- 世界で最も人気なCMS、WordPressは低セキュリティ?
- 作りっぱなしのブログ、セキュリティが気になるけど何をすればよいの?
- Webアプリケーションに対する攻撃手口と堅牢化に関する方法論を学びたい!
- 脆弱性情報を読み解き、自ら細工を施した通信を送ってWebアプリの攻略をしてみたい!
そんな悩みをお持ちの方はいらっしゃいますか?
今注目のサイバーセキュリティ領域。その中でも、人気職種の一つであるペネトレーションテスターになりたいという方に向けて
ホワイトハウスでも採用されているCMS、WordPressを題材としたコースを作成しました!
題して、『【サイバーセキュリティ 実践】Boot2Root CTFチャレンジで学ぶハッキングの手口とWordPressの堅牢化』(以下、WordPressの堅牢化)コースです。
【サイバーセキュリティ 実践】シリーズ
【サイバーセキュリティ 実践】シリーズは、私、Noriaki Hayashiが講師を務め、オンライン学習のマーケットプレイス「Udemy(ユーデミー)」にて展開している一連のコースシリーズです。
現在までに、5コース。ペネトレーションテスト、ハードニング、サイバーフィジカル、IoT、Vehicle(自動車)、Web3、Blockchainを題材としたコースを提供しています。
コンピュータ教育の学習にて障壁となりがちな「環境構築」を「TryHackMe」や「Hack The Box」、「VulnHub」といった教育プラットフォームに委ねることで垣根を低くし、ゲーム攻略本のように学習を楽しんでいただけるように設計されたコースであることを特徴としています。
- Boot2Rootなど、CTF競技における定石の確認
- 難所を克服するためのヒントや戦略の提供
- コンプリートするために必要な情報の提供
- 戦略の共有と講師とのQ&A
ハッキングの手口とWordPressの堅牢化
「WordPressの堅牢化」コースは、【サイバーセキュリティ 実践】シリーズ 第2弾です。
Boot2Root CTFチャレンジとは
CTF とは Capture The Flag(キャプチャーザフラグ)の略称です。ここでは情報セキュリティの技術を競う競技と覚えておいてください。
与えられた環境(システム)に対して攻撃を仕掛けます。セキュリティの知識技能を使って攻撃を仕掛け、隠された答え(これをフラグと呼びます)を探し、サーバーへ送信することでポイントを得ていく競技です。
Boot2Root は CTF の一種目です。意図的に脆弱性が残された仮想マシンを「ブート」すなわち起動し、ローカル特権そして「ルート」特権への昇格を目指しフラグを取得していく競技です。
Boot2Root CTF では隔離された仮想環境を使って学習を行います。このため、たとえ危険な行動をとったとしても外部のシステムに対して損害を与えることはありません。「量質転化」圧倒的な量をこなすことでいずれ質の向上へつなげていこうとする戦略をとることが可能です。
WordPressの堅牢化とは
「WordPress」とはウェブサーバーのバックグラウンドで動作し、コンテンツを届けるための技術的処理をすべて担ってくれるソフトウェアパッケージです。「コンテンツマネージメントシステム(CMS)」とも呼ばれています。
WordPress は単にシェアが高いだけでなく、機能面そして信頼性が高いCMSの一つです。WordPress にはプラグインと呼ばれる仕組みによって、簡単にさまざまな機能を付け足すことができます。
多くの人によって使われているWordPress、当然ながら情報量の多さは圧倒的です。それは情報の配信を望む人、セキュリティ対策を検討する人、そして攻撃を企てようとしている人にも平等に多くのノウハウが公開されています。
Wordfence社によるとWordPress サイトへの攻撃は1分間に9万件と発表しています。これは WordPressが攻撃に対して脆弱であることを示すデータなのでしょうか。その理解は間違っています。
WordPress が狙われ続けているのはあくまでも、その巨大なシェアに由来しています。適切な運用、堅牢化を施せば世界で最も普及しているCMSの恩恵を受けることができます!ホワイトハウスでの運用実績からもその信頼性はお墨付きです。
真のセキュリティ問題は、WordPressでサイト運営する人々に起因しています。
サイト運営している人たちが最適な設定、脅威に対処するために使用できるツールと技能を把握することが課題となっています。
身につく能力・スキル
「WordPressの堅牢化」コースは、Boot2Root CTFの攻略体験を通して、脆弱(ぜいじゃく)なWordPressが如何に脆(もろ)いのか学びます。 その上で、狙われやすい要素を理解し、堅牢(けんろう)な WordPress を構築するための方法論について学ぶことが可能です。
対象にしているBoot2Root CTF
1) このコースが対象とするマシン
- TryHackMe:1台
- Blog – Medium
- VulnHub:2台
- Raven 1
- HA: Wordy
- HackTheBox:1台
- Tenten – Medium
攻撃に関する技術・手法
コースでは、初心者向け(スクリプトキディ)的なツールの使い方、中級者向け(ホワイトハッカー)的なペネトレーションテストに関する思考術までカバーしています。
2) WordPressの攻撃に関する次の技術・手法
- パスワード解析ツール(hydra / wpscan)によるブルートフォース攻撃
- コアモジュールに対するExploit
- プラグインの脆弱性を突いた情報収集
- 脆弱性テストツール(Metasploit Framework)を使用したリバースシェルの確立
- Burp Suiteを使用したHTTPリクエストの細工によるリバースシェルの確立
- Exploit-DB 公開のエクスプロイトコードを使用した検証
- CWE-434 File Upload
- CWE-23 File Inclusion
- CWE-264 Privilege Escalation
- CWE-204 Observable Response Discrepancy
- CWE-89 SQL Injection
- CWE-352 クロスサイトリクエストフォージェリ
WordPress プラグインの紹介
「ブルーチーム演習」として、プラグインを使った堅牢方法の解説を行っています。
3) 推奨 WordPress プラグインの紹介
- BackWPup
- WP Maintenance Mode
- SiteGuard WP Plugin
- Wordfence Login Security
- All In One WP Security & Firewall
こんな方におすすめ
Webアプリにおける脆弱性診断に挑戦
ペネトレーションテストの基礎を学び終えた中級者に向けて、さらなる学びを感じてもらうべく本コースを設計しました。「Webペンテスター入門」の要素を多く含んでいます。
より具体的には、こんな方をペルソナとして想定しています。
- これから WordPress を使い始める、運用管理を任されたばかりの方
- プラグインを使ったセキュリティの強化策を学びたい方
- Web システムにおける脆弱性診断を内製化していきたい方
反対にこのコースの対象とならない方も紹介します。ブログを使ったライティングを学びたいアフィリエイターやライターの方、プラグインやテンプレート開発におけるセキュアコーディングを学びたいコーダーやプログラマーの方、WordPress のコアモジュールの脆弱性を探し当てたいバグバウンティの方、こうした方々は本コースの対象とはなりません。
「WordPressの堅牢化」コースはWordPress案件でセキュリティ対策という付加価値をつけて単価を上げていきたい方、ペネトレーションテストにおける脆弱性診断による攻撃を理解し攻撃者の視点から運営サイトの死角を発見したい方、WordPress運営またはセキュリティチームにおけるメンバー間のスキルギャップを解消したい方、こうした方々に本コースはご満足頂けるはずです。
動画解説における難点を克服
文字で説明するのはときとして、もどかしいことがあります。画面のどこを操作しているのか。その手順はどのように進行していくのか。このような点は動画は伝えやすく、学習スピードを高めることに期待ができます。
一方で、自分が欲している情報だけを、いち早く取得するには文章の方が有効と考える人も多いです。
「WordPressの堅牢化」コースでは、動画の良さを前面に、文章の良さも取り組む工夫を施しています。各セクションの末尾に「コマンド&リファレンス」と名付けたMarkdown/PDF形式のコンテンツを追加しています。
Markdown(マークダウン)とは、文書を記述するための軽量マークアップ言語のひとつです。編集可能なリファレンス文書を提供することで、受講者自身に気づきを加筆してもらい、自分なりの文書に育ててもらいたいとの講師の想いがあります。
コースの活用方法
レッドチーム・ブルーチーム演習
このコースの特徴のひとつとして、レッドチーム・ブルーチーム演習があります。この用語は軍隊における攻撃防御演習に由来するものです。攻撃を仕掛ける側を「レッドチーム」、防御する側を「ブルーチーム」と呼んでいます。
いずれのチームもデジタル資産の防衛がゴールです。しかしそのためのアプローチ、道筋が異なっています。
「レッドチーム」とはシステムに対するあらゆる可能性、いかに検出をバイパス迂回するのか 敵対的思考からセキュリティを考えます。その上で防御策に関する有効性の評価を行います。
「WordPressの堅牢化」コースでは4つのセクションからなるレッドチーム演習を用意しています。これらは Boot2Root CTF チャレンジにおけるフラグ獲得手法の解説動画となっています。
「ブルーチーム」とは、システム運用における機密性・完全性・可用性 CIAをどのように担保するのかという視点でセキュリティを考えます。その上でセキュリティ製品やサービス、ポリシーの有効性について評価を行います。
「WordPressの堅牢化」コースでは3つのセクションからなるブルーチーム演習を用意しています。これらは WordPress のプラグインを使用した堅牢化方法の解説動画となっています。
脆弱性情報を読み解き、細工を施した通信を送信する
「WordPressの堅牢化」コースでは脆弱性情報を読み解き、細工を施したHTTP要求を送信するハンズオンが用意されています。
脆弱性検証の場では、Metasploit FrameworkやSQLMapなど自動エクスプロイトツールを使用した検証が行われる場合があります。これらツールは便利な反面、盲目的にコマンド実行するため、対象の脆弱性に関する原理・原則の理解を妨げる場合があります。
そこで本コースではプリミティブ(原型)となっているExploit-DBに掲載の脆弱性を読み解き、自らツール(Burp Suite)を使って細工を施したHTTP要求を送信するハンズオンを用意しています。
このハンズオンを通じて、ツールの裏側にて何が行われているのか、プロトコルのアプリケーション層において何が行われているのか理解を促すことを実現しています。
WordPress 堅牢化 チェックリスト
「WordPressの堅牢化」コースでは【別冊付録】として「WordPress 堅牢化 チェックリスト」(PDF形式)を掲載しています。
WordPress を採用しているウェブサイトにて実施すべき堅牢化策をチェックリストとして整理を行った文書です。A4用紙1枚に[実行方法]または[注目ポイント]をシンプルにまとめています。
項目によっては自組織では実施しないと判断できる項目(例えば、「隠蔽によるセキュリティ」は実施しないなど)もあると思います。その場合には、自組織の状況にあわせて読み替えてチェックを行うことも可能です。
講師へ直接質問し放題
Udemyでは、直接講師に質問することも可能です。コースプレイヤーに「Q&A(質疑応答)」が用意されています。受講しているコースの講師へ直接質問することが可能です。
また、他の受講生からの講師への質問も掲示板形式で表示されます。[コースのすべての質問を検索する]に質問を入力します。他の受講生がすでに同じ質問をしている場合には、その履歴が表示されます。同じ言葉を含む質問と回答も表示されます。
同じテーマを学んでいる人がどんなところでつまずきを感じ、そこを克服していったのか参照することで、より理解度を高めることができるはずです。
受講生の声
ここでは、「WordPressの堅牢化」コースの受講生から寄せられた声について、その一部をご紹介します。
WordPressの脆弱性について攻撃方法を交えながら学べる講座になっています。TryHackMeなどのペネトレーションテスト練習サイトの登録が必要になりますが、Webアプリに対する基本的な攻撃から応用的な攻撃まで多くカバーしているのでセキュリティに対して多くのことが学べます。
またQ&Aもしっかりと答えてくれるのでサポート面も含めて本当に良くできた講座だと思います。
不満点を強いて言うならネット上で公募されているバグバウンティプログラムのように使うツールが限られた環境で、システムに影響を与えず、バグを探し出せるスキルを学ぶことができないので、そのようなものを学べる講座を新しく作っていただきたいです。
WordPressへの攻撃以外にも使える各種ツールの使い方、攻撃する上での考え方が学べて、大変参考になりました。
コースでは次に何をすべきか、すべて準備されている状態。特にレッドチーム編集では、なぜこういう手順でやるのか?少し動画を止めて自分で納得しながら進めた方が力がつくと思いました。
概要に書かれているとおり、WordPressへの攻撃手法から堅牢化の方法まで、詳しく且つ分かりやすく解説されています。動画の区切りも細やかで、業務の合間や移動時間など、短い時間でも学習しやすい形に工夫されています。
実務でセキュリティ診断やWordPressの運用に携わっている方はもちろん、OSCP資格取得に興味を持たれたり、これからペネトレーションテスターの道を歩み始めようと考えている方々にも役立つコースだと思いました。
手順が良い感じに切れているのでハンズオンしやすい。
動画の長さがとてもよくできていて取り組みやすかった。
このレベルの内容を、日本語で、具体的、かつ、丁寧に解説しているコース・書籍は少ない為、とても参考になりました。
攻撃側(ペンテスター)、防御側(サイト運用者)ともに、実務レベルで活用できる内容です。
実務でWordPressサイトを運用している方に強くお勧めします。
Udemy Business選定コース
「WordPressの堅牢化」コースは、Udemy Businessコレクションに選定されているベストセラーコースです。
Udemy Businessコレクションには、Udemy 全体から厳選された3%ほどのコースが含まれています。コース評価、受講生への取り組み、人気度など、多くの基準をクリアした質の高いコースのみが選定されています。
また、「WordPressのセキュリティコース」カテゴリにおける「おすすめのコース」としても選定されています。
最新のクーポン情報
Udemyでは、頻繁にセールが開催されます。特に年4回の定期セール(1月、8月、11月、12月)は最低価格が提示され、見逃せません。
セールでお買い得にコース受講できるのはよいですね。
でも、学びたいと思ったときが「学びどき」。
今すぐはじめたいです。
今すぐ学びたい!
そんなときは、講師がクーポンを発行していないか確認するのがお勧めです。
「【サイバーセキュリティ 実践】シリーズ」では、講師の「Lit.Link(リットリンク)」ページにて定期的に期間限定クーポンを配布しています。
是非、この機会にお得なクーポンを利用し、WordPressの堅牢化、そしてサイバーセキュリティの実践について学びをはじめてください。
それでは、皆さんの受講を心よりお待ちしております!
コメント