セキュリティ 2023.07.26

【2019年12月版】WordPress・セキュリティ関連ニュースまとめ

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社e2e 取締役 / CTO

1985年北海道生まれ。
200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポートしている。

【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make
■WordPress保守/運用サービス「wp.support
■WordPressハッキング/緊急復旧対応サービス「wp.rescue
■WordPressバージョンアップ代行サービス「wp.versionup

昨年12月のWordPressやセキュリティに関するニュースをまとめました。
ぜひ、参考にしてみてください。
また、年末にも注意喚起を行いましたが、「Emotet」が猛威を奮っていますので、引き続き感染が起こらないよう注意喚起や対策を行い注意していきましょう。
参考記事:「Emotet」ウイルスとは?取引先からのメールにも注意!

2019年12月のトップニュース

シナネンゼオミック、グループ会社のPCがEmotetに感染

2019年12月16日に株式会社シナネンゼオミックグループ会社のPC1台にEmotetが感染していることが判明。
経緯は、社内で同社を名乗る不審メールを受信し、従業員が送信していない不正メールだったことからわかりました。
また、取引先からも一部報告を受けていたため、注意喚起のお知らせを掲載したとのこと。
現時点での被害規模などはわかっておらず、添付ファイルを開封したPCをネットワークから隔離する対応を行っています。
送信されたメールは、「請求書の送付のお願い」や「勤怠データの件」などのタイトルで、添付ファイルやURLが記載されている内容であったと報告しています。
同社からのメールを受信した場合、送信元のメールアドレスが間違っていないか確認し、添付ファイルやURLを開封しないよう注意を呼びかけています。
参考:弊社および弊社グループになりすましたマルウェア感染に伴う不審メール発生に関するお詫びとお知らせ

加藤製作所なりすましメールを確認、Emotetだったことが判明

株式会社加藤製作所は、2019年12月9日に受信したなりすましメールを元に調査を行ったところ、Emotetに感染していたことが明らかになりました。
感染が確認された後、当該PCはネットワークから切り離し、社内PC全てに検疫作業を行っていると報告しています。
また、同社からメールが送られてきた場合は、送信元のメールアドレスを確認し、添付ファイルやURLは展開しないよう注意喚起を行っているとのこと。
もし、同社へ添付ファイルやURLを添付したメールを送信する場合、電話やFAXでにて別途ご連絡をお願いしています。
現在、具体的な被害規模は公表されていません。
参考:ウイルス感染と感染に伴う不審メール発生に関するお詫びとお知らせ

ハードディスクの盗難、オークションサイトで販売

テレビでも報道されているため、記憶に新しいのではないでしょうか。
ハードディスクのデータ消去を担当していた社員が、消去する前に18本ものハードディスクを盗みオークションサイトで販売し、全て落札されていることが12月5日に判明しました。
発覚した経緯は、オークションサイトで落札した者が、ハードディスクを復元したところ一部のデータを復元することができたとのこと。
落札者から任意で提供されたハードディスクのシリアル番号が富士通リースのものと一致したことから、事実確認によって明らかになったといいます。
12月21日には、所在不明となっていた9本、全てのハードディスクが回収されました。
再発防止策として契約満了時に県職員が立ち合い、物理破壊させるよう契約内容を見直し、データ復元が不可能となるような方法によって作業を行うとしています。
参考:リース契約満了により返却したハードディスクの盗難について

2019年12月のWordPress関連ニュース

WordPress 5.3.1と5.3.2がリリース

昨年12月14日と19日にWordPress5.3.1・5.3.2がリリースされました。
各バージョン共にメジャーアップデートほど大きな変更点はありませんが、5.3.1では46個もの修正と更新が行われています。
また、5.3.2では5.3.1がリリースされた後に発見された重要度の高い修正・改良が行われました。
特に「5.3.1」のバージョンでは、修正箇所も多くセキュリティについての対策が行われていますので、アップデートすることをお勧めします。
セキュリティの修正は以下の通りです。

  • 権限のないユーザーにREST API経由で先頭固定投稿を許してしまう問題。
  • 巧妙に手が加えられたリンクを用いたクロスサイトスクリプティング脆弱性の問題
  • WordPress.orgセキュリティチームによる wp_kses_bad_protocol() の強化。これにより名前付きコロン属性が適切に処理される。
  • ブロックエディタ本文を用いた格納型 XSS 脆弱性

引用:WordPress 5.3.1 セキュリティとメンテナンスのリリース
脆弱性情報が公開されているため、攻撃者にも情報は渡っています。
上記の修正の適用はもちろん、セキュリティ対策を行い、被害に合わないよう注意しましょう。
参考:WordPress 5.3.1 セキュリティとメンテナンスのリリース
参考:WordPress 5.3.2 メンテナンスリリース

2019年12月のセキュリティ関連ニュース

Facebook、2億6700万のユーザーIDや電話番号がハッカーフォーラムで公開

12月12日、ハッカーフォーラムに2億6700万を超えるFacebookのユーザーID・電話番号・氏名・タイムスタンプが公開されていることが判明。
経緯は、セキュリティで保護されていないデータベースを発見し、違法なスクレイピングかFacebook APIの乱用によって流出した可能性が高いとのこと。
データが公開されたことによって、大規模なSMSスパムやフィッシングキャンペーンに使われることがあるため、注意を呼びかけています。
また、アカウントのプライバシー設定を調整することで、プロファイルによって削除される可能性を最小限に抑えられるとして、以下の手順で設定行うことで対策可能だとしています。

  1. Facebookを開き設定に移動
  2. プライバシーをクリック
  3. 関連する全てのフィールドを友人または自分のみに設定
  4. Facebook以外の検索エンジンにプロフィールリンクしますかをチェックを外す

現在は、サーバーのIPアドレスを管理しているISPに悪用レポートを送信し、12月19日にデータベースは利用できないよう対処しているとこのことです。
参考:267 million Facebook users IDs and phone numbers exposed online

象印でショッピング、不正アクセスで約28万件の個人情報流出

象印ユースサービス株式会社が運営する象印でショッピングが第三者の不正アクセスにより、最大で280,052件の個人情報が流出したと報告しています。
流出した個人情報は氏名・住所・メールアドレス・電話番号などを含む情報としており、クレジットカード情報は流出していないとのこと。
経緯は、12月4日お客様からキャンペーンに乗じた不正メールが届いているとの報告を受け内部調査を実施。
結果、不正アクセスを受けていることが判明し、象印でショッピングを同日に停止しています。
不正メールは以下のようなメールで偽サイトへ誘導しているようです。
件名:お客様の名前おめでとうございます!オリジナルQUOカード キャンペーン実施中!
送信元:shopmaster@zojirushi.co.jp
また、偽サイトで搾取された可能性のある情報は以下の通りです。

  • カード名義人名
  • カード番号
  • 有効期限
  • セキュリティコード
  • 偽サイトで入力したパスワード

もし、見覚えのない請求があった場合は一度ご確認いただき、もし決済があった場合はクレジットカード会社に問い合わせるようお願いをしています。
今後、再発防止を行い再開は当サイトにてまたお知らせするとのことです。
参考:【重要】個人情報流出についてのお知らせ(象印でショッピング)

ECオーダー.com通信販売サービス終了へ

2019年10月9日に明らかになった、5ヶ月におよぶ7467件のクレジットカード情報流出から対策を考えていたECオーダー.comを運営するホビボックス株式会社がサービス終了することを明らかにしました。
サービス再開に向けて、セキュリティ対策や専門家との協議する中でお客様に安心してご利用いただける環境を根本的に解決するには困難であるため、今回このような決断に至ったと報告しています。
当サイトに登録していたデータなどは1月以降に削除し、3月には全て削除する予定と共に、親会社である株式会社ティーアイエスに吸収合併することを報告し、お詫びと感謝の言葉を述べています。
本件については、引き続き親会社である株式会社ティーアイエスが対応するようです。
参考:ECオーダー.com通信販売サービス終了のお知らせ

電子小説サービス・ノベルバ、33,639件の個人情報流出

2019年12月25日、株式会社ビーグリーが運営する電子小説サービスのノベルバの一部サーバーに不正アクセスを受け、個人情報33,715件が流出した可能性があると報告しています。
発覚した経緯は、12月18日に監視プログラムがエラーを検知したため、内部調査を行ったところ、以下の情報が流出した可能性があることが発覚した。

  • ユーザーID
  • ログインパスワード
  • ユーザーアイコン画像
  • メールアドレス
  • 登録SNSのID(登録がある場合)
  • 投稿作品の内容を含む会員の行動データ

などの情報が含まれているとのこと。
現在、アクセス制限や不正アクセス対策を講じた上で、第三者機関の調査も開始し、調査結果が判明次第、再度報告するとしています。
参考:個人情報の流出に関するお詫びとお知らせ

不正アクセスによってクレジットカード情報3312件流出

2019年12月11日に株式会社プレジィールが運営するグラマシーニューヨークオンラインショップが不正アクセスを受けたことにより、クレジットカード情報3312件が流出していることが判明しました。
経緯は、クレジットカード会社からの報告によって発覚。すぐにカード決済を停止したとのこと。
第三者機関の調査によって、当サイトで2018年10月31日~2019年6月14日の間にクレジットカード決済をした方の、カード名義人名・クレジットカード番号・有効期限・セキュリティコードが流出したことが考えられると報告しています。
この調査を受け止め、セキュリティ対策を講じ再開の目処が立ち次第、当サイトにてお知らせするとしています。
参考:弊社が運営する「グラマシーニューヨークオンラインショップ」への不正アクセスによる個人情報流出に関するお詫びとお知らせ

不正アクセスにより個人情報2085件流出、身代金の要求も

株式会社サイトビジットが運営する資格スクエアマガジンを管理するデータベースに11月6日不正アクセスがあったことを12月9日に報告。
流出した可能性がある期間は、2013年10月08日 21:41:57 〜 2015年01月09日 14:41:33の間に登録した、2085件のメールアドレス・氏名・電話番号・住所などとしています。
また、原因調査をしたところデータベースに身代金要求を要求するメッセージが記載されていたようです。
対象のサーバを停止、通信のルール確認やアカウントパスワードの変更など行う対策を行っています。
また、今後同様のことが起こらないよう、対策を実施していくとしています。
参考:不正アクセスによるお客様情報流出に関するお詫び

サンウェル、業務PCにEmotet感染

株式会社サンウェルがお客様から不正メールが届いているとの連絡を受け調査したところ、Emotetに感染していることが12月3日に判明。
現状被害は報告されていませんが、引き続き被害が起こらないよう「メールの添付ファイルを開封しない」よう注意を呼びかけています。
今回の事態を重く受け止め、再発防止や信頼回復に努めるとしています。
参考:不正メールに関するお詫びとお知らせ

不正アクセスによって、211件のクレジットカード情報流出

株式会社モーターマガジン社のコーポレートサイトに不正アクセスがあったことが、クレジットカード会社からの連絡で明らかになりました。
経緯として、6月27日にクレジットカード会社からカード情報の流出の懸念について連絡がありカード決済を停止。
第三者機関の調査によって一部不正利用された可能性があることがわかりました。
原因は、サイトの一部脆弱性を利用され不正アクセスを受けたと報告しており、2018年8月21日から2019年6月27日の約10ヶ月間に当社コーポレートサイトにてクレジット決済を行った方が対象であるとのこと。
流出した情報は、

  • カード名義人名
  • カード番号
  • 有効期限
  • セキュリティーコード

の211名分のカード情報が流出したことが考えられています。
再発防止に備え、セキュリティ強化や監視体制強化を行うようです。
また、再開の目処は立っておらず、決定次第Webサイトにてお知らせしますとしています。
参考:弊社が運営する「モーターマガジン社コーポレートサイト」への不正アクセスによる個人情報流出に関するお詫びとお知らせ

まとめ

昨年12月のニュースをお送りしましたが、いかがだったでしょうか。
年末に注意喚起をおこないました、「Emotet」の被害がご紹介した他にも多く見られました。
現在も猛威を奮っていますので、引き続き添付ファイル やURLには注意して開封するよう心がけましょう。
その他にも、個人情報流出の規模が大きい事例が数件ありました。
不正アクセスによる、流出が絶えない状態にあります。
もう一度、運営されているサイトに脆弱性がないか、サーバのセキュリティ対策は万全かどうか確認することで、攻撃を受けるリスクを低くすることが可能です。
もし、セキュリティ対策が万全出ない場合は、セキュリティ専門家がいる企業に問い合わせるところから始めてみてはいかがでしょうか。

WordPress保守・運用のパートナーなら「wp.support」にお任せ!

WordPressサイトを運用していて、以下のようなお悩みはありませんか?

  • 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
  • サイトのUI/UXを改善したいけれど、自社内では難しい…
  • WordPressサイトを高速化したいけれど、ノウハウがない…
  • セキュリティ対策をしたいけれど、知識のある人材がいない…
  • 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
  • ちょっとしたトラブルを気軽に相談できる相手が欲しい…

「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。

既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。

WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。

>> wp.supportに無料相談する

バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!

wp.support資料

WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?

面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!

【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...

WordPressに関することなら何でもご相談ください!