セキュリティ 2020.05.08 2023.07.26
【2020年4月版】WordPress・セキュリティ関連ニュースまとめ
この記事を書いた人
土井 純也
WordPressスペシャリスト・エンジニア/株式会社e2e 取締役 / CTO
1985年北海道生まれ。
200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポートしている。
【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make」
■WordPress保守/運用サービス「wp.support」
■WordPressハッキング/緊急復旧対応サービス「wp.rescue」
■WordPressバージョンアップ代行サービス「wp.versionup」
2020年の4月のWordPressやセキュリティに関するニュースをまとめました。
4月は、「Zoomのアカウント情報50万件の流出」や「コロナ関連の詐欺サイトへの誘導」など、新型コロナウイルスに便乗したサイバー攻撃が数多く報告されています。
「自社だけは大丈夫」と思わず、しっかり対策するためにも、サイバー攻撃の傾向を把握しておきましょう。
目次
2020年4月のトップニュース
Zoomアカウント50万件がダークウェブを通じて流出の恐れ
2020年4月、海外のセキュリティ企業「CYBLE」はオンラインビデオ会議ツール「Zoom」のアカウント約50万件がダークウェブを通じて販売されていたことを報告しました。
CYBLEが発表した内容によると、犯人は他のサービスから流出した情報をもとにアカウントを特定していたとのこと。
流出した内容には、アカウントに使われていたメールアドレス、パスワードや、ミーティングURLなども含まれているとみられ、勝手にビデオ会議に乱入する「ビデオ爆発攻撃」や「アカウントのなりすまし」などの被害が懸念されます。
Zoomはセキュリティの問題が相次いで確認されています。
Zoom公式からもZoom5.0を含むセキュリティ強化策が発表されていますので、継続してZoomを使用するならアップデート等の対策はしっかり行いましょう。
コロナ便乗の詐欺サイトへの誘導、世界で約4万7,000件発生
トレンドマイクロは、新型コロナウイルスに便乗したサイバー犯罪によって不正サイトに誘導された件数が、世界累計で約4万7,000件を超えたと発表しました。
約13.8%が日本国内の事例であるとのことです。
また、この情報は同社が提供しているサービスを通じて集めたセキュリティ統計から判明したもので、3月は1月に比べて約9倍となっていることも発表。
今後は、より対策を求められると警戒しています。
実際に起きている詐欺行為としては、マスク販売をする詐欺サイトへの誘導や、寄付を求める詐欺サイトへの誘導などです。
これらのサイトを閲覧したことで、トロイの木馬やランサムウェアなどの被害も報告されているので、セキュリティソフトの更新などの対策を早急にとるようにしましょう。
ソニーミュージック不正アクセスでサイト改ざん被害
ソニーミュージックは、2020年4月1日まで「ソニーミュージックオフィシャルサイト」内の複数のコンテンツが外部からの不正アクセスで改ざんされていたことを発表しました。
同社はこの問題に対応するため、4月1日15時から一時的にサイトを停止させていましたが、4月7日までに全てのページの調査とサーバ内の不正な書き込みの削除を実施し、問題から復旧したと明らかにしています。
また、サーバ内からの個人情報の流出は確認できなかったため、今回の不正アクセスでの個人情報の流出はなかったと発表しています。
JVNがApple「Xcode」にgitの認証情報が漏えいする脆弱性を警告
4月17日、独立行政法人 情報処理推進機構(IPA)および一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、Apple社が提供するアプリケーション開発ソフトウェア「Xcode」にgitの認証情報が漏洩する脆弱性があることを「Japan Vulnerability Notes(JVN)」で発表しました。
この発表は、Apple社がXcode向けのアップデートを公開したことを受けて行なったものです。
「Xcode 11.4.1」より前のバージョンを使っている場合、Xcodeに内包されたgitが使用している credential helper プログラムの脆弱性(CVE-2020-5260)が利用されるリスクがあります。
具体的な脆弱性の内容としては、改行文字を含む特別に細工されたURLを処理してgitの認証情報が任意のホストに送信されるというもの。
JVNでは、セキュリティ上の問題から最新版へアップデートするように呼びかけています。
WordPress関連のニュース
WordPress5.4.1がリリース
4月29日にWordPress5.4.1がリリースされました。
複数の脆弱性への対処が更新の内容となっており、セキュリティに関する7件の問題の修正、17件のバグが修正されています。
自動更新をサポートしている場合には、すでに更新プログラムを開始していますが、そうでない場合であっても、ダッシュボードから簡単にアップデートが行えます。
セキュリティ面での問題をカバーするためにも、すぐにアップデートするようにしましょう。
また、同時にWordPress3.7以降のすべてのバージョンも更新されています。
セキュリティ関連のニュース
給付金10万円詐欺の発生、消費者庁が注意喚起
4月24日、消費者庁は「特別定額給付金」に関連する詐欺行為が発生していると注意を呼びかけました。
同庁の窓口では、以下のような要請を出す可能性はないと発表しています。
・給付金10万円のATMへの振り込みや手数料の請求
・世帯構成や銀行口座の番号などをメールで聞き出す行為
これらの要求をするフィッシングメールや電話による呼びかけには応じないようにしましょう。
ニンテンドーアカウント流失か?最大約16万件不正アクセス
4月24日、任天堂株式会社が提供する提供するネットワークサービス「ニンテンドーネットワークID(NNID)」の約16万件と一部の「ニンテンドーID」について、外部からの不正ログインが確認されたと発表しました。
今回の不正ログインで、NNIDについてはニックネームや生年月日、メールアドレスなどが外部に流出した可能性があるとされています。
同社は、緊急対応としてNNIDやニンテンドーIDのログインパスワードをリセットしたほか、NNIDを経由したニンテンドーIDへのログイン機能を削除するなどの措置を行なっています。
二次被害を避けるために、パスワードを設定する際は他のサービスで利用しているパスワード等の使い回しは避けるようにしましょう。
サイバーエージェント、サイバー攻撃で1026ユーザーの情報流出か
4月7日、サイバーエージェントはAWS上で管理しているシステムの広告配信管理画面に対し、外部からのサイバー攻撃を受けたことで、Ameba Infeed及びAmebaDSPのユーザー約1,000件に流出の可能性があると明らかにしました。
同社の発表によると、サイバー攻撃を受けた期間は4月4日23時20分から4月5日25時45分と、同日21時45分から21時54分の2回とのこと。
流出した可能性のある情報は、「ログインに必要なユーザ名とパスワードのハッシュ値(パスワード自体ではありません)、氏名、メールアドレス、広告配信に関わる情報です。
同社は再発防止として、使用されたアクセスキーの失効とアクセスキーに割り当たっている権限の変更を行なっています。
JCBを名乗ったフィッシング詐欺に注意喚起
4月10日、フィッシング対策協議会は大手クレジットカード会社「JCB」を装ったフィッシングメールが確認されたと公表しました。
協議会の公表した内容によると、JCBが提供しているWebサービス「My JCB」のセキュリティ警告を模したもの。
件名は「MyJCB Express News 重要な通知となります [日付]」となっているとのことです。
実際には、セキュリティ問題が発生していないにも関わらず、「異常なアクティビティが検出された」とメールで不安を煽り、偽のログインページへ誘導する手口となっています。
偽のログインページに飛んでしまったとしても、MyJCB IDやパスワード、カード番号、有効期限などを入力しないようにしましょう。
株式会社光言社がSQLインジェクション攻撃被害
4月16日、株式会社光言社は運営するWebサイトに外部からのサイバー攻撃が確認されたと公表しました。
同社によると、攻撃者はURLの末尾に不正なデータベースコマンドを混入することで、本来は表示されないはずの情報を要求する「SQLインジェクション」と呼ばれるサイバー攻撃を仕掛け、情報を入手。
この情報を使って、同社サイトに登録されていた氏名や住所などの個人情報が不正に閲覧された可能性があるとのことですが、クレジットカード情報の漏洩はなかったとしています。
同社は再発防止策として、WAF(Webアプリケーションファイアウォール)を導入しており、4月15日までに今回サイバー攻撃を受けたWebサイトへのWAF和Fの設定と正常動作を提供会社に確認してもらうとしています。
また、セキュリティ強化として、開発管理体制の強化を進めると発表しています。
ヤマイケオンライン、複数回の不正アクセス被害でユーザー情報流出
4月18日、株式会社山と溪谷社は運営しているオンラインサイト「ヤマイケオンライン」の登録ユーザー情報が流出したと公表しました。
同社によると、4月13日第三者から「登録ユーザー情報が流出している」との指摘を受けて発覚したとのこと。
また、流出しているデータの確認と解析の結果、2013年4月9日の「ヤマイケオンライン」リニューアル以前に登録されていた情報と公表しています。
同社は緊急対応として、利用者のパスワードを無作為に作成した文字列のパスワードに変更しています。
今後は、パスワード変更のフィッシングメールなどに注意するように呼びかけています。
まとめ
いかがでしたか。
現在の世界の状況が関連するセキュリティニュースとして、Zoomのアカウントの流出、新型コロナウイルスに便乗した詐欺の事例報告や、給付金詐欺の注意喚起など、複数ありました。
テレワークが増えている今、セキュリティ対策はより一層の強化が求められています。
今回の記事でも紹介したWordPress5.4.1のセキュリティアップデート等、セキュリティ対策は必ず行うようにしましょう。
もし、WordPressのセキュリティ対策が万全ではないと感じている場合には、まずはWordPress保守・管理のプロにご相談ください。
WordPress保守・運用のパートナーなら「wp.support」にお任せ!
WordPressサイトを運用していて、以下のようなお悩みはありませんか?
- 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
- サイトのUI/UXを改善したいけれど、自社内では難しい…
- WordPressサイトを高速化したいけれど、ノウハウがない…
- セキュリティ対策をしたいけれど、知識のある人材がいない…
- 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
- ちょっとしたトラブルを気軽に相談できる相手が欲しい…
「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。
既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。
WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。
バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!
WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?
面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!
【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...
WordPressに関することなら何でもご相談ください!