WordPress不正アクセスでLPサイト改ざん

セキュリティニュース
ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

WordPress不正アクセスでLPサイト改ざん、SaaSへの移行発表で一時Twitterトレンドに

– 6月1日(日本時間)、「バズレシピ」で知られる料理研究家のリュウジ氏より、同氏が監修した食品のランディングページ(宣伝ページ、LP)が改ざんされていたと発表されました。

– LPで使用していたWordPressへの不正アクセスにより、悪意のあるサイトへのリダイレクトが仕掛けられたとされ、同氏は対策として「今後はWordPressは使用せずにセキュリティの高いBASE(ネットショップ提供サービス)を使用する」とTwitter上で発表しています。

– この発表についてTwitterでは、WordPressと、BASEのようなSaaSとのセキュリティの差に関する議論が発生し、一時「WordPress」がトレンドワードになる程の話題となっています。

AUS便りからの所感 AUS便りからの所感

後日リュウジ氏もこの議論を受け、「(WordPressでは)扱いが難しい」「サービスが徹底している方に移行する」という趣旨だったとコメントしています。

WordPressのみならず、ソフトウェアをサーバーに導入する形のCMSでは、単にページを立ち上げるだけで後は放置できるようなものではなく、Webサイトを公開し続ける場合、自前で面倒を見るか、管理業者に任せるかに拘らず、その後もソフトウェアを最新に保つ等セキュリティ面を含めた管理を徹底することが必要となり、SaaSと契約してのサイト運営はソフトウェア管理等をサービス提供者に概ね一任できる点で有用と言えます。

SaaSの利用に費用がかかるからとはいえ、WordPressを利用する形でWebサイトを公開し続ける場合は最低限セキュリティを強化するプラグインのインストール等が不可欠、一方でLPのようなシンプルなコンテンツについては静的HTMLでの公開も有用ながら、その場合にはファイルアップロード用はじめサーバーにログイン可能なアカウントについて管理の考慮が必要、加えていずれにおいてもIDS・IPS・WAF等のソリューション導入も検討すべきと、それぞれの運用形式においてとるべきセキュリティ対策は様々なれど、必要なコストを払うことを決して怠らないことが肝要です。


VPNパスワードを推測され侵入、ランサムウェアによるデータ暗号化

– 4月6日(日本時間)、村本建設より、同2日に同社が運営管理するサーバーが不正アクセスを受けたため、ネットワークから遮断したことが発表されました。

– 5月31日、同社より続報が発表され、サーバー上のデータの一部がランサムウェアによるデータ暗号化攻撃を受け、使用できない状況となったことが明らかになっています。

– また、不正アクセスの原因は、VPN機器の管理アカウントに設定されたパスワードが推測可能なものだったためとされています。

AUS便りからの所感 AUS便りからの所感

VPNを経由しての不正アクセス・社内LANへの侵入については、近年ファームウェアが更新されていない機器の脆弱性を突かれるケースも多く報告されており、一方でルーター・NASや各種IoT機器において管理用パスワードをデフォルトのものから変更していなかったために侵入されたケースもまた昔から多く存在します。

6月6日には製薬会社のエーザイからもサーバーがランサムウェアに感染したと発表されており、ランサムウェアに限らずあらゆるサイバー攻撃のターゲットになること、また被害が発生してしまうことは、組織の大小に限らず発生し得ると心得、サーバーOSからIoT機器のファームウェアまで最新に保つとともに、管理者はもちろんユーザーに発行するアカウントに至るまで十分に強固なパスワードを設定することが重要です。


5月度フィッシング報告件数は113,789件、過去最多を更新

– 6月6日(日本時間)、フィッシング対策協議会より、5月に寄せられたフィッシング報告状況が発表されました。

– 5月度の報告件数は113,789件で、4月度(https://www.antiphishing.jp/report/monthly/202304.html )の92,932件から20,857件増加、2022年9月度以外の10万件越えかつ過去最多を更新しています。

– 5月度ではファミペイが最も多く悪用されたブランドとなり(全体の21.5%)、以下それぞれ1万件以上の報告があったセゾンカード・Amazon・イオンカード含む4ブランドで全体の約60.0%、また1,000件以上の報告があった18ブランドで全体の約89.1%を占めたとしています。

– 同協議会の調査用メールアドレスへ配信されたフィッシングメールの約94.6%が中国の通信事業者からの配信(4月度約88.3%)とされ、また約99.0%がDNS逆引き設定がされていないIPアドレスからの送信(4月度約96.5%)となったとのことです。

AUS便りからの所感 AUS便りからの所感

フィッシングサイトのURL件数は18,991件で4月度(21,230件)から2,239件減少していますが、4月まで多かった短縮URLやCDN事業者のサービスを悪用したものが減少し、同一URLの使い回しが増えたためと分析しています。

Amazonを騙るフィッシングの報告数や割合が減少したことについては、同社からの正規のメールであることを視認できる各種機構に対応し、国内大手メールサービスでもフィッシングメールを見分けやすくなったことが要因としており、悪用するブランドとしてこういった機構に対応していないサービスに移行するケースがみられているようです。

6月に入ってからも同協議会からはエムアイカードを騙るフィッシングなどへ注意喚起が出され、また特に発表はないものの手元ではクロネコヤマトのサービス変更に便乗したとみられるフィッシングメールが目立っています。

発表においては「事業者のみなさまへ」および「利用者のみなさまへ」と題し、それぞれがとるべき対策法や採用すべき機構についてまとめられていますが、前者ではDMARCを単に採用するのみならずレポートの分析をもとにより厳格なポリシーの設定を推奨、後者ではフィッシング対策機能が強化されているメールサービスの利用等を呼び掛けており、システム管理者から一般のユーザーに至るまで是非とも目を通し、実行可能な対策を検討して頂ければ幸いです。