WordPress用File ManagerとDockerAPIを標的としたアクセスが増加 警察庁が注意喚起:「説明書」でプラグインのバージョンを把握
警察庁は、WordPress用「File Manager」プラグインの脆弱性を標的としたアクセスと、「DockerAPI」を標的とした探索行為の増加を観測したと発表した。WordPress用FileManagerプラグインがバージョン6.9以降であることを確認するよう促している。
警察庁は2020年11月20日、「WordPress用File Managerプラグイン」の脆弱(ぜいじゃく)性を標的としたアクセスと「DockerAPI」を標的とした探索行為の増加を観測したと発表した。
WordPress用File Managerプラグインについては、2020年9月1日に脆弱性が明らかにされた。このプラグインを悪用すると、第三者が任意のファイルをアップロードし、実行できるようになる。Webサーバの改ざんや情報漏えいの原因となる。
「File Managerプラグインの説明書」でバージョンを把握
警察庁はインターネット定点観測で、2020年9月10日から同プラグインへのアクセスを観測し始め、10月13日以降は同アクセスが急増しているとしている。同庁が観測したアクセスの多くは「WordPress用File Managerプラグインの説明書」を取得するという。警察庁は「説明書を取得することでプラグインのバージョンを確認しているのだろう。少数だが、同脆弱性を狙ったアクセスも観測した」としている。
警察庁は、「WordPress用File Managerプラグインを使用している場合は、バージョンが6.9以降かどうか確認してほしい。脆弱性のあるプラグインを使用している場合は既に攻撃を受けている恐れがあるため、Webサーバに不審なファイルやプロセス、通信などがないことを確認すべきだ」と注意を促している。
「外部から操作可能なDockerを探索している」
DockerAPIの探索行為については、警察庁のインターネット定点観測で2019年11月上旬から観測し、同年12月25日に同庁のWebサイト「警察庁 @police」で注意を喚起している。2020年9月以降に再び探索行為の増加を観測したという。
観測したアクセスの多くは、DockerAPIによってDockerのバージョン情報を取得するもの。中には、稼働しているサーバやコンテナイメージの情報を取得しようとするアクセスもあったとしている。こうしたアクセスは、外部から操作可能なDockerを探索しているものとみられる。
警察庁は「認証なしで外部からDockerAPIを利用できる場合、攻撃者が悪意のあるDockerイメージを作成できてしまう。ホストマシンへの侵入を許し、攻撃の踏み台として悪用されたり、暗号資産を採掘されたりといった危険性も考えられる」としている。
「外部からDockerAPIへのアクセスが不要な場合はアクセスできないように設定する」「アクセスが必要な場合は電子証明書による認証を実施し、送信元IPアドレスを制限する」「VPNを使って接続する」という対策を警察庁は勧めている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
IaaSの設定ミスによる脆弱性を減らす「CSPM」(Cloud Security Posture Management)とは?
主にIaaS利用における「設定ミス」を防ぎ、想定外の事態を起こさないための仕組み「CSPM(Cloud Security Posture Management:クラウドセキュリティ状態管理」)に関心が集まっている。概要や必要性、使いどころ、他のリューションとの違いなどをガートナーのアナリストに聞いた。
本当に攻撃されたら何するの?――クラウド環境での脆弱性検査とサイバー攻撃の検知・確認に関する基礎知識
親子の会話で出てくるような素朴な疑問点から、クラウド環境における情報セキュリティの技術を学習する連載。今回は、クラウド環境での脆弱性検査と、サイバー攻撃を受けた場合の検知・確認方法に関する基礎知識について。
脆弱性スキャナーが隠れた仏像を発見
念仏を唱えるとログインできるのは脆弱(ぜいじゃく)性ではなく仕様とのことでした。※皆さんご存じかとは思いますが、本作はフィクションです。