セキュリティ・キャンプ全国大会2022 オンライン 開発コース Z8【WordPressから学ぶ不正アクセスの検知と対策ゼミ】応募課題 以下の4問全てに解答してください 設問1 REST API の脆弱性について 2017年に発見された以下の脆弱性について、「(1)脆弱性となってしまう原理」「(2)対策」「(3)バージョンアップをしない場合の回避策案」を説明してください。できるだけ実際のコードや脆弱性を事象する(PoC)コードを用いて調べてください リリースノート https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/ JPCERT/CC https://www.jpcert.or.jp/at/2017/at170006.html 設問2 背景について 設問1で取り上げた脆弱性はWordPress側がセキュリティの修正を行ったうえでリリースした事例でした。しかしながら、上記JPCERT/CCの注意喚起では「対象となる WordPress を利用していると思われる国内の複数のサイトが改ざん被害を受けています。また、本脆弱性を悪用した改ざん事例も確認されています。」と記載されています。修正が公開されたのにも関わらず国内外で大きな被害をもたらしたのは何故か、ご自身で考えたものを自由に記載してください。 設問3 プラグインの脆弱性について 2015年以降に発見されたWordPressのプラグイン(WordPressの本体やテーマなど除く)のなかで深刻である脆弱性を1つ以上あげて、以下の4点を解説してください 本脆弱性が深刻であると思った経緯は何か(攻撃容易性、デフォルトでも成功するか、PoCコードが出回っているか、リモートコードが実行できるか) 脆弱性の概要はどのようなものか 当該脆弱性を使用すると攻撃はどのように成立するか 管理者ができるおよび対策(対策がなければ回避策や軽減策など)を説明してください ※ WordPressのプラグインの事例 WordPressのプラグインDuplicator 1.2.40以前にリモートコード実行の脆弱性 https://blog.tokumaru.org/2018/09/wordpress-duplicator-plugin-vulnerabilty.html 設問4 アカウントポリシー 異世界転生(ロールプレイング)問題です。管理者本人になったと想像しながら回答してください。 あなたは、突然WordPressの管理者に抜てきされました。以下現状である。 アクセス数がそこそこおおいオウンドメディアサイト 他の社員は忙しく基本的には手伝ってくれない 自社の人間だけではなく、フリーの記者などから執筆を依頼してそのままWordPressを編集してもらう必要がある 依頼をする記者は年間50人ほどアクティブである 記者の中にはサイバーセキュリティやアカウント管理について 追加コストや外注(お金がかかるもの)はよっぽど説明をしない限り採用できない WordPressで独自テーマで綺麗なデザインにはしているが、設定などはほぼデフォルトである 上司より「WordPressでアカウントの攻撃が行われており、今後の対策を検討してほしい」と言われました。この場合、なるべく持続可能な設定でかつセキュアなものにする必要がありますが、どのくらいの対策がちょうど良いのか考えてみてください。何かしらのサービスなどを使うときには具体的な製品名とそれに関するサポート体制などを考えてみてください。