【2019年10月版】WordPress・セキュリティ関連ニュースまとめ

WordPress5.2.4セキュリティアップデート

10月14日にWordPress5.2.4が公開されました。
クロスサイトスクリプティングやSSRF等への脆弱性の対策が行われています。

バージョン5.2.3およびそれ以前のバージョンを使用している場合は、早急にバージョンアップが必要です。

WordPress5.2.4のアップデート内容の詳細記事
WordPress 5.2.4セキュリティリリースについて（公式情報：本文英語）

Amazonで注文履歴流出、11万アカウントに被害

10月11日、個人情報保護委員会は、9月26日に発生したAmazon.co.jpの注文履歴流出に関して、約11万件の個人情報が他の利用者に表示された可能性があると発表しました。
個人情報には、氏名・配送先住所・注文履歴・閲覧履歴等が含まれます。
不正アクセス等のセキュリティの不備ではなく、システム変更時の不具合によるものだったとのこと。
ただ、10月4日に利用者のメールアドレス宛てに個別でメールが送付されましたが、「メールの説明内容の不足」「電話問い合わせへの対応」「被害件数の公表がない」といった対応についても批判されていたことが印象的です。
個人情報保護委員会による発表内容

株式会社JIMOSの複数ECサイトで5年以上の期間で10万件超のカード情報が流出

10月15日、株式会社JIMOSは同社が運営している複数のECサイト（マキアレイベル・Coyori・代謝生活CLUB）および過去に運営していた「酒蔵.com」において、入力されたクレジットカード情報が流出した可能性があると明らかにしました。
原因は、同社が運営するECサイトの一部の脆弱性をついた第三者による不正アクセスによるもの。
期間は、酒蔵.comについては、2014年1月1日～2016年3月30日の約2年間、マキアレイベル・Coyori・代謝生活CLUBのサイトについては2014年1月1日～2019年7月26日の5年以上の期間におよびます。
株式会社JIMOSによる公式発表

三菱UFJ銀行の通信暗号化装置への不正アクセス、顧客情報が流出

10月25日、株式会社三菱UFJ銀行は、10月4日に同社の提供するLCMS（ローカルキャッシュマネジメントサービス）の認証システムの通信暗号化装置に対して、外部から不正アクセスがあったことを明らかにしました。
不正アクセスにより漏洩した情報は、台湾拠点の法人顧客13社の講座情報や取引明細等、および、取引明細に含まれる取引先・従業員等に関する情報1,305件。
被害は台湾拠点の顧客に限定されており、現在のところ、情報漏洩に基づく二次被害等は確認されていないとのこと。
三菱UFJ銀行による公式発表

WordPress5.3ベータ版配信開始

WordPress5.3のベータ版が配信開始されました。
ベータテスト用のプラグインを使用することで、WordPress5.3のテストを行うことができます。
（主に開発者向け）

WordPress5.3では新テーマ「Twenty Twenty」もリリースされるので、一足早く試してみたい方はチェックしてみましょう。

WordPress5.3の正式リリースは2019年11月12日に予定されています。
WordPress 5.3リリース候補について（公式情報：本文英語）

「wpDataTables Lite」にXSS、SQLインジェクションの脆弱性

10月11日、JPCERT コーディネーションセンターおよび独立行政法人情報処理推進機構 (IPA)は、JVNのサイト上でWordPressプラグイン「wpDataTables Lite」の2.0.11およびそれ以前のバージョンに複数の脆弱性があることを発表しました。

脆弱性の内容はクロスサイトスクリプティング（XSS）とSQLインジェクションになります。

同プラグインを利用されている場合は、早急に最新版へアップデートしてください。

JVNによる「wpDataTables Lite」脆弱性の詳細情報

「events-manager」にXSSの脆弱性

10月16日、同JVN上でWordPressプラグイン「events-manager」の5.9.5までのバージョンに、クロスサイトスクリプティング（XSS）の脆弱性が確認されたと発表しました。

同プラグインを利用されている場合は、早急に5.9.6以上のバージョンへアップデートしてください。

JVNによる「events-manager」脆弱性の詳細情報

ライブハウスサイトで不正改ざん、閲覧者がマルウェアに感染か

10月3日、TSUTAYAがネーミングライツを獲得したことで話題となったライブハウスを運営するO-Groupは、同社が運営するホームページが不正アクセスにより改ざんされ、アクセスしたユーザーにマルウェアを配布していた可能性があると発表しました。
マルウェアを配布していた可能性のある対象期間は2019年10月2日 18時30分〜23時50分。
該当のユーザーには、最新バージョンのウイルス駆除ソフトでのスキャンを推奨しています。
O-Groupによる公式発表

脆弱性を利用して決済フォームを改ざん、約9ヶ月に渡り9万件以上の個人情報が流出

10月8日、株式会社京都一の傳は、公式Webウェブサイトの「京都一の傳 お取り寄せページ」の決済フォームが改ざんされ、セキュリティコードを含むクレジットカード情報1万8,855件、会員情報7万2738件の個人情報が流出したと明らかにしました。
同社のクレジットカード決済代行会社からの指摘により発覚したとのこと。
株式会社京都一の傳による公式発表

ECオーダー.com｜約5ヶ月間に渡り、クレジットカード情報7000件以上が流出の可能性

10月9日、株式会社ホビボックスは、同社が運営するEC ECサイト「ECオーダー.com」が、外部からの不正アクセスにより、セキュリティコードを含むクレジットカード情報7467件が流出した可能性があると明らかにしました。
流出の可能性のある期間は、2019年1月19日から2019年6月26日の約5ヶ月におよびます。
該当サイトでは、カード情報を保持しない構築をしていたにも関わらず、アプリケーションファイルの改ざんにより、不正取得を許してしまったとのことです。
株式会社ホビボックスによる公式発表

旧ドメインの不正利用でマルウェア感染サイトに誘導｜東北文化の日

10月11日、宮城県は県が運営する「東北文化の日」の旧URLにアクセスすると、ウイルスに感染する恐れがあるサイトが表示されることを明らかにしました。
同サイトは東北６県および仙台市が一体となって取り組む事業に関するWebサイトで、旧URLは2019年6月末に閉鎖されていました。
しかし、旧ドメインを第三者が不正に利用することで、マルウェア感染を狙ったようです。
宮城県による公式発表

福島県教育委員会のサーバーへの約2年間の不正アクセスが発覚

10月17日、福島県は外部委託業者に管理を委託している「ふくしま教育ネットワークコンテンツサーバ」が、2018年3月から2019年5月までの約2年間に渡り、断続的なサイバー攻撃を受けていたことを明らかにしました。
原因は委託業者がシステム移行作業のためにインストールしたソフトウェアを、作業後も放置していたために、第三者により脆弱性を悪用されたもの。
同サーバーには8件のウイルスを含む、26件のファイルが不正に埋め込まれており、第三者によってサーバー内のメールアドレス等が閲覧可能な状態になっていたとのことです。
福島県教育委員会による公式発表

スターバックスアプリで顧客アカウントの不正利用

10月25日、スターバックスコーヒージャパン株式会社は、同社の会員向けサイトに不正アクセスがあったことを発表しました。
被害額は約18万円で、第三者が会員のメールアドレスとパスワードを使用して、登録されているクレジットカードから入金して商品を不正に購入したとのこと。
同社は発覚した24日〜28日までの期間にオンライン入金およびオートチャージの機能を停止。会員向けサイトのユーザーにパスワードの変更を呼びかけるなどの対応を行いました。
日経新聞の該当記事

大手セキュリティ企業「Avast」のVPNに不正アクセスを検知してブロック

10月21日、無料のセキュリティソフトを提供する「Avast」は、9月23日に同社のVPNへの不信アクセスをセキュリティツールにより検知、具体的な被害に及ぶ前に阻止したと発表しました。
ハッカーの目的については、同社製品である「CCleaner」にマルウェアを埋め込む「サプライチェーン攻撃」の可能性を指摘しています。
「CCleaner」については、ハッキングの影響は受けていないことを「確信する」としています。
Avastによる公式発表（原文英語）