ウェブサイトのセキュリティ研究組織「JP-Secure Labs」を開設、国内WordPressセキュリティの現状分析をした独自レポート公開

2018年2月23日
株式会社ジェイピー・セキュア

国内保護サイト数100万超で利用されているウェブアプリケーションファイアウォール (以下、WAF)(*1)製品「SiteGuard(*2)」の開発、販売を手がける株式会社ジェイピー・セキュア(本社:神奈川県川崎市、代表取締役:菅原 修、以下 「JP-Secure」)は、この度「JP-Secure Labs(ジェイピー・セキュア ラボ)」を開設しました。

その活動の第一弾として、日本国内におけるWordPress(*3)セキュリティの現状を紐解いた独自の分析レポート「ウェブサイトを取り巻く脅威と対策~リアルログから読み解く日本国内におけるWordPressセキュリティの現状~<JP-Secure Labs Report Vol.01>」を公開したことをお知らせします。

JP-Secure Labs開設背景

インターネット・サイバー空間における日本国内の現状は、日々、様々な攻撃の脅威にさらされているといえます。多くの国内企業、組織のネットワーク、システムが、国内外を送信元とした攻撃により、情報漏えい等の被害に直面してきました。先月報道されて大きな社会問題となった仮想通貨の流出事故は、利便性とのトレードオフともいえるセキュリティの問題が改めて顕在化した事例であり、今後も攻撃者は、豊富な資金と人材をもとにますます攻撃手法を高度化させていくと考えられます。

そういった状況の中、JP-Secureでは、企業理念である「誰にでも簡単に、安心して利用できるIT社会の実現」に向けて、新たにJP-Secure Labsを開設したことを発表します。JP-Secure Labsでは、ウェブサイトのセキュリティを重点分野と位置づけ、脆弱性や攻撃手法、対策技術に関する調査・研究・開発を行っていきます。活動の成果は、蓄積した技術や情報を自社製品・サービスの向上に生かすだけでなく、IT社会に携わる多くの方のセキュリティ向上に貢献するべく、有益な情報発信にも取り組んでいく予定です。

また、この度JP-Secure Labsの活動である情報発信の一環として、「ウェブサイトを取り巻く脅威と対策~リアルログから読み解く日本国内におけるWordPressセキュリティの現状~<JP-Secure Labs Report Vol.01>」を公開しました。

本レポートでは、SiteGuardシリーズをセンサーとして収集した、ウェブサイトに対する攻撃の検知ログを分析しています。ユーザー数40万超(サイト数では利用実績200万超)のレンタルサーバー環境のサイトを対象に、SQLインジェクションをはじめとするウェブアプリケーションに対する攻撃の動向だけでなく、非常にポピュラーなCMS(*4)であるWordPressに焦点をあて、攻撃の分析に加えて対策方法までご紹介している点が特長です。

JP-Secure Labs Report Vol.01の主なポイント ※本編より抜粋

  • 集計対象:ユーザー数40万超のサービスサイト、集計期間:3か月間(2017年10月~2017年12月)、集計対象全体での攻撃検出総数:約4700万件(そのうちWordPressが対象、またはその可能性が高い検出は約1500万件)
  • WordPressのテーマ・プラグインに対する攻撃の傾向やWordPressのバージョン管理の重要性について、実際に行われている攻撃の一例などを交えて説明
  • WordPressのセキュリティ対策のポイントに関して、いくつかの効果的な対策手法を解説
攻撃種別の分類(全体)

pr180223image1

約40%がSQLインジェクション、次いでOS コマンドインジェクション、バッファオーバーフロー、クロスサイトスクリプティングという順に続く。SQLインジェクションやクロスサイトスクリプティングに代表されるウェブアプリケーションの脆弱性を悪用する攻撃に対しては、以前からウェブサイトの運用において重点的な対策が求められているが、今回の調査でも検出傾向として上位に入り、対策の重要性を裏付ける結果となった。

接続元(国別)の分類

pr180223image2

接続元は、踏み台として経由されることが多いという前提はあるが、検出総数の3分の1を占めるアメリカ合衆国が最も多く、日本は2 番目に多いという結果に。

WordPressへの攻撃(検出箇所)

pr180223image3

検出箇所で分類すると図のようになり、「xmlrpc.php」での検出が最も多かったという結果になる。このほか、プラグインやテーマがインストールされている「/wp-content/plugins/」、「/wp-content/themes/」の検出が多く、テーマやプラグインで、Ajax を使用する場合にアクセスされる「admin-ajax.php」での検出を含めると、全体としてテーマやプラグインに関連した攻撃の検出が多いことも判明。


なお、本レポート本編については、以下のサイトからご自由にダウンロード可能となっています。
(イード社ウェブ媒体「ScanNetSecurity」にて運営協力いただいています)

「ウェブサイトを取り巻く脅威と対策
~リアルログから読み解く日本国内におけるWordPressセキュリティの現状~」
<JP-Secure Labs Report Vol.01>【外部サイト】

エンドースメント

本リリースにあたり、提携各社より、以下のエンドースメントをいただいています。

ジェイピー・セキュア社のレポート「ウェブサイトを取り巻く脅威と対策」の編集に協力をさせていただきました。日本のウェブサイトの大半を占めるであろうレンタルサーバーに対する攻撃の大規模な統計・分析は、他に類を見ない資料であり、一人のセキュリティエンジニアとして興味深く拝見しました。このように貴重かつ有益な資料を無償で公開されたジェイピー・セキュア社に敬意を表すると共に、弊社もこの情報を今後のセキュリティ事業に役立てたいと思います。

EGセキュアソリューションズ株式会社
代表取締役 徳丸浩

国内で多数のサイトを防御している同社製WAFで観測される攻撃情報に基づく、ウェブサイトセキュリティに関する調査・研究による製品へのフィードバックと情報発信は、ウェブサイトの安全性向上に役立つものと確信しています。「JP-Secure Labs(ジェイピー・セキュア ラボ)」の今後の活動に期待するとともに、サイバー犯罪抑止の観点からも歓迎いたします。

株式会社ラック
代表取締役社長 西本逸郎


▽注釈に関して
(*1) ウェブアプリケーションファイアウォール(Web Application Firewall、通称「ワフ」)
ウェブアプリケーションの脆弱性を悪用する攻撃から、ウェブアプリケーションを保護する製品・サービスのこと。
(*2) SiteGuard(サイトガード)
ウェブサイトの脆弱性を悪用した攻撃を防御するソリューションとして、官公庁や金融機関をはじめとした大企業から個人向けレンタルサーバーまで、国内保護サイト数100万超で利用される純国産のソフトウェア型WAF製品。ソフトウェア製品の特性を生かし、オンプレミスやクラウドなどのインフラ環境を問わず多様なシステム環境で利用でき、高い防御性能とユーザビリティの両立を実現している。
(*3) WordPress(ワードプレス)
ウェブサーバーの機能を拡張し、動的にウェブページを生成するために用いられるプログラミング言語の一つ「PHP(Hypertext Preprocessor)」で開発されているオープンソースのCMS。テーマやプラグインによる拡張性に優れるため、ブログだけでなく、コーポレイトサイトやECサイトなどにも広く活用されている。
(*4) CMS(Content Management System、シーエムエス)
ウェブコンテンツを構成するテキストや画像、レイアウト情報などを一元的に保存・管理し、サイトを構築したり編集したりするソフトウェア。広義には、(ウェブサイトに限らず)デジタルコンテンツの管理を行うシステムの総称。

JP-Secure Labsについて

JP-Secure Labs(ジェイピー・セキュア ラボ)では、企業理念である「誰にでも簡単に、安心して利用できるIT社会の実現」に向けて、ウェブサイトのセキュリティを重点分野と位置づけ、脆弱性や攻撃手法、対策技術に関する調査・研究・開発を行っています。蓄積した技術や情報を自社製品・サービスの向上に生かすだけでなく、より多くの方のセキュリティ向上に貢献するべく、有益な情報発信にも取り組んでいきます。

主な活動内容
  • 独自アンテナシステムによる脆弱性情報の収集
  • 攻撃手法の調査、検証
  • ハニーポットを活用した攻撃状況の定点観測
  • 協業パートナーとの連携によるセキュリティログの分析
  • セキュリティ動向に関するレポート発信
  • 自社製品・サービスの向上を目的とした技術開発
  • 無償セキュリティツールの開発

会社概要

会社名 : 株式会社ジェイピー・セキュア
代表  : 代表取締役 菅原 修
所在地 : 神奈川県川崎市幸区堀川町66-2 興和川崎西口ビル2階
設立  : 2008年7月1日
資本金 : 11,000,000円
業務内容: セキュリティ関連製品の開発、販売、サポート
URL  : https://www.jp-secure.com/

本発表に関するお問い合わせ先

株式会社ジェイピー・セキュア 広報担当
E-Mail:infoat_wtjp-secure.com
TEL :044-201-4036