WordPressを乗っ取る攻撃者の“王道シナリオ”
辞書攻撃によってWordPressへのログインに成功した攻撃者は、管理画面へのアクセス権を手にする。ここから先に展開される“次の一手”は、どのようなものがあるのだろうか。
まず簡単に考えられるのは、サイトの改ざんだ。既存のコンテンツを書き換えたり、任意のHTMLやスクリプトを仕込むことで、閲覧者をマルウェアに誘導する攻撃などが想定される。
ほかには、ウェブシェルが設置される可能性もある。ウェブ経由でサーバーにコマンドを送信・実行できるこの小さなスクリプトは、攻撃者にとって「もう一度帰ってくるための裏口」となる。サイト管理者がログを確認して不審なログインに気づいたとしても、ウェブシェルが残っていれば、攻撃者は何度でも内部へ侵入できる。
加えて、攻撃者が管理画面の“予備アカウント”を作成するのも典型的な手口のひとつだ。既存のログイン情報を変更・削除されても、自身のアカウントを通じて再び支配権を握ることができる。
野溝氏は、画面を切り替えながら実演環境に仕込まれたウェブシェルを紹介した。ドメイン直下にアクセスすると、シンプルなインターフェースがブラウザに表示される。そこに「ls」などのLinuxコマンドを打ち込めば、即座にサーバー内部のファイル一覧が表示された。
「現在は『www-data』というWebサーバー用の権限で動いているため、できることは限られます。ここから“特権昇格”を試みて、root権限の取得を狙うのが一般的な流れです」(野溝氏)
そう説明しながら、野溝氏は「/etc/passwd」ファイルを表示。そこには、OS上に存在する複数のユーザーがリストアップされていた。中には、用途不明なテスト用アカウントも含まれている。「SSHポートが開いていて、こうしたアカウントが放置されていると、再度辞書攻撃を仕掛けられるチャンスになる」と野溝氏は警告する。
そして、最後に行われたのは改ざんのデモ。今回は実演ということもあり、echoコマンドを用いてWebページの一部に「hacked(やられた)」と表示させるだけにとどめた。
「たとえば情報を窃取したあとに、『すべての情報を抜き取った』『公開されたくなければ金を払え』といった脅迫文を表示すれば、ニュースで見るような典型的な事例になります。攻撃者にとっては、自らの存在を知らしめる“王手”です」
改ざんは派手だが、そこに至るまでの工程こそが、静かに進行する“本当の侵害”である。そのリアリティを、会場の誰もが改めて痛感したはずだ。
セキュリティに「完成」はない。問い続ける姿勢こそが武器になる
今回紹介された攻撃のプロセスは、決して架空のシナリオではない。実際に起きた事件として、野溝氏が取り上げたのが政策研究大学院大学(GRIPS)のインシデントだ。
この事例では、WordPressサイトに仕込まれたウェブシェルが、なんと7年間にわたって誰にも気づかれず稼働し続けていた。外部から侵入した攻撃者は、そこを足がかりに内部ネットワークにまで侵入。最終的に大学のシステムは、8か月にわたりインターネットから完全に遮断されるという深刻な被害を受けた。
報告書には、「セキュリティ要件がITベンダーの善意に委ねられていた」と記されていた。少々厳しい見方をすれば、守りの責任を他者に預けた“隙”をつかれた形といえる。
「こういう仕事をしていると、セキュリティリスクに『どこまで備えればいいんですか?』と聞かれることがある。でも、それを誰かに決めてもらうのではなく、自分で考え続けることが必要です」(野溝氏)
セキュリティに「完成」はない。アップデートされる技術に対応するためだけではなく、変化し続ける攻撃者の視点に、こちら側も常にアップデートしていく必要があるからだ。
「うちのプロダクトだったら、どうなるだろう?」
その問いを持ち続けることが、攻撃者に対する最大の防御となる。
