。さらに最近では、仮想通貨を採掘させることで、ランサムウェアと同様、「被害者から直接金銭を得る」ことが可能になりました。狙い所としては必然ともいえるでしょう。

 最近ではGoogle Chromeの機能拡張でも、いつの間にか仮想通貨採掘機能が埋め込まれていたという事象がありました。既に対応が進んでいますが、この辺りの動きにも注目しておきたいところです。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -