警察庁は、WordPress用「File Manager」プラグインの脆弱性を標的としたアクセスと、「DockerAPI」を標的とした探索行為の増加を観測したと発表した。WordPress用FileManagerプラグインがバージョン6.9以降であることを確認するよう促している。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
警察庁は2020年11月20日、「WordPress用File Managerプラグイン」の脆弱(ぜいじゃく)性を標的としたアクセスと「DockerAPI」を標的とした探索行為の増加を観測したと発表した。
WordPress用File Managerプラグインについては、2020年9月1日に脆弱性が明らかにされた。このプラグインを悪用すると、第三者が任意のファイルをアップロードし、実行できるようになる。Webサーバの改ざんや情報漏えいの原因となる。
警察庁はインターネット定点観測で、2020年9月10日から同プラグインへのアクセスを観測し始め、10月13日以降は同アクセスが急増しているとしている。同庁が観測したアクセスの多くは「WordPress用File Managerプラグインの説明書」を取得するという。警察庁は「説明書を取得することでプラグインのバージョンを確認しているのだろう。少数だが、同脆弱性を狙ったアクセスも観測した」としている。
警察庁は、「WordPress用File Managerプラグインを使用している場合は、バージョンが6.9以降かどうか確認してほしい。脆弱性のあるプラグインを使用している場合は既に攻撃を受けている恐れがあるため、Webサーバに不審なファイルやプロセス、通信などがないことを確認すべきだ」と注意を促している。
DockerAPIの探索行為については、警察庁のインターネット定点観測で2019年11月上旬から観測し、同年12月25日に同庁のWebサイト「警察庁 @police」で注意を喚起している。2020年9月以降に再び探索行為の増加を観測したという。
観測したアクセスの多くは、DockerAPIによってDockerのバージョン情報を取得するもの。中には、稼働しているサーバやコンテナイメージの情報を取得しようとするアクセスもあったとしている。こうしたアクセスは、外部から操作可能なDockerを探索しているものとみられる。
警察庁は「認証なしで外部からDockerAPIを利用できる場合、攻撃者が悪意のあるDockerイメージを作成できてしまう。ホストマシンへの侵入を許し、攻撃の踏み台として悪用されたり、暗号資産を採掘されたりといった危険性も考えられる」としている。
「外部からDockerAPIへのアクセスが不要な場合はアクセスできないように設定する」「アクセスが必要な場合は電子証明書による認証を実施し、送信元IPアドレスを制限する」「VPNを使って接続する」という対策を警察庁は勧めている。
Copyright © ITmedia, Inc. All Rights Reserved.