ニュース
1日75万件の攻撃を検出、「ロリポップ!レンタルサーバー」2018年第4四半期の脅威動向
2019年3月14日 17:21
株式会社ジェイピー・セキュアは、「ロリポップ!レンタルサーバー」における脅威動向やインシデント事例を分析したレポート「JP-Secure Labs Report Vol.03」を公開した。同社製品のウェブアプリケーションファイアウォール(WAF)「SiteGuardシリーズ」の検出情報をもとに集計している。集計期間は2018年7月1日~12月31日。
SQLインジェクション攻撃が過半数WordPress設定ファイルの読み取りを行う攻撃も多い傾向
ロリポップ!レンタルサーバーで、同期間中に検出した攻撃の総数は、約1億3752万件で、1日あたりの検出数は75万件だった。攻撃種別に関しては、SQLインジェクションが56%、クロスサイトスクリプティングが19%、ディレクトリトラバーサルが7%、OSコマンドインジェクションが5%。
「その他の攻撃」については全体の12%で、内訳ではWordPressの設定ファイル(wp-config.php)の読み取りを試みる攻撃が66%と過半数を占めた。以下、PHP-CGIリモードコード実行が14%、Joomla!リモードコード実行が7%、不正なリクエストヘッダが4%などが続く。WordPressのテーマ・プラグインの脆弱性の悪用によるものが大半で、この傾向は今後も続くと考えられる。
攻撃に使用された接続元IPアドレスの国別の分類については、中国が17%、ロシアが16%、米国が14%、日本が13%、オランダが7%、英国が6%、ウクライナが5%、仏国が4%、カナダが3%、パナマが2%。
CMSの管理画面など攻撃を受けやすいページについて、海外IPアドレスからのアクセスを禁止する機能がレンタルサーバー側で提供されていることがあるため、有効活用することが推奨される。
WordPressを標的にした攻撃は全体の4割近くテーマやプラグイン関連の攻撃の検出が高い傾向
攻撃全体のうち、WordPressを標的にした可能性が高い攻撃については、5050万件以上で全体の37%を占めた。
攻撃種別では、SQLインジェクションが46%、WordPressの設定ファイル(wp-config.php)の読み取りが22%、ディレクトリトラバーサルが14%、クロスサイトスクリプティングが9%、OSコマンドインジェクションが9%、改行コードインジェクションが2%。
攻撃の検出箇所については、「/wp-content/plugins/」が45%、「/wp-content/themes/」が24%、「/wp-json/」が11%、「/wp-admin/admin-ajax.php」が7%、「/wp-includes」が4%、「/wp-content/」が3%、「xmlrpc.php」が3%。全体としてテーマやプラグインに関連した攻撃の検出が多かった。
プラグイン更新情報の確認を、脆弱性悪用による被害報告が多い傾向
WordPressで構築したサイトを複製できるプラグイン「Duplicator」のバージョン1.2.40以前に、リモートコード実行の脆弱性が2018年8月に発見されている。WordPressの設定ファイルであるwp-config.phpを生成するinstaller.phpの脆弱性を悪用し、外部から任意のPHPコードを実行されるもので、該当の脆弱性については、バージョン1.2.42以降で修正されている。複製先のサイトに残っているinstaller.phpの脆弱性が悪用されるため、複製元と複製先の環境ともにプラグインのバージョンアップを行うことや、複製先のサイトでinstaller.phpとinstaller-backup.phpを削除する必要がある。
2018年11月には、SEO対策プラグイン「Yoast SEO」にリモートコード実行可能な脆弱性や、問い合わせフォーム設置プラグイン「Ninja Forms」にクロスサイトスクリプティングの脆弱性が見つかった。
プラグインの脆弱性悪用による被害報告が多いため、ジェイピー・セキュアでは、利用しているプラグインの更新情報を確認し、最新バージョンを使用することを促している。
※株式会社ジェイピー・セキュア「JP-Secure Labs Report Vol.03」より