【2020年3月版】WordPress・セキュリティ関連ニュースまとめ

WordPress 5.4がリリース

3月31日にWordPress 5.4が公開されました。

WordPress 5.3から導入されているTwenty Twentyがアップデートされ、ブロックエディタやサイトヘルスの改善などがされています。

ブロック部分が大きく変わっているため、アップデート時にバックアップを取る際にはテーマやCSSを中心に確認しておくようにしましょう。

参考：WordPress 5.4アップデートについて（公式情報：日本語訳）

Microsoft Server Message Block 3.1.1 (SMBv3) の脆弱性について

3月10日（現地時間）、Microsoft社はMicrosoft Server Message Block 3.1.1 (SMBv3) に深刻な脆弱性（CVE-2020-0796）が存在すると発表し、定例外で更新プログラムを公開しています。

今回見つかった脆弱性は、リモートから任意のコードを実行されてしまう可能性や、2017年以降に発生していたワーム型プログラムの発生が懸念されています。

また、2020年3月の月例修正対象に含まれていたのにも関わらず、3月10日まで修正プログラムが公開されていなかったことも、より深刻な問題として扱われた要因となっています。

対象のWindows OSを利用している場合、早急にアップデートを行いましょう。

参考：Microsoft社による公式発表

Appleが8製品10バージョンのセキュリティアップデートを公開

3月25日、独立行政法人 情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は、Apple社が提供している複数の商品に脆弱性があると「Japan Vulnerability Notes（JVN）」で発表しました。
これは、Apple社が各製品のセキュリティアップデートを公開したことを受けて発表されたものです。

Apple社が提供している最新版へのアップデートを行わなかった場合、任意のコード実行やコマンド実行、サービス運用の妨害や、アクセス制限不備、情報漏えいや改ざんなどの影響を受ける可能性があります。

影響を受けるとされるシステムは以下になります。

• macOS Catalina 10.15.4 より前のバージョン
• macOS Mojave 10.14.6 (Security Update 2020-002 未適用)
• macOS High Sierra 10.13.6 (Security Update 2020-002 未適用)
• tvOS 13.4 より前のバージョン
• iOS 13.4 より前のバージョン
• iPadOS 13.4 より前のバージョン
• watchOS 6.2 より前のバージョン
• Safari 13.1 より前のバージョン
• iTunes 12.10.5 for Windows より前のバージョン
• Xcode 11.4 より前のバージョン

対象のバージョンを利用している場合、早急に最新版へアップデートしましょう。

参考：JVNによるApple社製品の脆弱性の詳細情報

キャセイパシフィック航空、個人情報流出で罰金約7千万円

香港の航空会社キャセイパシフィック空港は2020年3月4日、イギリスの独立監督機関である「Information Commissioner Office（ICO）」から約7,000万円となる50万ポンドの罰金の支払い命令を受けました。

この支払い命令は、2018年の10月にキャセイパシフィック社が外部からのサイバー攻撃を受け、約86万件のパスポート番号や約24万5,000件のIDカード番号、一部クレジットカード情報を流出したとされていることで受けたもの。

同社はパスワードの流出については否定しているものの、国際的なセキュリティーの基準も満たしていなかったとされ、個人情報流出の深刻な事案として英国データ保護法に基づき罰金の対象となりました。

キャセイパシフィック航空の広報担当者によると、今の段階では不服を申し立てる予定はないとコメントしています。

参考：ICOによる公式発表（本文英語）

新型コロナでWordCamp Europe 2020が中止

新型コロナウイルスの影響で、2020年6月に開催が予定されていたWordCampEurope 2020の開催が中止となりました。
2020年２月に開催予定であったWordCampAsia2020に引き続いての中止発表となります。

チケットや公式ホテルなどについての返金も対応するとのことなので、方法については公式発表を待つ形になります。

また、WordCampコミュニティでは、New recommendations for event organizers in light of COVID-19というガイドラインが共有されており、日本語訳も公開されています。
この中で、新型コロナウイルスの感染予防対策のために6月までは人の集まるイベントを避け、2020年後半か2021年以降への延期をするか、オンラインでの開催を推奨していますので、参考にしてみてください。

参考：WordCamp Europe 2020の公式発表（本文英語）

参考：New recommendations for event organizers in light of COVID-19（日本語訳）

パスワード入力時に不正なリンク先へ誘導するAmazon偽メール増加

3月27日、フィッシング対策協議会はAmazonを装ったフィッシングの報告を受けていると注意喚起を発表しました。

メールの件名は「Amazonアラート サービス番号：［数字］」が報告されていますが、上記以外の件名が使われている可能性もあります。

手口としては、パスワードの入力に複数回失敗していて、サインインをしていない場合には違法にアカウントを使用されている可能性があるとして、確認のために以下のサイトURLリンクをクリックさせようとするもの。

• https://amazon.jp-sign●●●●.xyz/●/●/●●●●.php
• http://amazon.co.jp.sign●●●●.xyz/●/●/●●●●.php

3月27日16時時点でまだフィッシングサイトは稼働中なため、JPCERT/CCにサイト閉鎖のために調査を依頼している状況となっているとのことです。

もしリンク先をクリックしてしまったとしても、ログイン情報として携帯電話番号やパスワード、請求情報としてフルネームや住所、カード番号などを入力しないようにしてください。

参考：フィッシング対策協議会の公式発表

楽天を騙るフィッシングメールを確認、注意喚起

2月28日、フィッシング対策協議会は楽天を装ったフィッシングの報告を受けているとして注意喚起を発表しました。

メールの件名として現在報告されているのは以下の3パターンです。

• 楽天市場】お支払い方法を更新してください（自動配信メール）[時刻]
• 【重要】楽天株式会社アカウントの 情報を確認する必要があります [日時]
• [楽天]ログインしましたか？([日時])

メールの本文は、不正なログインがあったというものや、アカウントの更新が出来なかったため等の内容で最終的にリンクをクリックさせようとします。

現在リンク先として確認されているのは、以下のURLです。

• http://rakuten-card.co.jp.●●●●.ddnsfree.com/signin.php?●●●●
• http://●●●●.ddnsfree.com/
• http://grp01.id.rakuten.co.jp.●●●●.info/
• http://●●●●.world/
• http://ruanzjp.●●●●.cn/
• http://www.●●●●.shop/
• http://attention-account-recovery-supprt-●●●●.info/

2月28日の14時の時点では、上記のフィッシングサイトは稼働中なため、JPCERT/CCにサイト閉鎖のために調査を依頼している状況となっているとのことです。

万が一、リンク先をクリックしてしまったとしても、個人情報としてパスワードや、フルネーム、クレジットカード情報などを入力しないようにしてください。

参考：フィッシング対策協議会の公式発表

新型コロナ対策に便乗！マスク入荷メール送信し、不正サイトへアクセス誘導か

2020年3月、大手セキュリティ企業であるトレンドマイクロジャパン株式会社は、国内で新型コロナウイルスに便乗したとみられる不審なフィッシングサイトの増加について警告を発表しました。

同社の発表では、問題のサイトは新型コロナウイルスの影響で需要の高まっている、マスクなどの衛生用品の通信販売を装っているとされています。

攻撃者は、大手の通販会社などに似た名称を使ってメールアドレスを偽装し、フィッシングメールやSMSを送信した後、ターゲットを自分のサイトに誘導してクレジットカード情報などを盗んでいる疑いがあります。

今後も新型コロナウイルスに便乗したサイバー攻撃が発生すると考えられるため、警戒しておきましょう。

参考：トレンドマイクロジャパン社の公式報告

旧サーバの脆弱性利用し不正アクセス、国立感染症研究所が被害

3月4日、国立感染症研究所は管理するサーバが不正アクセスを受け、不正利用をされていたと発表しました。

不正アクセスされたサーバは20年ほど前に設置されていたもので、以前までは公式ウェブサイト用に運用されていました。
このサーバにPerl言語による、脆弱性を持ったCGIプログラムが含まれていたことが不正アクセスをされた要因と見られています。

この不正アクセスにより、別のプログラムファイルをサーバ上に生成され、外部の電子掲示板に書き込みをされていたとのこと。
問題が発覚するまでは職員のファイルサーバとして運用されていたものの、3月5日にサーバを停止しました。

今後も、外部調査機関を通じて調査を行い、所内のアプリケーションに他の被害が生じていないか再検査を行うとのことです。

参考：国立感染研究所による公式発表

えきねっとがサイバー攻撃被害、ユーザー情報3,729件が不正ログインでカード情報流出か

３月3日、JR東日本は、同社が運営しているインターネットサービス「えきねっと」が外部からのサイバー攻撃によって、3,729人分のユーザーアカウントに不正ログインがあったと明らかにしました。

不正にログインがされたアカウントについては、同日夜にパスワードを強制リセットしており、パスワードの変更をしなければログインができないようにしています。

同社による説明では、不正アクセスがされたのは、3月2日午後5時30分から3日の午後0時37分にかけてとのこと。
この時間帯で、えきねっとサービスが利用できる「えきねっとアプリ」を通じて、海外の特定IPアドレスから多数のログイン施行が確認されています。

不正アクセスがあった3,729人のアクセスログを調べた結果、13人分のついては別画面に遷移して登録者の個人情報を閲覧した形跡があったとのことです。

尚、現段階では今回の情報流出によっての二次被害はないとされていますが、警戒を呼びかけています。

参考：日経XTECHの該当記事

参考：えきねっとパスワード再登録の方法について

不正アクセスで鹿児島大学のホームページが改ざん被害

3月13日、鹿児島大学は同大学の教育学部に関するホームページが、外部からの不正アクセスにより改ざんされたと明らかにしました。

同大学の発表では、不正アクセスによって教育学部のホームページのサイトマップが改ざんされ、海外投稿記事が掲載されるようになっていたとのことです。

尚、改ざんされたホームページを閲覧したことによるウイルス感染や不正プログラムの侵入の恐れがないことは確認できているとのこと。
ホームページ内に個人を特定するデータがないことや、サイトの訪問者の情報を収集するコンテンツも存在しないことから、個人情報の流出についても否定しています。

しかしセキュリティ上の問題からホームページの完全閉鎖を決定し、再構築を進めていくとしています。

参考：鹿児島大学の公式発表