サイトアイコン Capital P

WordPressを狙ったマルウェアはどうやって侵入するのか

WordPressは全世界の29%のウェブサイトで利用されており、これだけで巨大な関連市場を築いている。それは悪人にとっても同様で、WordPressを狙ったセキュリティ被害は跡を絶たない。つい先日も2つのマルウェアが大きな被害をもたらしたことが報じられた。

仮想通貨マイニング代行

Webサイトのマネタイズ方法として「閲覧中のユーザーに仮想通貨のマイニングをさせる」サービス CoinHive というのがあるのだが、そのスクリプトを悪用して、他人のWordPress サイトのユーザーにマイニングを強制的にさせるマルウェア。GIGAZINEも「キーロガー&マイニング用スクリプト入りのマルウェアがWordPressで流行中、5500近いサイトに感染」として報じている。

wp-vcd

管理者を不正に追加した上で、広告コードを挿入する。ハックされたサイトはGoogleの検索結果がおかしくなる。動作の詳細はこちら

後者は以前からあったマルウェアだが、最近になって被害が増えている。どちらも5,000を超えるサイトが被害にあったようだ。

マルウェアはどのようにして広まるのか

さて、「マルウェアが増えている」と聞くと、「またWordPressに脆弱性か」という反応を起こしてしまいがちだが、そうとは限らない。ゼロデイ脆弱性がなくても、新型の強力なマルウェアでなくても、流行することができる。実際にwp-vcdのようなリバイバル型の流行はコアやプラグインの脆弱性をついて広まっているわけではない。

ではどうしているのかというと、 “Wp-Vcd WordPress Malware Spreads via Nulled WordPress Themes” で紹介されているように、海賊版のプレミアムテーマに同梱される形で広まっているのだ。GPLライセンスの場合、「海賊版」という言葉を適用することが可能かどうかはわからないが。

例を挙げよう。Capital Pでも紹介した人気テーマ Divi というものがある。

https://www.elegantthemes.com/gallery/divi/

では、これを “wordpress divi free download” と検索するとどうなるだろうか。無料でダウンロードできるサイトが山ほど見つかるのである。悪意のある人がここにマルウェアを仕込めば、感染したサイトの一丁あがりだ。

どうすれば防げるのか

WordPressのコアがどれだけセキュリティ的に堅牢で、自動アップデートを行なっていようと、テーマやプラグインに初めからマルウェアが入っていたらどうしようもない。マルウェア検出をしてくれるプラグイン(ex. コード中のBASE64エンコードを見つける)もあるが、それも絶対ではない。要するに、防げない。最大の脆弱性はWordPressを利用する人間なのだ。

では未来のWordPressには絶望しか待っていないのかというと、そうでもない。

筆者の予想では「認証マーク」方式があると考えられる。tide のようなコード品質検証サービスもその一つだし、公式(WordPress.org)か非公式かに関わらず、コードの安全性を謳うマーケットプレースも誕生するはずだ。それらの「認証済み」テーマ・プラグインはおそらく現在流通しているものよりも値段が高くなる。現在、セキュリティの需要は高まり続けているので、間違いなく市場は成長するだろう。テーマビジネスを考えている方々は、この点も意識してはいかがだろうか。

モバイルバージョンを終了