2014年8月30日に「WordFes Nagoya 2014」で、広報宣伝室の林 雅也が「ホスティング事業者の視点からみた、WordPressのセキュリティ対策」と題し、セッションを行った際の資料です。 ■イベント詳細 　http://2014.wordfes.org/

1. ホスティング事業者の視点からみた
WordPressのセキュリティ対策
2014年8月30日
さくらインターネット株式会社
広報宣伝室 林 雅也
Copyright (C) 1996-2014 SAKURA Internet Inc.

2. Copyright (C) 1996-2014 SAKURA Internet Inc.
はじめに
このセッションでは、当社（さくらインターネット）の視
点から見た、最近の、主にレンタルサーバー（共用サーバ
ー）に対するサイバー攻撃の実情と、それに対する当社の
取り組みについて、ご紹介いたします。
また、主にレンタルサーバー上でWordPressを運営する
方を想定した、基本的なセキュリティ対策の考え方につい
て、ご説明いたします。

3. Copyright (C) 1996-2014 SAKURA Internet Inc.
このセッションのだいたいの流れ
• お客様のサービスが悪用されるケースには
どのようなものがあるのか
• 当社はそれに対しどのような取り組みを
行っているのか
• 主にレンタルサーバーでWordPressを運用する際
には、どのような対策を行う必要が
あるか
3

4. Copyright (C) 1996-2014 SAKURA Internet Inc.
自己紹介
さくらインターネット株式会社 広報宣伝室 林 雅也
– 2005年に入社
社内インフラ担当など
– 2014年4月より広報宣伝室に配属
– 2005年頃よりOSC等に参加するようになり、少しずつ
オープンソースコミュニティに興味を持つようになる
– WordCamp Kobe 2013に参加し、WordPressコミュニティの勢い
にのまれる
– 最近は、WordBench大阪、神戸に参加
– Twitter：@haya2_
– Facebook：https://www.facebook.com/haya4

5. 売上高
経常利益
1996年からサービスを行うデータセンター・ホスティングの老舗です
Copyright (C) 1996-2014 SAKURA Internet Inc.
さくらインターネット
1996年 京都府舞鶴市にて創業
1998年 大阪市中央区へ移転
1999年 株式会社化、東京支社開設
大阪・東京へIDCを新設
2005年 東証マザーズへ上場
2011年 石狩IDCを新設
2,758
4,398
6,204
7,106
7,812
8,584
9,164 9,482
(百万円)
207 85 349
723
1,194
873 867
06/3期 07/3期 08/3期 09/3期 10/3期 11/3期 12/3期 13/3期
商号 さくらインターネット株式会社
本社所在地 大阪市中央区南本町一丁目8番14号
設立年月日
1999年8月17日
（サービス開始は1996年12月23日）
取締役
代表取締役 社長 田中 邦裕
取締役 副社長 舘野 正明
取締役 川田 正貴
取締役 村上 宗久
取締役（非常勤）森田 勝也
取締役（非常勤）辻 壮
上場年月日 2005年10月12日（東証マザーズ）
決算 3月末日
資本金 8億9,530万円
従業員数 236名 （2014年3月末）

6. Copyright (C) 1996-2014 SAKURA Internet Inc.
さくらのレンタルサーバ
・共用タイプのレンタルサーバー
・管理者権限(root権限）無し
－サーバー全体の管理は当社が行います。
6
WordPress
非対応＞＜
PHP
MySQL シェルログイン
複数人利用
独自SSL

7. ご利用のサービスが、
第三者により悪用されるケースが
多発しています
あなたのサイトは
大丈夫ですか？
Copyright (C) 1996-2014 SAKURA Internet Inc.
7

8. Copyright (C) 1996-2014 SAKURA Internet Inc.
悪用のされ方の変遷
• 技術力の高い人が、自らの技術力を誇示するために
ハッキング
• ハッキング方法の共有、ツール化
→技術力の低い人も、面白半分でハッキング
• 犯罪者集団による、お金もうけのためのハッキング
→組織的に、計画的に、地道に、真面目に。
• 人海戦術的なアプローチ
8
対応が複雑化

9. Copyright (C) 1996-2014 SAKURA Internet Inc.
悪用する人の動機
• 自己顕示欲？
• 思想を広めたい？（政治的メッセージ）
• お金？
• 恨み？
• 誰でも良い？
9
パターンが増える程、想定しづらくなる

10. Copyright (C) 1996-2014 SAKURA Internet Inc.
サービスは、
第三者により、どのように
悪用されるのでしょう？
10

11. Copyright (C) 1996-2014 SAKURA Internet Inc.
悪用ケース
ウイルス、マルウェア、改ざんによる不正なスクリ
プトの埋め込み
• ガンブラー
サイト閲覧→マルウェアダウンロード→ftpパスワ
ード漏洩→サイト改ざん、の連鎖
• 改ざんによる不正スクリプトの埋め込み
• パスワードを変更しても、クライアントPCの対策
が不十分だと、すぐに再発する
11

12. Copyright (C) 1996-2014 SAKURA Internet Inc.
悪用ケース
スパムメール
• スパムメール送信の踏み台にされるケース
一日に数万通のメール送信
• ブロックリスト
DNSBLやレピュテーションシステム、レポート制によるメ
ール受信拒否、迷惑メール判定
• IPアドレス単位での判定
共用サーバの中の1ユーザーがスパム送信を行うと、サーバ
ー全体が受信拒否される。
12

13. Copyright (C) 1996-2014 SAKURA Internet Inc.
悪用ケース
フィッシングサイト
• 技術的には、改ざんの一形態
• 影響が非常に大きい
• （他のケースと比較して）確認が容易
• 最近は、国内でも話題になる事が多くなってきまし
た
13

14. Copyright (C) 1996-2014 SAKURA Internet Inc.
悪用ケース
ページ内容の改ざん
• 政治的メッセージ
• 「このサイトは、○○によりハックされました」と
いったメッセージ
• 薬品販売やアダルトサイトにリダイレクト
• 問題が発覚しやすく、確認もしやすい。
• 有害性は、比較的低いが…
14

15. Copyright (C) 1996-2014 SAKURA Internet Inc.
悪用ケース
悪用の為の汎用プログラムの設置
• ファイルマネージャ
• メール送信
• 任意のコマンド実行
15
いつでも問題行為が可能な状態

16. 侵入経路について
Copyright (C) 1996-2014 SAKURA Internet Inc.
16

17. Copyright (C) 1996-2014 SAKURA Internet Inc.
侵入経路
・クライアントPCへの感染
・FTPパスワードを盗む
・FTP認証を突破する
17
ホスティング事業者では、
クライアントPCへの感染の有無は
確認不可

18. Copyright (C) 1996-2014 SAKURA Internet Inc.
侵入経路
・WordPressのログイン認証を突破する
・WordPressに管理者権限でログインできる
→ファイルアップロードできる
→ファイル更新できる
→Webアクセスにより、プログラム実行できる
18
WordPressのログイン状況の詳細に
ついて、ホスティング事業者では
把握できません

19. Copyright (C) 1996-2014 SAKURA Internet Inc.
侵入経路③
WordPressのテーマやプラグインの脆弱性
• プラグインやテーマに含まれる脆弱性への攻撃
• 意図的にバックドアなどが仕込まれたプラグイン・テーマ
• WordPress環境を一から再構築しても、問題のあるテーマ、
プラグインをもう一度セットアップし直せば、再度不正利用
されてしまいます。
• 利用しなくなったプラグイン、テーマはアンインストールし
ましょう
19

20. Copyright (C) 1996-2014 SAKURA Internet Inc.
侵入経路④
インストール途中で放置されているもの
• インストール画面が表示されるところまでセットア
ップ
• その後放置
• 危険です！
20

21. 当社の取り組み
Copyright (C) 1996-2014 SAKURA Internet Inc.
21

22. Copyright (C) 1996-2014 SAKURA Internet Inc.
共用サーバにおけるサーバ管理者としての対応
22
関連プログラムのアップデート、セキュリティ
ホール等の脆弱性への対応等の作業を当社にて
実施

23. Copyright (C) 1996-2014 SAKURA Internet Inc.
パスワード強度チェック
23
• 会員メニュー
• コントロールパネル
• その他
8文字以上を必須とし、強度の低いパスワードが
設定されるリスクを低減

24. Copyright (C) 1996-2014 SAKURA Internet Inc.
ログイン履歴画面
24
定期的に確認しましょう

25. Copyright (C) 1996-2014 SAKURA Internet Inc.
取り組み SPFレコード設定機能
25
• SPFレコード設定機能
スパムメール判定の為にSPFレコードによる信用度チェックが行われるケース
への対応として、共用サーバにおいてSPFレコード設定機能の提供を開始

26. Copyright (C) 1996-2014 SAKURA Internet Inc.
取り組み 国外IPアドレスフィルタ
26
悪用件数は大きく減少（２分の1 ～8分の1）

27. Copyright (C) 1996-2014 SAKURA Internet Inc.
取り組み 国外IPアドレスフィルタ 制限範囲
27
プロトコル ポート番号 制限内容
FTP/FTPS 21 FTPのファイルの一覧取得やコピー等ができなく
なります
SSH/SFTP 22 SSH接続を拒否します
SMTP/SMTPS 25/587 メールの送信を拒否します
WebDAV 9800/9802 WebDAVへの接続を拒否します
HTTP/HTTPS 80/443 一部の制限対象ディレクトリ・ファイルへのア
クセスを拒否します

28. Copyright (C) 1996-2014 SAKURA Internet Inc.
取り組み 国外IPアドレスフィルタ
28
コントロールパネルへのアクセスは可能

29. WordPressの
様々なセキュリティ対策
オススメのものから、アヤしいものまで
Copyright (C) 1996-2014 SAKURA Internet Inc.
29

30. Copyright (C) 1996-2014 SAKURA Internet Inc.
対策 adminユーザーを避ける？
30
• ユーザー名を完全に隠ぺいするのは難しい
• ユーザー名は機密情報という扱いではない
• あまり効果は期待できないかも知れません
• とはいうものの、相変わらずadminへのアタックは多いよ
うですので、それなりにリスクを減らす効果は（すくなく
とも現状では）ありそう

31. Copyright (C) 1996-2014 SAKURA Internet Inc.
対策 WordPressのバージョンを隠す？
31
• 後ろ向きな対策
• がんばってバージョンアップしましょう
• 現状では、バージョン関係なく片っ端から
アタックされるような状況
• 効果も、あまり期待できないと思います

32. Copyright (C) 1996-2014 SAKURA Internet Inc.
対策 テーブルプレフィックスを変える？
32
• ほとんど効果は期待できないレベル
• データベースのデータを勝手に更新したり
削除したりする、という悪用はほとんどないです
（少なくとも最近は）
• とはいうものの、多くの既知の WordPress を狙った SQL
インジェクション攻撃は、table_prefix がデフォルトの
wp_ であることを仮定しているそうですので、これを変更
することにより、SQL インジェクション攻撃の一部は防ぐ
ことができるかもしれません（Codexを参考）

33. Copyright (C) 1996-2014 SAKURA Internet Inc.
対策 強度の高いパスワードをつける
33
• 強度メーターがつきました
• 強度の強制はされないようですが…
• 強度の高いパスワードをつけるようにしましょう
推奨：予測・連想されにくい、8文字以上で数字、交じりの
パスワード設定（できれば記号も）

34. Copyright (C) 1996-2014 SAKURA Internet Inc.
対策 最新バージョンを使用する
34
• 管理画面から簡単にアップデート可能
• 自動アップデート機能が搭載
• 自動アップデートで問題が出る事もあると思いま
すが…
バージョンアップしましょう！

35. Copyright (C) 1996-2014 SAKURA Internet Inc.
対策 ログを確認する
35
• プラグインを利用して、ログイン履歴を定期的に確認さ
れる事をオススメします
例：Crazy Bone
• Webサーバのアクセスログにも目を通す（上級者向？）
– さくらのレンタルサーバにはアクセスログを保存する機能があり
ます（※デフォルトはOFF）
– 管理画面へのログインに成功したホストや、ファイルごとのアク
セス数ランキングを確認すれば、不正なアクセスに気付けるかも
しれません。さくらのレンタルサーバなら、Webalizer でのアク
セス解析が使えます
– 多くの場合、悪用されるタイミングで、海外IPからの特定のプロ
グラムに対する頻繁な「POST」アクセスが確認されます

36. Copyright (C) 1996-2014 SAKURA Internet Inc.
対策 信頼できないプラグイン、テーマを使わない
36
• 公式のものを使いましょう、というのが基
本
• その他判断基準の例
– 個人的に知っている、付き合いがある
– 更新されている

37. Copyright (C) 1996-2014 SAKURA Internet Inc.
対策 バックアップする
37
• バックアップは非常に大切
• データの重要性に応じで、バックアップをとりましょう（
有料でも）
• データの価値は、容量に比例しませんよね？
• なお、改ざんされた後のバックアップはそのままリストア
すると危険ですのでご注意ください
– 対策案
ひととおりの設定が終わった時点でバックアップをとり、定期的な
バックアップとは別に残しておく
※さくらのレンタルサーバの場合、コントロールパネルのファイル
マネージャーに特定のディレクトリをzip等でかためてダウンロード
する機能があります

38. Copyright (C) 1996-2014 SAKURA Internet Inc.
対策 セキュリティに関する最新情報をチェックする
38
• JPCERT コーディネーションセンター
https://www.jpcert.or.jp/
• IPA 独立行政法人 情報処理推進機構
http://www.ipa.go.jp/
定期的に確認しましょう
また、セキュリティに関する情報源、相談できる人と
仲良くなることも方法のひとつ

39. Copyright (C) 1996-2014 SAKURA Internet Inc.
対策 登録連絡先を確認する
39
・不正利用に関する連絡があります
・当社からのお知らせも確認お願いします

40. Copyright (C) 1996-2014 SAKURA Internet Inc.
もし、不正アクセスを受けてしまったら…
40
• これまで確認されたWordPressへの不正アクセス被害事例では、数十
～数万単位のファイルが不正に設置・改ざんされている場合もありま
す
• 改ざんに気付いて手元のバックアップデータで上書きしたが、そのデ
ータが不正アクセス後に取得したデータだったため問題が解決しなか
った、というケースもあります
• Wordpress のプログラム自体が改ざんされることもある
ため、バックアップデータでの上書きではなく、新たにインストール
しなおしていただくことを強く推奨
（プラグイン、テーマに注意）
• パスワードの全変更

41. Copyright (C) 1996-2014 SAKURA Internet Inc.
被害を受けた場合、加害者となるケースが少なくない
41
攻撃を受ける [被害者]
攻撃を行う [加害者]
第三者、他のユーザへの影響

42. Copyright (C) 1996-2014 SAKURA Internet Inc.
42
適切なセキュリティ設定により、
インターネットと WordPress の
可能性をさらに高めていけるよう
皆様のご理解・ご協力いただけますよう
よろしくお願いいたします

43. Copyright (C) 1996-2014 SAKURA Internet Inc.
ご清聴
ありがとうございました
43