2020年7月10日にWordPressのプラグインAll In One SEO PackにXSSの脆弱性が発見されました。All In One SEO Packは200万以上のサイトで使われているプラグインなので、影響が大きいです。
プラグイン以外にも、WordPress本体は頻繁にセキュリティアップデートをリリースしていますし、バックエンドで動くPHPやMySQLのバージョンによっても脆弱性が発生する場合があります。常に、最新のソフトウェアにアップデートしてセキュリティ対策しておくことは重要です。しかし、ソフトウェアを保守することは面倒でなかなかできていない人も多いのではないでしょうか。
「放置しても、まぁいいか」と思ってしまうのは、ソフトウェアの脆弱性を放置した場合の危険性を認識できていないからです。そこで、脆弱性を放置したときに起こることをリストアップしてみました。
自社HPからスパムメールが送られる
攻撃者がHPを運用しているサーバーに侵入できると、基本的にはなんでもできます。メールを送信することもできます。つまり、スパムメールを大量に送ることもできます。スパムメールはあなたのHP(のサーバー)から送られるので、スパムメールを受けた側から見るとあなたが加害者に見えます。
あなたの独自ドメインから大量のスパムメールが送られた場合、そのドメインは危険なドメインと認識され、Googleの検索ランキングが下がったり、あなたからの正常なメールも相手のGmailの迷惑メールフォルダに入ってしまうなど、独自ドメインの信頼度も下がる2次的被害のリスクもあります。
お客様の個人情報が漏洩する
お問い合わせフォームで送られてきたお客様の情報、メルマガ登録されたメールアドレス、ショッピングサイトであれば登録された顧客情報などをデータベースに保存している場合、それらが攻撃者に漏洩するリスクがあります。一度漏洩指定しまうと、情報を取り返すことはできないので、お客様への謝罪と相当の金銭的補償を行うことになります。
攻撃者は、手に入れた個人情報を利用して、あなたの顧客に不正請求を行なったり、名簿業者に個人情報を売ります。名簿業者に売られた個人情報は別の攻撃者に渡り、あなたの顧客に別の攻撃が行われることでしょう。
HPのリンクが書き換えられる
パッと見はHPのコンテンツは正常に見えるのですが、リンク先だけが書き換えられる危険性があります。見た目は正常なので、HP訪問者は何も疑わずにリンクをクリックしますが、その飛び先がフィッシングサイトやブラウザの脆弱性を攻撃するサイト、ウイルスソフトをダウンロードさせるサイトのような悪意のあるサイトになります。HP訪問者は、あなたのHPから悪意のあるサイトに飛ばされるので、あなたが加害者だと思うでしょう。
まとめ
こういった攻撃は、HPの改ざんなどわかりやすい形で行われる場合もありますが、こっそりと行われる場合もあります。その場合、被害を受けていることに気づかずに何か月も何年もお客様やHP訪問者に迷惑をかけてしまいます。
HPの脆弱性を放置すると、自身や自社の信頼を落とすリスクにつながります。信頼は一度失ってしまうと取り戻すことは大変です。ソフトウェアアップデートでリスクを下げられるので、きちんとやっておきたいです。もし、自身でできないなら、専門家に頼むのもよいでしょう。ソフトウェア(HP)は作って終わりでなく、保守や運用も大事です。保守や運用にコストや手間がかかることをきちんと認識し、計画に入れておきましょう。