※記事内に商品プロモーションを含む場合があります
WordPressのピンバック機能を悪用したDDoS攻撃。
WordPressの16万サイトが大規模攻撃の踏み台に、「Pingback」機能悪用
ピンバックとは
WordPress標準搭載の機能でWordPress同士限定になりますが、
別のブログが自分のブログにリンクを張ると、ピンバック通知が送信され
自分のブログに別のブログのリンク元などの情報が
コメント見たいに表示される機能。
ちなみに、
私の場合、スパム&セルフピンバックなどがあり
トラックバックとピンバックは切ってあります。
踏み台となったWordPress
今回はWordPressのPingback機能を悪用し、
攻撃者が複数のWordPressサイトに偽のピンバックを送信。
WordPressサイトは送信されたデータに従ってPingBackを送信し
複数のWordpressサイトから膨大なPingBackを送信された
攻撃対象サイトのサーバがダウンしました。
踏み台なったサイト
踏み台となったWordPressサイトは世界中にあるとのことですが
日本、.jpドメインのサイトもたくさんありました。
日本の踏み台となったサイトをまとめた記事があります。
DoSの踏み台にされているJPドメインのWordPressをまとめてみた
自分のサイトが踏み台となっていないか確認する方法もあります。
この記事の一覧を見ると企業のサイトが結構ありました。
大手のサイトなどもボチボチあります。
中にはSEOやホームページ制作を手がける会社のサイトもあり
セキュリティー対策の甘さを感じます。
企業ならピンバックをONにしているメリットを感じません。
踏み台にならない為の対策
踏み台にならない様にするにはPingback機能をOFFにします。
設定→ディスカッション設定の画面
他のブログからの通知(ピンバック・トラックバック)を受け付ける
のチェックを外して変更を保存すればOKです。
ピンバックはWordPressの標準の機能であり、
アップデートなどでは回避出来ません。
なのでピンバックとトラックバック機能を活用していないなら
切ってしまった方が良いと思います。
