こんな被害が起きます
WordPressなどのCMS本体や、そこに追加したプラグイン・テーマに脆弱性が見つかることは日常的にあります。ベンダーが修正版を公開しても、サイト側がアップデートを適用しなければ、脆弱性は残ったままです。攻撃者は「どのバージョンのどのプラグインに、どんな脆弱性があるか」を機械的にスキャンして回っているため、更新を怠っているサイトは自動的に見つかり、自動的に攻撃されます。
ライブラリ・CMS・プラグインの脆弱性が狙われる仕組み
オープンソースのソフトウェアは、脆弱性が発見されると公開のデータベースに登録され、誰でも内容を確認できます。これは透明性の観点では良いことですが、裏を返せば「このバージョンのこのソフトを使っているサイトには、この方法で侵入できる」という情報が攻撃者にも公開されているということです。攻撃者は特定のバージョンのサイトを大量に自動検索し、まとめて攻撃を仕掛けることができるため、個別に狙われているわけではなくても被害に遭う可能性があります。
WordPress関連の被害事例
国内の被害報告では、WordPressの特定プラグインの脆弱性を突かれ、サイトが改ざんされたり、不正なファイルを設置されて別の攻撃の踏み台にされたりするケースが多数を占めています。個人ブログから企業の公式サイトまで規模を問わず発生しており、「うちは小さい会社だから狙われない」という考えは通用しません。
自分のサイトは大丈夫?チェックポイント
- CMS本体・テーマ・プラグインのバージョンをしばらく確認していない
- 使っていないプラグインが有効化されたまま残っている
- サポートが終了した(EOLを迎えた)ソフトウェアを使っている可能性がある
- アップデート作業を誰が担当しているか決まっていない
対策方法
開発者向け:依存ライブラリのバージョンを定期的に棚卸しし、セキュリティアップデートは優先度高く適用する運用フローを作りましょう。使っていない依存関係やプラグインは削除し、攻撃対象を減らすことも効果的です。
非エンジニアの方向け:制作会社との契約に「保守・アップデート対応」が含まれているか確認しましょう。含まれていない場合、公開後は誰もアップデートしていない可能性があります。
無料診断ではここまで
セキュリティブースターの自動診断は、公開されている情報から推測できる範囲でバージョンの古さを検出しますが、非公開のカスタムプラグインや、独自開発された社内向けシステムの脆弱性までは検出できません。