昨日からニュースになっていましたが、WordPressのPingback機能が、大規模なDDoS攻撃に悪用されています。セキュリティ企業のSucuriによると全世界中で16万2000ものサイトが踏み台として利用されたそうです。その中には、「jp」ドメインも含まれているようです。
詳細はインターネットコムさんで詳細にご紹介されています。
リンク:WordPress の「PingBack(ピンバック)」が DDoS 攻撃の踏み台に
記事によると、WordPressの「XML-RPC」という機能を利用して攻撃を仕掛けさせられているようで、この機能は本来、自分の投稿にリンクがはられた事を通知する「Pingback(ピンバック)」機能で利用されているものです。
この機能は最新バージョンのWordPressでも使用されていて、今回の大規模攻撃に対するパッチは現在まだ公開していないようです。
攻撃に加担していないかチェックするサイト
前述のSucuriが自分のサイトが攻撃に加担していないか調べるサイトを公開しています。
リンク:Is my WordPress Site DDOS’ing others?
一応、自分が管理しているサイトは全てチェックして、今回の攻撃にはどれも加担していなかったようです。
ピンバックを無効にするプラグイン「Disable XML-RPC Pingback」
取り急ぎの対処法としては、ピンバック機能を無効化するしか方法はありません。このピンバック機能については、脆弱生ではなく正規の機能で、最新バージョンでもだめ有効なパッチも無しではお手上げです。この機能を悪用した攻撃は以前から指摘されていたようで、今後も別のケースで悪用される可能性が十分にあるとのニュースもあります。
この機能を有効的に活用していないサイトはとめてしまうのが最前の策だと思います。
という訳でそんなプラグインをご紹介。
設定は特に必要なしです。管理画面のプラグインメニューから「新規追加」を選択し、「Disable XML-RPC Pingback」と検索してインストールするだけです。
WordPressでサイト管理されている方はお早めのご対応を!
