WAFとは?WordPress(ワードプレス)の脆弱性から守りたいセキュリティ対策法と仕組み

Posted by

ワードプレスでサイト運営していたけれど、急に表示されなくなったり、突然真っ白な画面になったり、または、突然「技術的な問題が発生しています」と、警告メールを受信したりと、「ワードプレス がおかしくなっちゃった!!」と焦った経験がある人も多いかもしれません。

特に、競争率の高いサイトは、Dos攻撃やスパム、クロスサイトスクリプティング(XSS)などの攻撃を受ける被害が多くあります。

一度被害を受けると、サイトの作り直しや、改ざんされた場所を探すのが大変です。

また、SEOにも響いてきますので、自分には無関係と思わず、セキュリティ対策を怠らないように、安全にサイトを運営しなければいけません。

WAFとは?

WAFとは?通称、Web Application Firewallの略で、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティ対策の一つと言われる物です。

従来のセキュリティ対策だけでは防げないWebアプリケーションに対する不正な攻撃を防御するセキュリティシステムになります。

一般的なセキュリティ対策の一つとして耳にする「ファイアウォール」は、個人や企業のネットワークへの不正アクセスを防ぐ物ですが、このWAFは、WebアプリケーションやWebサーバへの不正アクセスを防ぐためのセキュリティ対策です。

WAFで防げる攻撃の一例

WAFで防げる攻撃例をまとめてみました。
WordPress自体に脆弱性がありますが、WAFをonにするだけで以下のような攻撃を防ぐことができます。

SQLインジェクション

SQLインジェクションとは、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。

外部から、不正なsql文を実行させられることによって起こる攻撃です。

データーベースの正規の内容を、改ざんしたり削除したりと、勝手に操作されてしまいます。投稿していない記事が勝手に挿入されていたり、管理者権限を書き換えられたなどがあります。

クロスサイトスクリプティング

検索窓やお問い合わせフォームやログイン画面のフォームに、悪意のあるコードを埋め込み実行を行うと、予期しない実行を許可させてしまう攻撃です。

例えば、フォーム内にメールアドレスを入れる場所があるとします。


悪意のあるスクリプトコードを入れることによって、そのスクリプトが実行されます。実行されることによってセッションハイジャックや個人情報の取得などに繋がる可能性があるので要注意です。

レンタルサーバーの多くは、クロスサイトスクリプティング攻撃を検知すると登録者のメールに「攻撃を受けた」と教えてくれます。

セッションハイジャック

HTTPにおけるセッションハイジャックとは、Webアプリケーションなどとの通信時に交わされるセッションを乗っ取り、そのユーザーになりすまして通信することです。

ユーザーのログイン状態や行動を管理するためにセッションIDで管理されています。Cookieで保持されるセッションIDが第三者に乗っ取られて不正を行ったりする攻撃です。

例えば、上記で紹介した攻撃により、HTTPリクエストとHTTPレスポンスの中で見えるヘッダー情報からセッションIDを見つけ出します。

被害者のブラウザにセッションIDを植え付けることで、実行されます。

OSコマンドインジェクション

シェルコマンド文字列を組み立てて実行している場合、適切な実装(開発)がされていないサイトであるとします。

外部からのパラメータ入力によって不正にコマンド文字列を送り込まれ、WebサーバーのOSコマンドを不正に実行される攻撃をいいます。

DoS攻撃・DDoS攻撃

一台のパソコンから様々な手段で負荷を与えることで、運営を停止させる行為をDos攻撃といいます。

また、DDos攻撃は大量のトラフィックを送りつけ、Webサイトやサービスが正常に作動することを妨げる攻撃をいいます。

WAFでは防げないものもある

WAFは、あくまでwebアプリケーションのセキュリティなので、コンピューターウイルスには対応していません。以下のような攻撃には、対応できません。

ネットワーク攻撃

ファイアウォールが防いでいる範囲のネットワーク層に対する攻撃に対しての攻撃を防ぎきれないので、ウイルスソフトなどを使い、パソコンとネットワークを守りましょう。

bot攻撃

コンピュータを外部から遠隔操作を可能にするコンピュータウイルスの種類です。

このボットに感染した場合、ボットネットワークの一部として勝手に動くようになってしまいます。悪意のあるウイルスに感染したパソコンを、ハッカーが遠隔操作するようになる攻撃です。

ネットワーク攻撃もbot攻撃も、パソコンのウイルスソフトを使うなど対策をしましょう。

攻撃を受けしまった時の対応方法

レンタルサーバーの場合は、ほとんどのセキュリティ対策が備わっています。
とは言え、webサイトの脆弱性により攻撃されてしまうこともあるので、そんな時に備えて、ログを保存し、万が一に備えておくことも大切です。

ユーザー名、パスワードを推測されないようなものに変更したり、ワードプレス本体やプラグインなどの最新アップデートするなどの対策を行ってください。

セキュリティ対策はなぜ必要なのか

セキュリティ対策を行わなかった情報漏洩は企業の大損失

企業や個人の情報だけではなく、取引先やその顧客の重要な情報が漏れてしまった場合、間接的被害のリスクがあります。

自分達さえよければ良いというわけには、行かない自体になります。
万が一、悪意がないともしても自社の機密事項や個人情報などがバレてしまった場合、企業間で取り交わして決定したリスクマネジメントの欠点を突かれたり、ライバル会社から悪意のある攻撃を受けたり、不正アクセスを受けたりして機密情報が漏えいした場合は、企業や個人の信用や自社ブランドのイメージは低下します。

顧客や取引先企業が受ける被害の度合いにより、訴訟や損害賠償の請求などにつながってしまいます。

知らない間に攻撃されていることに気がつかないことがほとんど

過去にあった事件で、有名レンタルサーバーのワードプレスが改ざんされていたということがありました。

この企業にかかわらず、どのレンタルサーバーを利用していても、知らない間に攻撃の被害に合っている可能性があります。
攻撃者は、利用者には攻撃の痕跡など残していたとしても素人にはわからないため、いつの間にかログインされていたり、メールの内容をみられていたりと、悪戯されてることも0ではありません。

少しでもセキュリティ対策を知っているだけで、こうした攻撃からサイトを守ことができるのです。

個人も企業もセキュリティ対策に関心を持つことが大切

私もプログラミングさえできて、サイトが作成できればいいと思っていました。
しかし、こんなにも怖いことなんだと知り、勉強しました。

WordPressのようなCMSは、脆弱性ありきで利用するツールです。
レンタルサーバーのセキュリティWAFを使いながらも、自身で防げるセキュリティ対策の知識は身に付けておくと良いかもしれません。

PAGE TOP