1日75万件の攻撃を検出、「ロリポップ！レンタルサーバー」2018年第4四半期の脅威動向

　株式会社ジェイピー・セキュアは、「ロリポップ！レンタルサーバー」における脅威動向やインシデント事例を分析したレポート「JP-Secure Labs Report Vol.03」を公開した。同社製品のウェブアプリケーションファイアウォール（WAF）「SiteGuardシリーズ」の検出情報をもとに集計している。集計期間は2018年7月1日～12月31日。

SQLインジェクション攻撃が過半数WordPress設定ファイルの読み取りを行う攻撃も多い傾向

　ロリポップ！レンタルサーバーで、同期間中に検出した攻撃の総数は、約1億3752万件で、1日あたりの検出数は75万件だった。攻撃種別に関しては、SQLインジェクションが56％、クロスサイトスクリプティングが19％、ディレクトリトラバーサルが7％、OSコマンドインジェクションが5％。

攻撃種別の分類（全体）　※

　「その他の攻撃」については全体の12％で、内訳ではWordPressの設定ファイル（wp-config.php）の読み取りを試みる攻撃が66％と過半数を占めた。以下、PHP-CGIリモードコード実行が14％、Joomla!リモードコード実行が7％、不正なリクエストヘッダが4％などが続く。WordPressのテーマ・プラグインの脆弱性の悪用によるものが大半で、この傾向は今後も続くと考えられる。

「その他の攻撃」内訳　※

　攻撃に使用された接続元IPアドレスの国別の分類については、中国が17％、ロシアが16％、米国が14％、日本が13％、オランダが7％、英国が6％、ウクライナが5％、仏国が4％、カナダが3％、パナマが2％。

　CMSの管理画面など攻撃を受けやすいページについて、海外IPアドレスからのアクセスを禁止する機能がレンタルサーバー側で提供されていることがあるため、有効活用することが推奨される。

接続元（国別）の分類　※

WordPressを標的にした攻撃は全体の4割近くテーマやプラグイン関連の攻撃の検出が高い傾向

　攻撃全体のうち、WordPressを標的にした可能性が高い攻撃については、5050万件以上で全体の37％を占めた。

　攻撃種別では、SQLインジェクションが46％、WordPressの設定ファイル（wp-config.php）の読み取りが22％、ディレクトリトラバーサルが14％、クロスサイトスクリプティングが9％、OSコマンドインジェクションが9％、改行コードインジェクションが2％。

WordPressに対する攻撃（攻撃種別）　※

　攻撃の検出箇所については、「/wp-content/plugins/」が45％、「/wp-content/themes/」が24％、「/wp-json/」が11％、「/wp-admin/admin-ajax.php」が7％、「/wp-includes」が4％、「/wp-content/」が3％、「xmlrpc.php」が3％。全体としてテーマやプラグインに関連した攻撃の検出が多かった。

WordPressに対する攻撃（検出箇所）　※

プラグイン更新情報の確認を、脆弱性悪用による被害報告が多い傾向

　WordPressで構築したサイトを複製できるプラグイン「Duplicator」のバージョン1.2.40以前に、リモートコード実行の脆弱性が2018年8月に発見されている。WordPressの設定ファイルであるwp-config.phpを生成するinstaller.phpの脆弱性を悪用し、外部から任意のPHPコードを実行されるもので、該当の脆弱性については、バージョン1.2.42以降で修正されている。複製先のサイトに残っているinstaller.phpの脆弱性が悪用されるため、複製元と複製先の環境ともにプラグインのバージョンアップを行うことや、複製先のサイトでinstaller.phpとinstaller-backup.phpを削除する必要がある。

　2018年11月には、SEO対策プラグイン「Yoast SEO」にリモートコード実行可能な脆弱性や、問い合わせフォーム設置プラグイン「Ninja Forms」にクロスサイトスクリプティングの脆弱性が見つかった。

　プラグインの脆弱性悪用による被害報告が多いため、ジェイピー・セキュアでは、利用しているプラグインの更新情報を確認し、最新バージョンを使用することを促している。

※株式会社ジェイピー・セキュア「JP-Secure Labs Report Vol.03」より