2017年2月、コンテンツ管理システム「WordPress」を利用するWebサイトが改ざんされる被害が相次いだ。世界中で155万以上のサイトが改ざんされ、国内でも多数の攻撃が確認された。原因は、WordPressの脆弱性(バグ)。あまりに深刻な脆弱性だったため、同ソフトの公式サイト「WordPress.org」では、脆弱性を修正したバージョンの提供開始から、1週間遅らせて脆弱性の詳細情報を公開した。ユーザーに修正版を適用する時間を与え、脆弱性情報を参考にした攻撃の被害を防ぐためだ。しかし、あまり効果はなかったようだ。

今回の脆弱性は特に深刻

 WordPressはオープンソースで開発されているコンテンツ管理システム(CMS;Content Management System)で、広く使われている。オーストリアの調査会社Q-Successによると、世界中で27.5%のWebサイトが利用しているという。CMSのシェアでは58.7%を占める。WordPressの機能を拡張するプラグインも様々な開発者によって多数開発され、オープンソースとして公開されている。

 WordPressに深刻な脆弱性が見つかったのは今回が初めてではない。頻繁に見つかっている。だが、その多くはプラグインの脆弱性だ。該当のプラグインを使っていなければ影響を受けない。また、攻撃を成功させるには、ある程度の工夫が必要なことがほとんどだ。

 だが、今回の脆弱性はWordPress本体に見つかった。プラグインの使用の有無にかかわらず影響を受ける。しかも、Webサイトのコンテンツを簡単に書き換えられるという、極めて深刻なものだった。

 具体的には、コンテンツの書き換え権限のチェックに問題があった。権限のないユーザーでも、特定の文字列を送るだけで権限のチェックを回避して、コンテンツの書き換えが可能になった。

公開から48時間以内に攻撃コード

 ベンダーなどが脆弱性情報を公開する場合には、修正版やパッチを同時に公開することが多い。ところが、今回の脆弱性は非常に深刻だったため、WordPress.orgでは脆弱性を修正した4.7.2版を1月26日に公開。脆弱性情報はその1週間後の2月1日に公開した。

 いわば、ユーザーに1週間の猶予期間を与えた形だ。脆弱性情報が公開されれば攻撃者はすぐに解析し、脆弱性を悪用する攻撃コードを作成する。このため、攻撃コードが出回る前に修正してもらおうと考えた。