事故から学ぶ

WP用プラグインの開発者サイトに不正アクセス、顧客にメール – 元従業員が侵入か

事故概要

業種 WP用プラグインの開発
発生時期 2019/1/13
漏えい人数 未発表
事故概要

コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供されているプラグイン「WPML」の開発者が不正アクセスを受けたことがわかった。同ソフトは、日本語をはじめ、複数言語に対応するマルチリンガルサイトを構築するためのOnTheGoSystems製有償プラグイン。
「同プラグインにはセキュリティ上の欠陥がある」などと指摘するメールが、プラグインの購入者に対して同社経由で送りつけられたという。
問題のメールでは、攻撃者はプラグインの利用者を名乗り、同社サイトでも利用されていた同プラグイン経由でメールを送信することが可能となったと主張。プラグインの脆弱性を強調した。
今回の問題に対して同社は、ウェブサイトが1月13日の週に侵害されたことを認め、攻撃を行ったのは元従業員で、SSHの古いパスワードや過去にのこしたバックドアを利用したものだと経緯を説明。
悪意あるメールはOnTheGoSystemsのメーラーが侵害されて送信されたもので、今回の攻撃については、同社プラグインや「WordPress」およびそのほかのプラグインを通じて行われたものではなく、内部情報が悪用されたものだと釈明した。
提供したプラグインに脆弱性は存在せず、支払い情報に関してもウェブサイト上で保存しておらず、危険にさらされていないとした。
プラグインで利用するキーが窃取されたおそれがあるが、これらを攻撃者が利用し、利用者のウェブサイトを改ざんすることはできないという。
一方、攻撃者は購入者の氏名や電子メールのほか、サポートなどを提供している同社ウェブサイト上のアカウント情報を保有しているおそれがある。
同社は、パスワードをリセットするよう求めるとともに、フィッシング攻撃など不正なメールが送信されるおそれがあるとして注意を呼びかけている。

引用元 「WPML」の開発者Web

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-3 (第20条)安全管理措置 パソコン設定

チェックリストにある要求ルール:

利用中のウェブサービス(インターネットバンキング、ソーシャルネットワーキングサービス(SNS)、ウェブメール、カレンダーなどインターネット経由で利用するサービスの総称)、クラウドサービス(サーバ等のレンタルや運用サービス、決済サービス等)や製品メーカーが発信するセキュリティ注意喚起を確認して社内共有するとともに、専門家の意見を踏まえた防御策を構築と監視をしていますか?
新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか?

■ 推奨対策

対策:

今回の事例はシステム自体の脆弱性を指摘された事例であり、ユーザとしては、効果的な防護策はないだろ。この手の記事に触れることのないユーザが多いと思われるので、使用中のアプリケーションのアップデートをまめに行うこを推奨策として挙げておく。

具体例:

同上

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。