WordPressの16万サイトが大規模攻撃の踏み台に、「Pingback」機能悪用

わずか数時間で16万2000ものWebサイトが、1つのWebサイトに対して集中攻撃を仕掛けていたという。

WordPress

　WordPressを使っている一般ユーザーのブログが大規模なサービス妨害（DDoS）攻撃に加担させれられているのが見つかったとして、セキュリティ企業のSucuriが3月10日のブログで問題を指摘した。この攻撃ではブログにリンクが張られたことを通知する「Pingback」という機能が悪用されていたという。

　発端は、WordPressを使っている特定の人気サイトがDDoS攻撃を仕掛けられてダウンしたことだった。Sucuriが調べたところ、このWebサイトのサーバに対して毎秒数百件ものリクエストを送り付ける大規模攻撃が発生していたことが分かった。

　同サイトを襲ったリクエストは全て、WordPressを使った正規サイトから来ていたことが判明。わずか数時間で16万2000ものWebサイトが、この1つのWebサイトに対して集中攻撃を仕掛けていたという。Sucuriがブロックしなければ、攻撃に加担するWebサイトはもっと増えていた可能性もあるとしている。

　無害なはずのWebサイトを攻撃に加担させていたのは、WordPressの初期設定で有効になっているPingbackリクエストの機能だった。WordPressは「XML-RPC」というAPIを使ってこの機能を実装しており、利用されたWebサイトには、標的サイトに対するXML-RPCファイルへのPOSTリクエストのログが残されているという。

　Pingback機能を無効にすれば、自分のWebサイトが攻撃に利用されるのを防止できる。Sucuriはそのためのフィルタの設置方法も紹介している。

　Sucuriは今回の攻撃について、「これはWordPressの内部では周知の事実であり、コアチームも認識しているが、パッチで修正する類のものではない。多くの場合、これと同じ問題は機能として分類されており、そこにジレンマがある」と解説している。