WordPressの脆弱性に「SHA-1」衝突。2017年の「サイバーセキュリティ月間」は波乱の幕開けとなったのでした。
2017年2月は「サイバーセキュリティ月間」の始まりということで、セキュリティに関するイベントが各所で開催されました。それに併せて、会場内からもたくさんのツイートが行われていました。
関連リンク:サイバーセキュリティ月間(内閣サイバーセキュリティセンター)
一方で2月上旬にはメジャーなCMS「WordPress」に簡単に記事を書き換え可能な脆弱(ぜいじゃく)性が見つかり、イベントどころではなく対応に追われた人や、脆弱性を追試してみた人も多くいたようです。
また23日にはハッシュ関数「SHA-1」で衝突を発生させられるということがGoogleにより発表され、「いよいよSHA-1も終わりを迎えるのか」と嘆かれながらも、「SHA-1衝突大喜利」が開催されていたTLなのでした。
WordPressは日本でも非常によく使われているCMS(Content Management System)ですが、2月に入って最近追加された機能に脆弱性があることが公表され、大きな騒ぎとなりました。これに関して、検証実験をした人や、サイトを書き換えられてしまった人、書き換えサイトを調査した人などによって多数のツイートが行われていました。
この脆弱性は、「外部から誰でも他人のページを書き換えられる」というものでした。それだけでは個人情報が流出するようなことはないのですが、脆弱性の公表と同時に攻撃スクリプトが公開されていたことに加え、攻撃の結果が分かりやすいこともあり、世界中の“とにかく攻撃してみたい人たち”によってページが書き換えられまくっていました。世界中で150万ページ以上が書き換えられたそうです。
また、インストールしているプラグインによっては書き換えによりphpのコードが実行されることあり、それを狙った攻撃も行われているようです。
WordPressは自動アップデート機能が標準で動作するようになっており、今回の脆弱性も自動アップデートが行われた後のタイミングで公開されたのですが、自動アップデートが動かなかった運が悪いサイトや、明示的に自動アップデートを止めていたサイトが被害に遭ったようです。こうしたサイトは割合としては少数ですが、WordPressを使っているサイト自体が大量にあるため、大規模な被害につながってしまったようです。
「どうして自動アップデートを止めるのか」という意見も多数見られましたが、作成する業者と使用するユーザーが異なるWebサイトでは、自動アップデートで障害が起きたときの責任を考えて、自動アップデートをオフにして納品することがあるようです。実際、アップデートによってプラグインが動かなくなる障害が発生したために、自動アップデートを止めていたサイトもあるそうです。
また、かつてWordPressと人気を二分していたCMS「Movable Type」が「WordPressと違ってMovable TypeのREST APIは安全だ」というリリースを出していましたが、その煽るような内容に不快感を示している人もいました。
Copyright © ITmedia, Inc. All Rights Reserved.