WordPress関連の有名情報サイト、”wpbegginer”から、過去2週間で50,000以上のWordPressサイトが、セキュリティの脆弱性のためハックされた。早急に対策済みのバージョン4.7.2にアップデートすることを推奨するというメールを受け取りました。

wpbegginerのオーナーSyedさんからのメールには、「普段はWordPressについてのニュースをメールすることはないのですが、これは極めて重要で、直ちにアクションが必要です。過去2週間で5万以上のWordPressのウェッブサイトが、WordPress REST APIの深刻なセキュリティの脆弱性によって乗っ取られています。（WordPressの）コアチームはこの問題を（あまり表面化せずに）解決し、WordPress 4.7.2アップデートを推進しています。WordPressサイトをまだアップデートしていないのなら、直ちに行って下さい。」と冒頭に書かれていました。（当該メールの内容については、本記事の後半で再度紹介しています。）

WordPress 4.7.2 リリース発表記事

WordPress公式ブログ(WordPress.org）は、2017年1月26日に”WordPress 4.7.2 Security Release”の記事を投稿しました。

記事の冒頭に、「WordPress 4.7.2は直ちに使用できます。これは以前のバージョン全てのセキュリティリリースです。速やかにサイトのアップデートを行うことを強く推奨します。」（訳しています。）と書かれています。

更にこの記事の下には以下の追記があります。

* Update: An additional serious vulnerability was fixed in this release and public disclosure was delayed. For more information on this vulnerability, additional mitigation steps taken, and an explanation for why disclosure was delayed, please read Disclosure of Additional Security Fix in WordPress 4.7.2.

訳：

* 更新情報：　このリリースでは、追加の深刻な脆弱性に対する対策が行われました。一般への公開は遅れました。この脆弱性についての詳しい情報、追加の問題対策のステップ、なぜ公開が遅れたかの説明は、WordPress 4.7.2 追加セキュリティーフィックスの開示をお読み下さい。（多少、日本語に沿った意訳をしています。）

以下、2月1日に公開された追加説明記事のリンクを添付します。

https://make.wordpress.org/core/2017/02/01/disclosure-of-additional-security-fix-in-wordpress-4-7-2/

記事の概要を訳して以下に記します。

WordPress 4.7.2 追加セキュリティー脆弱性対策の開示（訳）

 

WordPress 4.7.2のアップデートリリース時に述べられた三つのセキュリティの脆弱性に加えて、WordPress 4.7と4.7.1でもう一つの脆弱性が見つかり、その発表は遅れました。この新たに見つかったセキュリティの脆弱性は、REST API関連のものです。4.7より前のバージョンのワードプレスで、REST API プラグインが使われていても、この脆弱性はありません。

我々は透明性（情報開示）は世間一般が強く望んでいることだと認識しています。セキュリティの問題は、常に公開すべきであるというのが我々のスタンスです。今回の件について、数百万の追加のWordPressサイトの安全性を確保するため、我々はこの問題の開示を意図的に一週間遅らせました。

1月20日、Sucuri の研究員、Marc-Alexandre Montpasが発見した脆弱性の指摘を受け取りました。セキュリティ部門は、その問題の調査と対策を開始しました。最初の解決策を作成した際、チームはさらなるテストが必要であると考えました。

その間、Sucuriは彼らのWeb Application Firewall (WAF)に、顧客に対する乗っ取りの試みを防ぐルールを追加しました。この問題は、（Sucuri）の内部で見つかり、外部で（乗っ取りの）試みは見つかっていませんでした。

週末を通して、我々はいくつかのWAFを備える会社、SiteLock, Cloudflare, そしてIncapsulaを含むと連絡を取り、更に多くのユーザーを保護することのできるルールのセットを彼らと一緒に作成しました。月曜日までに、彼らはルールを設定し、脆弱性をついた乗っ取りの試みが行われていないかのチェックを定期的に行いました。

月曜日、我々はテストと対策を改良を続けながら、我々の注力をWordPress ホストに移しました。（ホストはホスティングサービス会社、レンタルサーバーなどのことです。）我々は内々に彼らにコンタクトし、脆弱性の情報とユーザーの保護する方法を伝えました。ホスト（以下、ホスティング会社）は、セキュリティチームと密接に協力して、防止策を実行し、彼らのユーザーに対する乗っ取りの試みが行われていないかの定期的なチェックを行いました。

水曜日の午後までに、我々と協力して対策に取り組んでいた殆どのホスティング会社は防止策を既に完了しました。4つのWAFとWordPress ホスティング会社からのデータは、脆弱性を利用した乗っ取りが発生していないことを表示していました。その結果から、この問題が世間に公開される前に、出来る限り多くのユーザーが自動アップデートで保護されるようにする時間を作るため、我々はこの特定の問題に関しての情報公開を遅らせました。

1月26日木曜日、我々はWordPress 4.7.2 を世界中に公開しました。このリリースは我々の自動アップデートシステムで実行され、数時間の間に数百万のWordPress 4.7.xのユーザーがこの問題を知ることなく、またはアクションを取ることを全くせずに保護されました。

我々は、Sucuriの責任感のある開示、我々と一緒に働きながら4.7.2へのアップデートができるかぎりのサイトで行われるまで開示を控えてくれたことに感謝します。我々と密接に対策に取り組み、追加の保護策を追加し、彼らのシステムで乗っ取りが行われていないかを監視してくれたWAFの会社とホスティング会社に感謝致します。本日現在、我々の知る限り、今回の脆弱性を利用した乗っ取りの試みは行われていません。

（リリースの訳、終わり。）

コメント・感想

今回見つかったREST API関連のセキュリティの脆弱性は、問題対策に取り組んで、多くのサイトで対策済みのバージョン4.7.2にアップデートが済むまで情報公開をあえて遅らせたことから、かなり深刻な問題だったと思われます。

日本での発表は後？

2月7日に本サイトが利用しているエックスサーバーから本件についてのメールが届きました。

情報処理推進機構の発表です。発表日は2月6日です。

WordPress の脆弱性対策について

上の記事によると、WordPressが脆弱性の内容について公開したのは、2月1日となっています。上記、WordPress 4.7.2 追加セキュリティーフィックスの開示の公開日と思われます。

乗っ取り被害は発生中！？

上で紹介した情報処理推進機構の発表記事の中に、2月7日の更新として、以下の様な追記があります。

Sucuri 社によると、本脆弱性を悪用して多数のウェブサイトが改ざんされたとの情報がありますので、対策済みのバージョンへのアップデートを大至急実施してください。

2月1日のWordPressの発表では、脆弱性をついた乗っ取りの試みは（知る限り）行われていないとなっていますが、その後を含めて脆弱性を利用した乗っ取りが発生していると思われます。

wpbegginerのSyedさんのメールには5万以上のサイトが乗っ取られたと書かれているのが、恐らく最新情報と思われます。以下、Syedさんからのメールの前半部です。

乗っ取りが発生しているのは、WordPressバージョン4.7か4.7.1を使用しているサイトと思われます。上で紹介したWordPressのリリースでは、大手の会社と協力して対策済みとしたとなっていますが、中小のホストサービス会社のサービスを利用しているサイトなどでは、4.7.2の更新をまだ行っていないところもあるのではと思います。

この記事をご覧の方で、運営しているサイトがまだ4.7.2にアップデートしていない場合は、早急にアップデートされることをお勧めします。

2月6日のSucuriのブログには、記事投稿時で4つの異なるハッキンググループが、インターネット上で大規模なスキャンを行い乗っ取りを試みていると書かれています。

この記事の中で、発覚している乗っ取られたページ数は67000ページです。

本サイトは、WordPress 4.7.2にアップデートしたのは、先週、恐らく2月7日だと思います。日米で情報公開に6日程度のずれがあったことが気になります。これからは、もう少し、この様なセキュリティの脆弱性についての情報などについても対策したり、情報を積極的に入手するようにしようと思います。