CMS システム WordPress のある機能が DDoS 攻撃に悪用されるという事態が発生している。GoDaddy の情報セキュリティー担当責任者である Todd Redfoot 氏は eWeek に対し、WordPress を悪用した攻撃が増加し始めたのは2月後半からだったと述べた。

攻撃は WordPress の「XML-RPC」を悪用し、特定の Web サイトに対して DDoS 攻撃を仕掛けるというもの。XML-RPC は、本来はコンテンツ所有者が自分の投稿にリンクが張られたことをトラッキングする「Pingback(ピンバック)」機能で利用されているものだ。

Redfoot 氏は、GoDaddy は2月下旬に XPL-RPC を悪用した DDoS 攻撃に対する緩和策を取ったと述べた。だが、WordPress DDoS 攻撃の発生件数は、3月前半にも増加したという。

セキュリティ企業 Sucuri も、WordPress 関連の DDoS 攻撃が増加しているのを観測している。Sucuri は3月10日、16万2,000もの WordPress サイトが DDoS 攻撃に加担していることを検知した。

Web セキュリティ企業 Incapsula は3月11日、WordPress DDoS 攻撃の状況を視覚化した画像を公開。同社のネットワークが1万700の WordPress サイトから攻撃を受けていることを示している。

WordPress の「PingBack(ピンバック)」が DDoS 攻撃の踏み台に
Incapsula に対する WordPress DDoS 攻撃の状況
(出典:Incapsula)

同社は2013年4月には、すでに WordPress を悪用した DDoS リスクについて警告を発していた。

Incapsula が2013年4月に公開した、WordPress DDoS 攻撃のリスク解説図
Incapsula が2013年4月に公開した、WordPress DDoS 攻撃のリスク解説図
(出典:Incapsula)

今回の WordPress DDoS 攻撃に対応するパッチは存在しない。最新の WordPress を使用していても、DDoS 攻撃の踏み台にされてしまうことからは逃げられない。Sucuri の CTO である Daniel Cid 氏は eWeek に対し、Sucuri はあらゆるバージョンの WordPress サイトから攻撃を受けていると述べた。

「WordPress は最近、類似した問題に対応するパッチをリリースした。だが、それは今回の DDoS 攻撃には無関係なものだ。WordPress 3.8.1 であっても、DDoS 攻撃の踏み台にされている」

WordPress 3.8.1 とは、1月下旬にリリースされた WordPress の最新版を指している。

対応策


GoDaddy の立場は、WordPress DDoS 攻撃に(結果として)加担している加害者であり、攻撃を受ける被害者でもある。GoDaddy は DDoS 攻撃の起点となる WordPress Web サイトをホスティングしている一方で、同社ネットワークが DDoS 攻撃のターゲットともなっているためだ。

GoDaddy は同社の顧客とインフラを保護するために、インバウンド/アウトバウンド双方のトラフィックに対して対策を講じた。GoDaddy は複数レイヤーからなる DDoS 緩和技術を保有しているという。

WordPress DDoS 攻撃への対応でもっとも困難な点は、Pingback が WordPress のコア機能の1つであり、これを必要とする利用者がいるということだ。Redfoot 氏は次のように述べる。

「Pingback は、WordPress の脆弱性ではない。コアファンクションだ。そして Pingback は、設計されたとおりに機能しているだけなのだ」

問題は、Pingback リクエストの件数が膨大で、ホストの処理能力を超えてしまう点にある。Redfoot 氏は、GoDaddy では通常発生しうる Pingback の件数をもとにしきい値を設定し、これに対処しているという。

Pingback 機能を必要としない利用者は、この機能を無効にすれば、自分のサイトが攻撃に利用されるのを防げると、Redfoot 氏は述べた。

「この攻撃がなくなることはない。効果があるからだ。だがいずれはより良い解決策が現われると期待している。もしかしたら、WordPress 自身が良いトラフィックと悪いトラフィックを識別可能になるかもしれない」

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。