今だから言えるセキュリティLT_Wordpress5.7.2未満を一斉アップデートせよ

Transcript

1. 〜アクティブメディア◯◯0!?〜 Wordpress5.7.2未満を一斉アップデートせよ 株式会社キュービック テクノロジーエキスパートセンター Tech Lead/データエンジニア 尾﨑勇太 2025.07.16 開示範囲:公開ドキュメント 


   1

2. 自己紹介 2 株式会社キュービック 役割：Tech Lead/データエンジニア 名前： 尾﨑 勇太（おざき ゆうた） 覚え方：尾崎豊(おざきゆたか)と一字違い

   業務領域 「データに関わる全て」

3. 3 現職に入社後に対応した脆弱性対応案件が 年月とともに風化してきたので、供養とし てここにLT化させていただきます 2021年― 最凶 のセキュリティホール

4. Wordpressとは? 4 Webサイトを簡単に作成・管理できる無料の CMS（コンテンツ管理システム ) 言語：PHPで開発されたOSSのソフトウェア 自社での用途：メディアの構築/運用 2021年当時：100近いアクティブメディアが存在 全PHPerが― 震撼した

5. Wordpress5.7.2とは? 5 セキュリティホール 
 ▷2021年4月27日：WordPress3.7〜5.7のバージョンを対象とした第三者に遠隔から任意のコードを 実行される危険性のある深刻な脆弱性が発見された 対策バージョン 5月13日に本件に対応した Wordpress5.7.2セキュリティリリースが行われた https://ja.wordpress.org/2021/05/13/wordpress-5-7-2-security-release/

   メールに― やつが・・・

6. どんな脆弱性だったのか? 6 脆弱性 ID CVE-2020-36326 
 影響範囲 PHPMailer バージョン 6.1.8

   ～ 6.4.0 に含まれる addAttachment() メソッド 深刻度 CVSS 3.x 基本スコア 9.8（CRITICAL) 本脆弱性は、Windows ネットワーク共有形式のファイルパスを使った添付処理を行う際に、アーカイブと誤っ て扱い、内部に含まれるプログラムを勝手に展開（デシリアライズ）してしまうことが原因。結果として悪意の あるコードが実行されるリスクが高い状況に・・・ その数― 85メディア

7. 暫定対応 7 課題
 ▷メディアごとのWordPressのバージョンが異なることから膨大な対策工数が発生 対策 受容リスクとアップデートに伴う対策工数を踏まえて、独自の基準と優先度を設定し 段階的に対策を実施 刻一刻と迫る タイムリミット

8. 今すぐアップデート！！ 8 1 検証環境 2 WordPress バージョンアップ 3 プラグイン バージョンアップ

   4 動作確認 1 本番環境 2 WordPress バージョンアップ 3 プラグイン バージョンアップ 4 動作確認

9. とは行かなかった・・・ 9 早く知りたかった・・・・ ・担当者不明のメディアが生存 ・数世代前のバージョンが存在 ・検証環境がない ・検証環境と本番環境で差分がある ・本番環境が止められない ・動作確認基準がない

10. 対応パターンを分離 10 パターン WordPress バージョン 本番相当 環境構築 重要 PHP アップデート

    ①バージョン4系かつ重要メディア 4系 ◯ ◯ - ②バージョン4系かつ PHPバージョンアップが必要 4系 ◯ - ◯ ③①②を除くバージョン 4系 4系 ◯ - - ④バージョン5系かつ重要メディア 5系 ◯ ◯ - ⑤バージョン5系のうち、5.5未満(5.0〜5.4.x) 5系 ◯ - - ⑥バージョン5系のうち、5.5以上(5.5〜5.7.1) 5系 - - - 対策 メディア特性とバージョンでアップデートを ６パターン に整理

11. 役割定義 11 タスクの専任者を領域別に明確化 NO 工程 タスク 概要 統括 MD Web

    DIr FE SRE 1 計画 導入スケジュール策定 メディア単位での検証 /本番のアップデートの実施日の確定 △ ◯ ◯ - △ 2 管理 全体進捗管理 アップデート対応状況 /環境構築状況の管理 SREとのパターン 2実施スケジュール調整 ◯ ※△ ※△ - ※△ 3 進捗管理 関係者スケジュール調整 /アサイン及び対応状況の管理 △ ◯ ◯ - - 4 実行推進 実施日当日の進行管理及びアップデート完了 (動作完了)までの調 整、及び実行 △ ◯ ◯ - △ 5 検証 環境 本番相当環境構築 パターン2に限り現行の本番をコピーした新検証環境を作成し、構 築後の環境の引き渡しまでを実施 - △ △ - ◯ 6 WordPressバージョンアップ WordPressの管理画面上でアップデートを実施 (実施後の動作確認 を含む) - - - ◯ - 7 プラグインバージョンアップ WordPressの管理画面上でアップデートを実施 (実施後の動作確認 を含む) - - - ◯ - 8 動作確認 FEがアップデート対応後に動作が問題ないか？ 確認をこなう - ◯ ◯ ◯ - 9 本番 構築 本番相当環境を本番環境へコピー パターン2に限りNo5で作成した環境をコピーして現行の本番と切り 替えを実施 - △ △ - ◯ 10 動作確認 アップデート or切り替え後に動作が問題ないか？本番と差分がない かを確認する。 ※No5以降に差分が発生している場合は手動で 取り込みを行う - ◯ ◯ △ - ステータス ◦ :主担当者 △ :作業フォロー - :担当スコープ外

12. その後 12 紆余曲折あったが、全社的にトップダウンで施策を止め てアップデート対応を最優先にできたので何とか収束 ・公開記事のindexが外れてる・・・ ・えっ検証はこっちじゃないんですか？ ・プラグインが互換性がない ・メディア都合であげれない ・投稿内容が吹き飛んでる ・インスタンス数がやばい

    たくさんありますが、語り尽くせないので割愛します💦

13. 13 まなび 技術負債はちゃんと定期返済しよう ▷後でやろうは利息がついて未来の足枷に 返済する仕組みを日常に溶け込ませよう ▷誰かが仕切らないと回らないでは意味がない

14. 14 火消し後にPJを離れたため、後に一緒に PJを対応していたメンバーが仕組み化まで 推進してくれた内容を共有します 2021年― 最凶 のセキュリティホール after story

15. 15 本質課題 問題(現状とあるべき姿の GAP) 1.メディアごとのWordPressのバージョンが異なる。 2.対応に膨大な工数がかかる。 3.脆弱性を検知し定期アップデートを行う仕組みがない 現状 1.WordPressの脆弱性が発見されすぐ対処する必要がある 2.対処するまでの間、セキュリティリスクに晒されている

    あるべき姿 1.WordPressが最新のバージョンが維持されている 2.不備があれば最小工数で即座に脆弱性対応ができる 今回は一部の問題を時間をかけて解消・軽減したに過ぎない

16. 16 やるなら恒久対応まで

17. 17 2021年 walti.io walti.io 不定期 2022年 WPScan 独自 定期対応(トライアル) 2023年〜

    MainWP MainWP 定期対応 脆弱性検知 脆弱性管理 脆弱性対応 WORDPRESS 脆弱性検知の仕組みを構築してみた！ https://cuebic.co.jp/tech-blog/entry/2022/06/20/202205231653299651 WordPressの脆弱性の検知と管理をしたかったけど失敗した話 https://cuebic.co.jp/tech-blog/entry/2022/04/28/155356 対応変遷 脆弱性スキャンに苦しみつつも、リスクレベルの管理と定期アップデート対応が可能に ▷2025年現在ではマイナーバージョンのアップデートは全メディア自動化

18. 18 まとめ 🉐大事なポイント🉐 一時的な対応ではなく、なぜ必要か？という組織内の理解を得るとともに 運用浸透までを考え仕組み化できるとGood 📊要約📊 今回はWordpress5.7.2の脆弱性対応を例に以下を紹介 ・100近いアクティブメディアのアップデート対応 ・脆弱性対応の仕組み化 💀注意点💀

    脆弱性対応はおざなりになりがちだが、放置しておくと凄まじいインパクトを 起こしてくる

19. 19 ご清聴、ありがとうございました