CMSを使用してWebサイトを運営する場合には、脆弱性を狙ったサイバー攻撃に注意する必要があります。そこで、こちらのページでは実際に起きたCMSの脆弱性が狙われた事件や事例についてまとめました。
どのような事例が発生したかという点に加えて、セキュリティを高める対策についても紹介していますので、Webサイトを運営する際の参考にしてみてください。
ここでは、CMSの脆弱性が狙われた事件や事例などについて紹介していきます。
WordPressの脆弱性を狙ったコンテンツの改ざん攻撃が2017年2月に発生しています。こちらの事件が発生した原因としては、WordPressの使い勝手を良くするために実装されている機能である「REST API 4.7.1」に脆弱性があったという点。投稿IDの検証不備がこちらの脆弱性が発生した原因とされています。
REST API 4.7.1の機能を悪用することにより、権限のないコンテンツの書き換えができるようになっており、さらに悪用が簡単に行える状態になっていました。特定の内容を含んだリクエストをGETまたはPOSTデータとして攻撃したいURLに送ると、コンテンツ内容の改ざんが可能となっており、結果として全世界で155万以上のサイトが攻撃されています。
WordPressではこの脆弱性の発表前に修正版であるWordPress 4.7.2を公開。この修正版リリースの1週間後に脆弱性の公開を行っています。
また、WordPressのプラグインの脆弱性を狙った攻撃も発生しています。WordPressの仕組みとして、さまざまなプラグインをインストールすることにより、自由にカスタマイズを行えるようになる点が特徴のひとつとなっています。プラグインは便利な仕組みではあるものの、このプラグインに脆弱性があることによって攻撃されるといったケースもあるのです。
この事例で攻撃されたのは、求人情報用のプラグインである「WP Job Manager」です。こちらのプラグインにおいて1.26.2より前のバージョンにおいては、アクセス制限不備という脆弱性がありました。この脆弱性を悪用すると、第三者による画像アップロードが可能となり、実際に改ざんが複数件報告されています。
こちらの脆弱性については、1.26.2により修正が行われています。
もう1件、WordPressのプラグインを狙った攻撃について紹介します。
「WP Mobile Detector」という、ウェブサイトのモバイル対応に使用されるプラグインを狙った攻撃も発生しています。このプラグインは、サイトを閲覧しているデバイスを検出し、スマートフォンに合ったWordPressテーマでの表示を可能にします。このプラグインには、任意のファイルをアップロードできるといった脆弱性があり、これが攻撃の標的となった原因となっています。
こちらの脆弱性については、信用できないソースからの入力内容を検証できないというものがありましたが、リサイズ用のプログラムに脆弱性があり、「allow_url_fopen」のオプションが有効になっている場合に影響を受ける状況となっていたため、こちらのオプションを無効にすることによって被害を防げます。
2022年12月、とある国立大学にて不正アクセスによる個人情報の流出が起きたということが発表されています。
個人流出が発生した原因としては、同大学で運用されていた研究室ホームページのCMS管理者IDとパスワードが詐取された点が挙げられています。このことによりCMSが学外から不正アクセスを受けてしまい、改ざん・不正プログラムの書き込みが行われた、といった内容になっています。
ここで書き込まれた不正プログラムは当該サーバ内の他のサイトの保存領域にもアクセスが可能となっていたようです。同年10月に外部機関から「同学が運営している研究室の外部公開ホームページ用サーバより迷惑メールの送信が行われている」という通報から、こちらの攻撃を受けたことが発覚しています。
2018年に、CMSを活用したオープンソースのプラットフォームである「Magento」で運用されていたECサイトが一斉にサイバー攻撃される事件が発生しています。
こちらのサイバー攻撃を行った攻撃者は、Magentoの管理パネルへのアクセスによって不正なコードを追加していますが、このことによってユーザーの支払い処理を見れる状態に。さらに、クレジットカード情報を外部へ転送させることも行っており、ユーザーのカード情報が盗まれたという状況となりました。
このように、ECサイトはサイバー犯罪者から攻撃されやすいWebサイトのひとつとなっており、ECサイトが狙われるといった被害は後を絶たないといった状況があります。
上記でご紹介した通り、CMSの脆弱性を狙ったサイバー攻撃は非常に多く発生しています。このような攻撃を受けないためにも、セキュリティ対策についてご紹介していきます。
CMSのバージョンが古いまま運用していると、脆弱性が残ったままの状態となってしまうためバージョンを最新に保つことが必要です。さらに、古いバージョンのままだと、「このサイトはセキュリティ管理が甘い」という印象を与えることにより狙われやすくなります。
パスワードが見破られてしまわないように、定期的にパスワードを変更すること、また単純なパスワードにはしないという点が大切です。すなわち複雑なパスワードにし、さらに定期的に変更する癖をつけるようにしましょう。
オープン型のCMSの場合、プラグインを利用できる点がメリットの一つです。しかし、中にはセキュリティが甘いものもあるために、使用する数は最小限に留め、使用しなくなったらすぐに削除することが大切です。
逆にあれもこれも、といったように使用するプラグインの数が多くなるほど狙われやすくなります。
WAFを導入することによって、Webサイトのセキュリティ強化を図れます。こちらは、ファイアウォールやID S/IPS製品では対応できないアプリケーションレイヤのセキュリティを高められます。
CMSを狙ったサイバー攻撃は多く発生していることから、Webサイトを運営する場合にはセキュリティ対策に気を配ることが非常に重要になってきます。一度サイバー攻撃を受けてしまい、被害が発生すると信用の低下や損害賠償請求といった可能性も考えられます。そのため、上記のような対策をしっかりと行い、CMSのセキュリティを高めていきましょう。
WAF、脆弱性対応、データ暗号化、操作ログの取得とDL、鍵管理(暗号化の鍵管理を行えるかどうか)、
プログラムソースのバージョン管理対応のパッケージ型CMS(2022年3月調査時点)の中から、目的ごとのオススメCMSをご紹介します。
HeartCore CMS
引用元:HeartCore Webコンテンツ管理システム設定ガイド[PDF]
https://www.heartcore.co.jp/file.jsp?id=49551&version=ja
導入コストが安く、
DBから情報を自動更新したい
ECサイト・中規模サイト
分類 | 動的CMS |
---|---|
サイト 規模 |
数千~数万ページ程度 |
主な 機能 |
基幹システムとの連携、サイト内検索機能、マルチドメイン、多言語対応(170ヶ国)、SNS連携、ヘッドレス配信機能 |
導入先企業 | 日本航空、三菱UFJモルガン・スタンレー証券など |
Adobe Experience
Manager Sites
引用元:Adobe Experience Manager Sites公式HP
https://business.adobe.com/jp/products/experience-manager/sites/aem-sites.html
豊富なマーケティング機能を駆使して成果改善したい大規模サイト
分類 | 動的CMS |
---|---|
サイト 規模 |
数万ページ以上 |
主な 機能 |
コンテンツのパーソナライズ化、Adobe製品と連携、ヘッドレス配信機能、マルチサイト管理、翻訳 |
導入先企業 | mastercard、kaoなど |
NOREN
引用元:WDONLINE
https://book.mynavi.jp/wdonline/detail_summary/id=102645
更新頻度は少なめで、より強度なセキュリティを重視とする中規模サイト
分類 | 静的CMS |
---|---|
サイト 規模 |
数千~数万ページ程度 |
主な 機能 |
多段階承認フロー、多言語対応(日・英・中・韓)、タイマー自動公開、デザインテンプレート、共通部品 |
導入先企業 | 伊藤忠商事、神戸製鋼所など |
※1 動的CMSとは…閲覧者がアクセスするたびにHTMLを生成しユーザーごとに内容を出し分けたり変化させられるCMS
※2 静的CMSとは…閲覧者がアクセスするHTMLページを事前に準備しておくタイプのCMS
【選定条件】
HeartCore CMS…基幹システムとの連携ができ、サイト内検索がデフォルトで組み込まれているパッケージ型CMS
Adobe Experience Manager Sites…Adobe Creative Cloudとのネイティブ連携できる唯一のCMS
NOREN…パスワード変更の際、本人だけにパスワードを通知する機能があり、静的処理を行っているパッケージ型CMS