セキュリティ 2023.07.26

【2020年3月版】WordPress・セキュリティ関連ニュースまとめ

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社e2e 取締役 / CTO

1985年北海道生まれ。
200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポートしている。

【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make
■WordPress保守/運用サービス「wp.support
■WordPressハッキング/緊急復旧対応サービス「wp.rescue
■WordPressバージョンアップ代行サービス「wp.versionup

2020年の3月のWordPressやセキュリティに関するニュースをまとめました。

3月31日にはWordPress5.4がリリースされているのに加え、現在、世界中で猛威を振るっている新型コロナへの不安を利用したサイバー攻撃の被害報告も増えています。
参考にしてみてください。

2020年3月のトップニュース

WordPress 5.4がリリース

3月31日にWordPress 5.4が公開されました。

WordPress 5.3から導入されているTwenty Twentyがアップデートされ、ブロックエディタやサイトヘルスの改善などがされています。

ブロック部分が大きく変わっているため、アップデート時にバックアップを取る際にはテーマやCSSを中心に確認しておくようにしましょう。

参考:WordPress 5.4アップデートについて(公式情報:日本語訳)

Microsoft Server Message Block 3.1.1 (SMBv3) の脆弱性について

3月10日(現地時間)、Microsoft社はMicrosoft Server Message Block 3.1.1 (SMBv3) に深刻な脆弱性(CVE-2020-0796)が存在すると発表し、定例外で更新プログラムを公開しています。

今回見つかった脆弱性は、リモートから任意のコードを実行されてしまう可能性や、2017年以降に発生していたワーム型プログラムの発生が懸念されています。

また、2020年3月の月例修正対象に含まれていたのにも関わらず、3月10日まで修正プログラムが公開されていなかったことも、より深刻な問題として扱われた要因となっています。

対象のWindows OSを利用している場合、早急にアップデートを行いましょう。

参考:Microsoft社による公式発表

Appleが8製品10バージョンのセキュリティアップデートを公開

3月25日、独立行政法人 情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は、Apple社が提供している複数の商品に脆弱性があると「Japan Vulnerability Notes(JVN)」で発表しました。
これは、Apple社が各製品のセキュリティアップデートを公開したことを受けて発表されたものです。

Apple社が提供している最新版へのアップデートを行わなかった場合、任意のコード実行やコマンド実行、サービス運用の妨害や、アクセス制限不備、情報漏えいや改ざんなどの影響を受ける可能性があります。

影響を受けるとされるシステムは以下になります。

  • macOS Catalina 10.15.4 より前のバージョン
  • macOS Mojave 10.14.6 (Security Update 2020-002 未適用)
  • macOS High Sierra 10.13.6 (Security Update 2020-002 未適用)
  • tvOS 13.4 より前のバージョン
  • iOS 13.4 より前のバージョン
  • iPadOS 13.4 より前のバージョン
  • watchOS 6.2 より前のバージョン
  • Safari 13.1 より前のバージョン
  • iTunes 12.10.5 for Windows より前のバージョン
  • Xcode 11.4 より前のバージョン

対象のバージョンを利用している場合、早急に最新版へアップデートしましょう。

参考:JVNによるApple社製品の脆弱性の詳細情報

キャセイパシフィック航空、個人情報流出で罰金約7千万円

香港の航空会社キャセイパシフィック空港は2020年3月4日、イギリスの独立監督機関である「Information Commissioner Office(ICO)」から約7,000万円となる50万ポンドの罰金の支払い命令を受けました。

この支払い命令は、2018年の10月にキャセイパシフィック社が外部からのサイバー攻撃を受け、約86万件のパスポート番号や約24万5,000件のIDカード番号、一部クレジットカード情報を流出したとされていることで受けたもの。

同社はパスワードの流出については否定しているものの、国際的なセキュリティーの基準も満たしていなかったとされ、個人情報流出の深刻な事案として英国データ保護法に基づき罰金の対象となりました。

キャセイパシフィック航空の広報担当者によると、今の段階では不服を申し立てる予定はないとコメントしています。

参考:ICOによる公式発表(本文英語)

WordPress関連のニュース

新型コロナでWordCamp Europe 2020が中止

新型コロナウイルスの影響で、2020年6月に開催が予定されていたWordCampEurope 2020の開催が中止となりました。
2020年2月に開催予定であったWordCampAsia2020に引き続いての中止発表となります。

チケットや公式ホテルなどについての返金も対応するとのことなので、方法については公式発表を待つ形になります。

また、WordCampコミュニティでは、New recommendations for event organizers in light of COVID-19というガイドラインが共有されており、日本語訳も公開されています。
この中で、新型コロナウイルスの感染予防対策のために6月までは人の集まるイベントを避け、2020年後半か2021年以降への延期をするか、オンラインでの開催を推奨していますので、参考にしてみてください。

参考:WordCamp Europe 2020の公式発表(本文英語)

参考:New recommendations for event organizers in light of COVID-19(日本語訳)

セキュリティ関連のニュース

パスワード入力時に不正なリンク先へ誘導するAmazon偽メール増加

3月27日、フィッシング対策協議会はAmazonを装ったフィッシングの報告を受けていると注意喚起を発表しました。

メールの件名は「Amazonアラート サービス番号:[数字]」が報告されていますが、上記以外の件名が使われている可能性もあります。

手口としては、パスワードの入力に複数回失敗していて、サインインをしていない場合には違法にアカウントを使用されている可能性があるとして、確認のために以下のサイトURLリンクをクリックさせようとするもの。

  • https://amazon.jp-sign●●●●.xyz/●/●/●●●●.php
  • http://amazon.co.jp.sign●●●●.xyz/●/●/●●●●.php

3月27日16時時点でまだフィッシングサイトは稼働中なため、JPCERT/CCにサイト閉鎖のために調査を依頼している状況となっているとのことです。

もしリンク先をクリックしてしまったとしても、ログイン情報として携帯電話番号やパスワード、請求情報としてフルネームや住所、カード番号などを入力しないようにしてください。

参考:フィッシング対策協議会の公式発表

楽天を騙るフィッシングメールを確認、注意喚起

2月28日、フィッシング対策協議会は楽天を装ったフィッシングの報告を受けているとして注意喚起を発表しました。

メールの件名として現在報告されているのは以下の3パターンです。

  • 楽天市場】お支払い方法を更新してください(自動配信メール)[時刻]
  • 【重要】楽天株式会社アカウントの 情報を確認する必要があります [日時]
  • [楽天]ログインしましたか?([日時])

メールの本文は、不正なログインがあったというものや、アカウントの更新が出来なかったため等の内容で最終的にリンクをクリックさせようとします。

現在リンク先として確認されているのは、以下のURLです。

  • http://rakuten-card.co.jp.●●●●.ddnsfree.com/signin.php?●●●●
  • http://●●●●.ddnsfree.com/
  • http://grp01.id.rakuten.co.jp.●●●●.info/
  • http://●●●●.world/
  • http://ruanzjp.●●●●.cn/
  • http://www.●●●●.shop/
  • http://attention-account-recovery-supprt-●●●●.info/

2月28日の14時の時点では、上記のフィッシングサイトは稼働中なため、JPCERT/CCにサイト閉鎖のために調査を依頼している状況となっているとのことです。

万が一、リンク先をクリックしてしまったとしても、個人情報としてパスワードや、フルネーム、クレジットカード情報などを入力しないようにしてください。

参考:フィッシング対策協議会の公式発表

新型コロナ対策に便乗!マスク入荷メール送信し、不正サイトへアクセス誘導か

2020年3月、大手セキュリティ企業であるトレンドマイクロジャパン株式会社は、国内で新型コロナウイルスに便乗したとみられる不審なフィッシングサイトの増加について警告を発表しました。

同社の発表では、問題のサイトは新型コロナウイルスの影響で需要の高まっている、マスクなどの衛生用品の通信販売を装っているとされています。

攻撃者は、大手の通販会社などに似た名称を使ってメールアドレスを偽装し、フィッシングメールやSMSを送信した後、ターゲットを自分のサイトに誘導してクレジットカード情報などを盗んでいる疑いがあります。

今後も新型コロナウイルスに便乗したサイバー攻撃が発生すると考えられるため、警戒しておきましょう。

参考:トレンドマイクロジャパン社の公式報告

旧サーバの脆弱性利用し不正アクセス、国立感染症研究所が被害

3月4日、国立感染症研究所は管理するサーバが不正アクセスを受け、不正利用をされていたと発表しました。

不正アクセスされたサーバは20年ほど前に設置されていたもので、以前までは公式ウェブサイト用に運用されていました。
このサーバにPerl言語による、脆弱性を持ったCGIプログラムが含まれていたことが不正アクセスをされた要因と見られています。

この不正アクセスにより、別のプログラムファイルをサーバ上に生成され、外部の電子掲示板に書き込みをされていたとのこと。
問題が発覚するまでは職員のファイルサーバとして運用されていたものの、3月5日にサーバを停止しました。

今後も、外部調査機関を通じて調査を行い、所内のアプリケーションに他の被害が生じていないか再検査を行うとのことです。

参考:国立感染研究所による公式発表

えきねっとがサイバー攻撃被害、ユーザー情報3,729件が不正ログインでカード情報流出か

3月3日、JR東日本は、同社が運営しているインターネットサービス「えきねっと」が外部からのサイバー攻撃によって、3,729人分のユーザーアカウントに不正ログインがあったと明らかにしました。

不正にログインがされたアカウントについては、同日夜にパスワードを強制リセットしており、パスワードの変更をしなければログインができないようにしています。

同社による説明では、不正アクセスがされたのは、3月2日午後5時30分から3日の午後0時37分にかけてとのこと。
この時間帯で、えきねっとサービスが利用できる「えきねっとアプリ」を通じて、海外の特定IPアドレスから多数のログイン施行が確認されています。

不正アクセスがあった3,729人のアクセスログを調べた結果、13人分のついては別画面に遷移して登録者の個人情報を閲覧した形跡があったとのことです。

尚、現段階では今回の情報流出によっての二次被害はないとされていますが、警戒を呼びかけています。

参考:日経XTECHの該当記事

参考:えきねっとパスワード再登録の方法について

不正アクセスで鹿児島大学のホームページが改ざん被害

3月13日、鹿児島大学は同大学の教育学部に関するホームページが、外部からの不正アクセスにより改ざんされたと明らかにしました。

同大学の発表では、不正アクセスによって教育学部のホームページのサイトマップが改ざんされ、海外投稿記事が掲載されるようになっていたとのことです。

尚、改ざんされたホームページを閲覧したことによるウイルス感染や不正プログラムの侵入の恐れがないことは確認できているとのこと。
ホームページ内に個人を特定するデータがないことや、サイトの訪問者の情報を収集するコンテンツも存在しないことから、個人情報の流出についても否定しています。

しかしセキュリティ上の問題からホームページの完全閉鎖を決定し、再構築を進めていくとしています。

参考:鹿児島大学の公式発表

まとめ

いかがでしたか。

WordPress5.4のリリースや、Microsoft社による脆弱性の発表、キャセイパシフィック航空の不正アクセス被害に対しての罰金の支払い命令など、大きなニュースが多数ありましたね。

新型コロナウイルスに関連したセキュリティ上でのニュースも増えていました。
今後も新型コロナウイルスに便乗したサイバー攻撃が発生すると考えられるため、警戒する必要があると言えるでしょう。

また、不正アクセスによるホームページの改ざんもあり、セキュリティに対しての対策は今一度見直す必要があると認識した方もいたのではないでしょうか。

もし、自社内でのWordPressの保守・セキュリティ対策では不安がある、という場合には、ぜひWordPress保守・管理のプロご相談ください。

WordPress保守・運用のパートナーなら「wp.support」にお任せ!

WordPressサイトを運用していて、以下のようなお悩みはありませんか?

  • 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
  • サイトのUI/UXを改善したいけれど、自社内では難しい…
  • WordPressサイトを高速化したいけれど、ノウハウがない…
  • セキュリティ対策をしたいけれど、知識のある人材がいない…
  • 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
  • ちょっとしたトラブルを気軽に相談できる相手が欲しい…

「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。

既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。

WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。

>> wp.supportに無料相談する

バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!

wp.support資料

WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?

面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!

【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...

WordPressに関することなら何でもご相談ください!