【2019年11月版】WordPress・セキュリティ関連ニュースまとめ

WordPress5.3がリリース

WordPress5.3が11月12日にリリース。
今回のバージョン名は、モダンジャズのサックス奏者「ローランド・カーク」の名前から、「カーク（Kirk）」と名付けられています。

同バージョンから新しいデフォルトテーマ「Twenty Twenty」の追加やブロックエディタの機能追加・改善などが行われパフォーマンスが向上しました。

他にも開発者向けの変更や改善など含め、下記にて詳しく解説していますのでご覧ください。

WordPress5.3リリース！新機能・変更点、バージョンアップは必要？

wp.supportが正式リリース

弊社WordPress専門のエンジニアチームによる、WordPressの脆弱性や死活監視・ハッキング対策などの保守サポートを一括して行うサービス、「wp.support」を正式にリリースしました。

WordPressは国内でも82%以上のシェアがあるだけでなく、初心者でも簡単に扱うことができるメリットや多くのテーマやプラグインによるカスタマイズが豊富という便利な面もありますが、やはりセキュリティリスクについて課題があがります。

例えば、

• 管理画面に不正ログインされることで、情報漏洩
• Webサイトの改ざんにより、不審なサイトへのリダイレクト
• マルウェア感染
• Webサイトが表示されなくなる

など様々挙げられます。

このようなセキュリティリスクを解決するために、本サービスでは

• サイトの死活監視
• WordPress本体のバージョンアップ
• プラグインのバージョンアップ
• 定期的なバックアップ
• 緊急時のバックアップ復元
• テスト環境の構築
• サイト改ざんチェック
• 電話・メールサポート

などを実施しており、初期費用、調査費用は無料・月額4万円でサポートしています。

WordPressの保守に不安がある方、セキュリティ対策がまだお済みでない方は、ぜひ一度ご相談ください。

WordPressの脆弱性に対応する保守・セキュリティ対策サービス「wp.support」をリリース

Google Site KitがWordPress公式プラグインに登場

Google Site KitがWordPressに登場したことにより、WordPressの管理画面からWebサイトに関連するデータや情報を閲覧することができるようになりました。
プラグインを導入し、Googleとの連携を許可することで、以下のツールの情報を確認することが可能です。

• Google Search Console
• Google Analytics
• Google PageSpeed Insights
• Google Adsense

まだ登場したばかりということもあり残念ではありますが、現在利用できる機能は閲覧だけになります。
しかし、今後他のツールとの連携や管理画面内での操作完結などの機能追加が見込まれます。
気になる方は、導入してみてはいかがでしょうか。

Site Kit is now available for all WordPress sites（本文英語）

ラグビーW杯期間中、組織委員会のシステムにいくつもの攻撃

ラグビーＷ杯期間中に、組織委員会のシステムに対してDDos攻撃が少なくとも12回、また、職員宛に送られたフィッシングメール攻撃も行われていました。
幸いにも回線を一時的に遮断するなどの対策を行っていたため、システムに支障が出る被害にはならなかったようです。
この結果を受けて、政府は来年のオリンピック・パラリンピックでも同様の攻撃が行われることを懸念して、セキュリティ対策強化を確認するとしています。

ラグビーＷ杯組織委にサイバー攻撃 五輪パラへ対策強化

不正アクセスにより4,982件のクレジットカード情報流出

株式会社英宝が運営するオンラインショップ「Cardshop Serra」を2017年9月17日～2018年11月8日の間にクレジット決済されたお客様4,982件のクレジットカード情報が流出した可能性があると報告しています。

一部クレジットカード会社からの連絡を受け流出を懸念しクレジット決済を停止。

システムの脆弱性を利用されたことによる第三者の不正アクセスだと判明しました。

株式会社英宝による公式発表

RIZAPグループ株式会社、不正アクセスにより2,111件の迷惑メールを送信

子会社であるRIZAP株式会社のメールアカウント1件に対して不正アクセスがあり、同アカウントが踏み台として利用され取引先1,648社2,111件の意図していないメールが送信されたと明らかにしました。
その後、パスワードの変更と強化、送信先である全ての方に注意喚起などの対応を早急に実施しているようです。

また、一次調査から情報の持ち出しや流出の痕跡は確認されていないとのこと。

RIZAPグループ株式会社による公式発表

決済アプリ改ざん、983名のクレジットカード情報流出

株式会社イオンスポーツが運営する「ゼロフィット公式オンラインショップ」の脆弱性を利用され、不正アクセスを受けました。
不正アクセスを受けたことにより決済アプリが改ざんされ、2015年1月から2018年7月24日の期間中に同オンラインショップでクレジットカード決済された983名の名義やカード番号を含む情報が流出した可能性があるとしています。
また、公表が遅れた経緯については、不確定情報の公開による混乱とご迷惑を最小限に食い止める対応準備を行っていたようです。

株式会社イオンスポーツによる公式発表

不正ログイン判明、二段階認証導入

中部電力は家庭向けWebサービス「カテエネ」に87件の不正ログイン、うち60件のポイント交換申請などが行われていたと報告した。

その後も継続して調査した結果、8月から10月末まで合計して不正ログインが165件、この他にも19,900ポイントの交換や契約プランの変更など行われていたことが判明しています。

これを受けて、当社は12月からID・パスワードに加えて電話認証等も使用した二段階認証を使った運用に変更する対策を実施する方針です。

中部電力株式会社による公式発表

決済モジュールの改ざん、649名のクレジットカード情報流出

モダンデコ株式会社が運営する「Armonia本店」の脆弱性を利用し不正アクセスが行われ、決済モジュールが改ざんされたことにより、セキュリティコードを含むクレジットカード情報が流出した可能性があると明らかにしました。

流出の可能性がある期間と対象者は、2018年8月20日から2019年4月26日にちの間にクレジット決済をされた649名におよびます。
不正アクセス発覚当初サイトを閉鎖していましたが、現在は再開しています。

モダンデコ株式会社による公式発表

脆弱性を利用され、フィッシングサイトへ誘導

株式会社コムスが運営する「5pb. Records div2 official shop」の脆弱性をつき不正アクセスが行われ、フィッシングサイトへ誘導される可能性があるとヤマトフィナンシャル株式会社からの連絡で明らかになりました。
2019年4月10日～2019年4月24日の間に購入・クレジット決済を試みた147名のセキュリティコードを含むカード情報が流出した可能性があります。
現在は、復旧・対策し運営を再開しています。

株式会社コムスによる公式発表

トレンドマイクロ製品に脆弱性、早期のアップデートを

トレンドマイクロが発表した2つの脆弱性を情報処理推進機構およびJPCERTコーディネーションセンターが11月26日にJVNで発表しました。
脆弱性により、情報漏洩やサーバー上の任意ファイルを削除される影響が出る可能性があります。

トレンドマイクロでは、同脆弱性を解消するバージョンまたはパッチを提供しているため、早期アップデートを呼びかけています。

トレンドマイクロ株式会社製の複数の製品に複数の脆弱性

ID・パスワードを使ったなりすまし攻撃

株式会社ディノス・セシールが運営する、「セシールオンラインショップ」に国内IPアドレスから不正に入手したIDとパスワードを使って、16回に渡ってなりすまし攻撃を受けていることを明かした。

16回のうち1回不正にログインされてしまい、１名分の個人情報が閲覧された可能性がありますが、ファイル出力やダウンロード・転送の方法によって外部には流出していないことを確認しています。

閲覧された情報の中には、氏名・生年月日・自宅住所などが含まれているとのこと。
現在は、不正にアクセスされたIPアドレスのブロック、失敗したログインIDに含まれていた方に対して連絡する対策を講じています。

株式会社ディノス・セシールによる公式発表

システム開発作業中に不正アクセス、約63万件のデータ紛失

公益財団法人日本スポーツ協会が新システム開発を委託している、電通の再委託先である株式会社スポーツITソリューションが開発作業中に不正アクセスを受けたと報告しています。
不正アクセスを受けたことにより、国体参加者および公認スポーツ指導者データを加工した約63万件が削除されました。

原因は、開発環境のセキュリティ設定に不備があったようですが、関係機関と連携して調査を進めています。

公益財団法人日本スポーツ協会による公式発表