2021年11月、GoDaddyは、マネージドWordPressサイトを提供するために使用しているシステムに、未知の攻撃者が不正アクセスを行ったと発表しました。これにより、最大120万人のWordPressの顧客が影響を受けています。
なお、この数字には、本件の侵害により影響を受けたウェブサイトの顧客数は含まれておらず、また一部のGoDaddyの顧客はアカウント上で複数のウェブサイトを所有しています。
レポート [1] によると、攻撃者は2021年9月6日に侵害されたパスワードを使用して最初にアクセスを取得し、2021年11月17日にアクセスを遮断することで発見されました。同社は直ちに緩和策を講じましたが、攻撃者は永続的なアクセスを確立するのに2か月以上の時間がありました。現在GoDaddyのマネージドWordPress製品を使用している方は、侵害されていないと確認できるまで、侵害されたものとみなすべきです。
GoDaddyはsFTP認証情報を平文、または平文に変換可能な形式で保存していたようです。これは、業界のベストプラクティスとされているソルト付きハッシュや公開鍵を使用する代わりに行われていました。これにより、攻撃者は解読することなく、パスワードによるアクセスデータに直接アクセスできました。
SEC提出書類によると、「sFTPおよびデータベースのユーザー名とパスワードはアクティブな顧客に付与されていました」。
攻撃者は何にアクセスできたのか?
SEC提出書類は、攻撃者がユーザーのメールアドレスと顧客番号、デプロイ時に設定された元のWordPress管理者パスワード、そしてSSL秘密鍵にアクセスしたことを明らかにしています。これらはすべて攻撃者にとって有用ですが、特に1点が際立っています。
2021年9月6日から2021年11月17日まで、攻撃者はアクティブな顧客のsFTPおよびデータベースのユーザー名とパスワードにアクセスしていました。
GoDaddyはsFTPパスワードを、平文版を取得できる形で保存していました。これは、業界のベストプラクティスである、それらのパスワードのソルト付きハッシュを保存することや、公開鍵認証を提供することの代わりに行われていました。
GoDaddyは、データベースのパスワードも平文または可逆的な形式で保存していたことを認めているようです。これらもユーザーインターフェースを介してアクセスできます。残念ながら、データベースのパスワードを平文として保存することは、WordPress環境では一般的であり、パスワードはwp-config.phpファイルにテキストとして保存されます。この侵害でより驚くべき点は、sFTPを介してファイルシステム全体への読み取り/書き込みアクセスを可能にするパスワードが平文として保存されていることです。
攻撃者はこの情報で何ができるのか?
SEC提出書類では、公開されたメールアドレスや顧客番号によるフィッシングのリスクが指摘されていますが、それに伴うリスクは、公開されたsFTPおよびデータベースのパスワードの潜在的影響と比較すると最小限です。
GoDaddyはすべての影響を受けたサイトのsFTPおよびデータベースのパスワードを直ちにリセットしましたが、攻撃者は約1か月にわたってアクセス可能であり、マルウェアをアップロードしたり、悪意のある管理者を追加してサイトを乗っ取ることができました。これにより、攻撃者はパスワード変更後でも永続的なアクセスを維持し、サイトを制御することが可能になります。
さらに、データベースへのアクセスにより、攻撃者は影響を受けたウェブサイトのデータベースに保存されているウェブサイトの顧客の個人データなどの機密情報にアクセスでき、影響を受けたすべてのデータベースの内容を完全に抽出できた可能性があります。これには、対象ウェブサイトのWordPressユーザーアカウントデータベースに保存されているパスワードハッシュや、eコマースウェブサイトからの顧客情報などが含まれます。
攻撃者は同様に、デフォルトの管理者パスワードを変更していないサイトの制御を取得することもできますが、sFTPおよびデータベースへのアクセスを利用するほうがより簡単でしょう。
SSL秘密鍵が漏洩したページでは、攻撃者がサイト訪問者と影響を受けたエンティティ間の暗号化された通信に対してMan-in-the-Middle攻撃を成功させることができれば、盗まれたSSL秘密鍵を使用してデータ通信を復号できる可能性があります。
GoDaddyのマネージドサイトを持っている場合、どうすればよいか?
GoDaddyは今後数日のうちに影響を受けた顧客に連絡を取ります。それまでの間、問題の深刻さと攻撃者がアクセスしたデータを考慮し、すべてのマネージドWordPressユーザーは侵害を受けたとみなし、以下の措置を講じることをお勧めします。
eコマースサイトを運営している場合、または個人情報を保持している場合で、GoDaddyから侵害が確認された場合は、顧客に侵害について通知する必要があるかもしれません。
ご自身の管轄区域における規制要件について情報を確認し、これらの要件を遵守してください。
WordPressのパスワードを変更し、可能であればWordPressのユーザーまたは顧客にパスワードのリセットを強制してください。
攻撃者は影響を受けたすべてのWordPressデータベースのパスワードハッシュにアクセスしていたため、これらのパスワードを解読し、影響を受けたウェブサイト上で使用する可能性があります。
再利用しているパスワードはすべて変更し、ユーザーまたは顧客にも同じことをするよう助言してください。
攻撃者は影響を受けたウェブサイトから抽出した認証情報を使用して、同じパスワードで他のサービスにアクセスする可能性があります。たとえば、あなたの顧客の1人がGmailアカウントとあなたのウェブサイトで同じメールアドレスとパスワードを使用している場合、攻撃者がその顧客のパスワードを解読すると、すぐにその顧客のGmailを解読する可能性があります。
可能であれば、2要素認証を有効にしてください。
WordFenceプラグイン [2] は、WordPressサイト向けに2要素認証を無料機能として提供しており、他のほとんどのサービスでも2要素認証のオプションが提供されています。
サイトに不正な管理者アカウントがないか確認してください。
セキュリティスキャナーでウェブサイトをマルウェアスキャンしてください。
wp-content/pluginsおよびwp-content/mu-pluginsを含むサイトのファイルシステムを確認し、想定外のプラグインや、プラグインメニューに表示されないプラグインがないかを確認してください。正規のプラグインを利用して不正アクセスを維持することが可能だからです。
不審に見えるフィッシングメールに注意してください。攻撃者は、抽出したメールや顧客番号を依然として使用して、この侵害の被害者からさらに機密情報を取得する可能性があります。
まとめ
GoDaddyのマネージドWordPressのデータ侵害は、広範な影響を及ぼす可能性があります。GoDaddyのマネージドWordPressの提供は、WordPressエコシステムの大きな部分を占めており、サイト所有者とその顧客の両方に影響を与えています。SEC提出書類によれば、「最大120万人のアクティブおよび非アクティブのマネージドWordPress顧客」が関与していました。これらのサイトの顧客もおそらく影響を受けており、影響を受ける人数はさらに多くなります。
当面の間、GoDaddyのマネージドWordPressを利用している方は、追加情報が明らかになるまでサイトが侵害されたものとみなし、本記事で提供した手順に従ってください。さらに情報が入手でき次第、本記事を更新します。
出典:
GoDaddy SECレポート: https://www.sec.gov/Archives/edgar/data/1609711/000160971121000122/gddyblogpostnov222021.htm
WordFence:
https://www.wordfence.com/blog/2021/11/godaddy-breach-plaintext-passwords/
注: すべてのロゴ、製品名、商標は、米国およびその他の国における各所有者の財産です。このページで使用されているすべての会社名、製品名、サービス名は、識別のみを目的としています。これらの名称、ロゴ、商標の使用は、推奨を意味するものではありません。
