企業のWebサイトを狙ったサイバー攻撃が後を絶たない。攻撃の手口は常に進化し、対策は常に後追いのように見えてくる。しかし、本当にそうなのだろうか? Webセキュリティの第一人者である徳丸浩氏に、開発者や発注者、そしてエンドユーザーに突き付けられた課題とその対策について、特に2017年前半に浮き上がった事例について語ってもらった。3回に分けて掲載する。

(聞き手はITpro Active編集部)


WordPressとStruts2から脆弱性情報の公開方法を考えよう

2017年前半もいろんな事件が起きましたが、特に気になるWebセキュリティ案件はどれでしょうか。

徳丸 今年前半のWebサイトの大きな話題は、「WordPress」と「Struts2」の2つの脆弱性発覚です。どちらも被害は大きかったのですが、脆弱性に対してどういうふうに取り扱っていくか、取り組んでいくかというのを考えていく素材としてたいへん興味深いものです。

 ちょっと時間が経ってしまったのですが、今年のはじめ、「WordPress」の「REST API」という機能に脆弱性が見つかりました。REST APIは別のサーバーからWordPressに投稿したり、ユーザー情報を読み込んだりする機能です。今回の脆弱性では、認証なしで読み書きできるというもので、この脆弱性を利用して、日本でも多くのサイトが改ざんされました。

用語解説:WordPress
WordPressはWebページやブログを作るための、オープンソースのシステム。CMS(コンテンツ管理システム)としても使われている。Webサイトを作成するためにはHTMLやCSSの知識が必要だが、WordPressを利用すればテキストや画像といったコンテンツを準備するだけで、Webサイトを作成できる。プラグインという機能追加の仕組みがあり、コメント管理からセキュリティ、電子商取引など、さまざまな用途のプラグインが公開されている。W3Techsが2015年11月に発表した調査では、世界の4分の1のサイトがWordPressで作成されている、という結果が出ている。

徳丸 有名な被害者としては、当時オリンピック担当大臣だった丸川珠代代議士があげられます。オリンピックとサイバーセキュリティの対策をされているご本人のサイトが被害にあった、ということでちょっとした話題になりました。

 この脆弱性は4.7.2というバージョンで修正されました。それが出たのが1月26日です(図1)。その時点では、危険な脆弱性があったことは伏せられていまして、2月1日になって、実はこんな脆弱性が存在したのだ、ということを公開したのです(図2)。

図1●2017年1月26日に公開されたWordPress 4.7.2のリリース
リリースの一番下に2017年2月1日に公開したセキュリティアップデートの内容を解説した記事へのリンクがある(出所:WordPress)
[画像のクリックで拡大表示]
図2●2017年2月1日に公開した脆弱性に関する解説
(出所:WordPress)
[画像のクリックで拡大表示]

次ページ以降はITpro Active会員(無料)の方のみお読みいただけます。