「WordPress」は、Webサイトや個人ブログの作成に利用されるオープンソースのコンテンツ管理システム(CMS)としてよく知られています。このCMSは現在、全Webサイトの35%で使用されていると推測されています。長らくWindowsがマルウェアに狙われ続けているように、使用者の多いシステムは攻撃者の格好の攻撃対象となります。攻撃者はプラットフォーム上に存在するセキュリティ上の弱点をあらゆる手口を尽くして探し出し、攻撃に利用します。特にWebサイトは多くの場合インターネットからアクセスされる存在です。攻撃者にとっても弱点の探索が可能であり、セキュリティ対策が不十分な場合、深刻なリスクがもたらされることになります。
続きを読む2018年4月、オープンソースの電子商取引(e-commerce、EC)サイトプラットフォーム「Magento」で運用されている多くの Webサイトが総当たり攻撃や辞書攻撃の方法で改ざんされたことが確認されました。この改ざんにより、クレジットカード情報の窃取や、仮想通貨発掘マルウェア感染などの被害が発生したことが報告されています。
「Magento」は、ECサイトのプラットフォームとして、2016年時点で既に1,000億ドル以上(約10兆7千億円。2018年4 月13日時点)の売上を記録し 5,100万のユーザを抱えていました。また同社は、自身のブログ上で、Magento がオンライン取引のプラットフォームとして 2020年には 2,240億ドルに成長すると予測しています。クレジットカード情報や顧客の個人情報を扱う ECサイトはサイバー犯罪者にとっては格好の標的と言えます。実際、Magentoプラットホーム上の ECサイトは、2016年以降「KimcilWare(キムチルウェア)」、「ELF_CRYPTOR(クリプタ)」や「Rex(レックス)」といった複数のランサムウェアから、Magento の CMS が抱える脆弱性を利用する攻撃を受けてきました。このMagento の CMS の脆弱性は、ランサムウェア以外にも、脆弱性を突いてマルウェアに感染させる脆弱性攻撃ツール(エクスプロイトキット)などにも狙われています。
続きを読む