WordPressの改ざん被害発生

Shingo Takahashi — Tue, 07 Feb 2017 12:28:45 +0900

先週末より、『WordPressの脆弱性を悪用した改ざん被害が多数報告されている。』という情報が入りました。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

ウェブサイト構築において多く用いられているWordPressですが、これを含めた各種CMS（content management system/コンテンツマネジメントシステム）などにも必ずと言って良いほど脆弱な部分は存在します。

これらの脆弱性を悪用した被害にあわないためには、どのような対策を講じる必要性があるのでしょうか？

WordPressサイトが改ざんされた理由

今回の改ざん事例は実際に先週末あたりから被害が報告されており、原因はREST APIと呼ばれる処理に起因した脆弱性が存在したことにあります。

※　REST APIとは、Webシステムを外部から利用するためのプログラムの呼び出し規約の種類の一つです。

この脆弱性が悪用された場合、第三者からのリモート攻撃によってサーバ上のコンテンツを改ざんされる可能性があったわけですが、それが実際に起きてしまいました。

今回影響を受けたのは、WordPress4.7.0から4.7.1のバージョンで、現在の最新バージョンは4.7.2です。

影響を受けるバージョンを使われている場合、大至急WordPressを4.7.2にアップデートする必要があります。

またWordPress.orgは、バージョン4.7.2を2017年1月26日にリリースしたのですが、利用者の安全確保のため、この脆弱性の内容については2月1日まで公開を遅らせていたようです。

このように、WordPressなどのCMSにおいても脆弱性を悪用された被害は以前から存在します。

そして、これらのものを使っている以上、常に最新版を維持するよう、アップデートをしておく必要性があります。

今回影響を受けた対象はWordPress4.7.0から4.7.1ではありますが、それ以前のバージョンにおいても脆弱性は存在しています。

従って、常に最新版を維持する必要があるというのは、基本的に全てのWordPress利用者が対象であるということです。

以前にもお話ししましたが、WordPressなどのCMSを使っている以上、アップデートへの対応は継続的に行わなければいけません。

＜参考情報＞

独立行政法人情報処理推進機構 (IPA)
『WordPress の脆弱性対策について』
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html