セキュリティ 2019.12.12 2023.07.26
【2019年11月版】WordPress・セキュリティ関連ニュースまとめ
2019年11月のWordPressやプラグイン、Webセキュリティに関するニュースをまとめました。
ぜひ、参考にしてみてください。
目次
2019年11月のトップニュース
WordPress5.3がリリース
WordPress5.3が11月12日にリリース。
今回のバージョン名は、モダンジャズのサックス奏者「ローランド・カーク」の名前から、「カーク(Kirk)」と名付けられています。
同バージョンから新しいデフォルトテーマ「Twenty Twenty」の追加やブロックエディタの機能追加・改善などが行われパフォーマンスが向上しました。
他にも開発者向けの変更や改善など含め、下記にて詳しく解説していますのでご覧ください。
wp.supportが正式リリース
弊社WordPress専門のエンジニアチームによる、WordPressの脆弱性や死活監視・ハッキング対策などの保守サポートを一括して行うサービス、「wp.support」を正式にリリースしました。
WordPressは国内でも82%以上のシェアがあるだけでなく、初心者でも簡単に扱うことができるメリットや多くのテーマやプラグインによるカスタマイズが豊富という便利な面もありますが、やはりセキュリティリスクについて課題があがります。
例えば、
- 管理画面に不正ログインされることで、情報漏洩
- Webサイトの改ざんにより、不審なサイトへのリダイレクト
- マルウェア感染
- Webサイトが表示されなくなる
など様々挙げられます。
このようなセキュリティリスクを解決するために、本サービスでは
- サイトの死活監視
- WordPress本体のバージョンアップ
- プラグインのバージョンアップ
- 定期的なバックアップ
- 緊急時のバックアップ復元
- テスト環境の構築
- サイト改ざんチェック
- 電話・メールサポート
などを実施しており、初期費用、調査費用は無料・月額4万円でサポートしています。
WordPressの保守に不安がある方、セキュリティ対策がまだお済みでない方は、ぜひ一度ご相談ください。
2019年11月のプラグイン関連ニュース
Google Site KitがWordPress公式プラグインに登場
Google Site KitがWordPressに登場したことにより、WordPressの管理画面からWebサイトに関連するデータや情報を閲覧することができるようになりました。
プラグインを導入し、Googleとの連携を許可することで、以下のツールの情報を確認することが可能です。
- Google Search Console
- Google Analytics
- Google PageSpeed Insights
- Google Adsense
まだ登場したばかりということもあり残念ではありますが、現在利用できる機能は閲覧だけになります。
しかし、今後他のツールとの連携や管理画面内での操作完結などの機能追加が見込まれます。
気になる方は、導入してみてはいかがでしょうか。
2019年11月のWebセキュリティ関連ニュース
ラグビーW杯期間中、組織委員会のシステムにいくつもの攻撃
ラグビーW杯期間中に、組織委員会のシステムに対してDDos攻撃が少なくとも12回、また、職員宛に送られたフィッシングメール攻撃も行われていました。
幸いにも回線を一時的に遮断するなどの対策を行っていたため、システムに支障が出る被害にはならなかったようです。
この結果を受けて、政府は来年のオリンピック・パラリンピックでも同様の攻撃が行われることを懸念して、セキュリティ対策強化を確認するとしています。
不正アクセスにより4,982件のクレジットカード情報流出
株式会社英宝が運営するオンラインショップ「Cardshop Serra」を2017年9月17日~2018年11月8日の間にクレジット決済されたお客様4,982件のクレジットカード情報が流出した可能性があると報告しています。
一部クレジットカード会社からの連絡を受け流出を懸念しクレジット決済を停止。
システムの脆弱性を利用されたことによる第三者の不正アクセスだと判明しました。
RIZAPグループ株式会社、不正アクセスにより2,111件の迷惑メールを送信
子会社であるRIZAP株式会社のメールアカウント1件に対して不正アクセスがあり、同アカウントが踏み台として利用され取引先1,648社2,111件の意図していないメールが送信されたと明らかにしました。
その後、パスワードの変更と強化、送信先である全ての方に注意喚起などの対応を早急に実施しているようです。
また、一次調査から情報の持ち出しや流出の痕跡は確認されていないとのこと。
決済アプリ改ざん、983名のクレジットカード情報流出
株式会社イオンスポーツが運営する「ゼロフィット公式オンラインショップ」の脆弱性を利用され、不正アクセスを受けました。
不正アクセスを受けたことにより決済アプリが改ざんされ、2015年1月から2018年7月24日の期間中に同オンラインショップでクレジットカード決済された983名の名義やカード番号を含む情報が流出した可能性があるとしています。
また、公表が遅れた経緯については、不確定情報の公開による混乱とご迷惑を最小限に食い止める対応準備を行っていたようです。
不正ログイン判明、二段階認証導入
中部電力は家庭向けWebサービス「カテエネ」に87件の不正ログイン、うち60件のポイント交換申請などが行われていたと報告した。
その後も継続して調査した結果、8月から10月末まで合計して不正ログインが165件、この他にも19,900ポイントの交換や契約プランの変更など行われていたことが判明しています。
これを受けて、当社は12月からID・パスワードに加えて電話認証等も使用した二段階認証を使った運用に変更する対策を実施する方針です。
決済モジュールの改ざん、649名のクレジットカード情報流出
モダンデコ株式会社が運営する「Armonia本店」の脆弱性を利用し不正アクセスが行われ、決済モジュールが改ざんされたことにより、セキュリティコードを含むクレジットカード情報が流出した可能性があると明らかにしました。
流出の可能性がある期間と対象者は、2018年8月20日から2019年4月26日にちの間にクレジット決済をされた649名におよびます。
不正アクセス発覚当初サイトを閉鎖していましたが、現在は再開しています。
脆弱性を利用され、フィッシングサイトへ誘導
株式会社コムスが運営する「5pb. Records div2 official shop」の脆弱性をつき不正アクセスが行われ、フィッシングサイトへ誘導される可能性があるとヤマトフィナンシャル株式会社からの連絡で明らかになりました。
2019年4月10日~2019年4月24日の間に購入・クレジット決済を試みた147名のセキュリティコードを含むカード情報が流出した可能性があります。
現在は、復旧・対策し運営を再開しています。
トレンドマイクロ製品に脆弱性、早期のアップデートを
トレンドマイクロが発表した2つの脆弱性を情報処理推進機構およびJPCERTコーディネーションセンターが11月26日にJVNで発表しました。
脆弱性により、情報漏洩やサーバー上の任意ファイルを削除される影響が出る可能性があります。
トレンドマイクロでは、同脆弱性を解消するバージョンまたはパッチを提供しているため、早期アップデートを呼びかけています。
ID・パスワードを使ったなりすまし攻撃
株式会社ディノス・セシールが運営する、「セシールオンラインショップ」に国内IPアドレスから不正に入手したIDとパスワードを使って、16回に渡ってなりすまし攻撃を受けていることを明かした。
16回のうち1回不正にログインされてしまい、1名分の個人情報が閲覧された可能性がありますが、ファイル出力やダウンロード・転送の方法によって外部には流出していないことを確認しています。
閲覧された情報の中には、氏名・生年月日・自宅住所などが含まれているとのこと。
現在は、不正にアクセスされたIPアドレスのブロック、失敗したログインIDに含まれていた方に対して連絡する対策を講じています。
システム開発作業中に不正アクセス、約63万件のデータ紛失
公益財団法人日本スポーツ協会が新システム開発を委託している、電通の再委託先である株式会社スポーツITソリューションが開発作業中に不正アクセスを受けたと報告しています。
不正アクセスを受けたことにより、国体参加者および公認スポーツ指導者データを加工した約63万件が削除されました。
原因は、開発環境のセキュリティ設定に不備があったようですが、関係機関と連携して調査を進めています。
まとめ
11月に起きた様々なニュースをご紹介しました。
WordPressのパフォーマンス向上、Googleがプラグインをリリースといった今後さらなる利便性の向上が見込める、ユーザーにとって嬉しいニュースではないでしょうか。
セキュリティ関連では、不正アクセスによる攻撃が多く見受けられます。
ラグビーW杯を初めECサイトのような大きなサイトが標的になっていますが、Webサイトを運営している場合、規模にかかわらずいつどのような攻撃にあうかわかりません。
ぜひこの機会にセキュリティ対策の見直し・強化を行いましょう。
もし、自社内でのWordPressの保守・セキュリティ対策が難しい方は、WordPress保守・管理のプロにご相談ください。
WordPress保守・運用のパートナーなら「wp.support」にお任せ!
WordPressサイトを運用していて、以下のようなお悩みはありませんか?
- 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
- サイトのUI/UXを改善したいけれど、自社内では難しい…
- WordPressサイトを高速化したいけれど、ノウハウがない…
- セキュリティ対策をしたいけれど、知識のある人材がいない…
- 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
- ちょっとしたトラブルを気軽に相談できる相手が欲しい…
「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。
既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。
WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。
バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!
WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?
面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!
【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...
WordPressに関することなら何でもご相談ください!