【2020年5月版】WordPress・セキュリティ関連ニュースまとめ

wordpressの5月のニュース
  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

2020年5月のWordPressやセキュリティに関するニュースをまとめました。

5月は、「テレワークリスク向けの保険パッケージ提供」や「iOSにゼロデイ攻撃の脆弱性」など、新型コロナウイルスの影響によるテレワークの推進に関するニュースから、多種多様なニュースが挙げられています。

「自社だけは大丈夫」と思わず、しっかり対策するためにも、サイバーセキュリティの動向を把握しておきましょう。

2020年5月のトップニュース

三井住友海上ら、テレワークリスク向けに保険パッケージ

三井住友海上火災保険とあいおいニッセイ同和損害保険は、テレワークによって生じるリスクを補償する「テレワーク総合保証プラン」を提供開始しました。

すでに提供されている情報漏えいを補償する「サイバー保険」をはじめ、動産総合保険、事業者向け保険などをパッケージ化したものです。

具体的には、次のリスクや事故例に対して補償するものであり、2020年5月から提供されています。

リスク 事故例
情報漏えい セキュリティ対策の不備を狙ったサイバー攻撃によるものや、業務用パソコンを持ち出した際の盗難などによる情報漏えいなど
財物損害 自宅などに持ち出した業務用パソコンやタブレットなどの破損や盗難
使用者賠償責任 テレワークで上司からの在席確認が頻繁にあり、一日中パソコンの前に座っていなければならない恐怖感にとらわれ、精神的ダメージを受けた→精神障害(労災)
雇用慣行賠償責任 オンラインミーティングで映り込んだ部屋の様子を社内で言いふらされ、プライバシーの侵害被害を受けた

テレワークにおけるさまざまなリスクに対する保険パッケージとなっており、テレワークの導入とあわせて検討されてはいかがでしょうか。

参考URL:テレワークリスク向けに保険パッケージ-三井住友海上ら
参考URL:「テレワーク総合プラン」の販売開始について

最新「iOS」にゼロデイ脆弱性

5月20日に最新バージョンとなる「iOS 13.5」「iOS 12.4.7」がリリースされましたが、ゼロデイ攻撃を受ける脆弱性が明らかとなっています。

ゼロデイ攻撃は修正プログラムが提供されるより前に、対象脆弱性を狙う攻撃のことです。今回の脆弱性では、サンドボックスを回避して認証なしに任意のコードが実行可能となる脆弱性が発見されました。

この脆弱性は、「ジェイルブレイク(脱獄)」が可能となる脆弱性であり、ジェイルブレイクツール「unc0ver 5.0.1」が公開されています。最悪の場合、端末を完全に乗っ取られる可能性があるとのこと。

しかし、6月1日(米時間)には修正版となる「iOS 13.5.1」「iPadOS 13.5.1」がリリースされています。6月以降にiOSのバージョンアップを行われていない方は、一度確認してみましょう。

参考URL:最新「iOS」にゼロデイ脆弱性-ジェイルブレイクツールが公開される
参考URL:「iOS 13.5.1」「iPadOS 13.5.1」が公開~脱獄に使われていた致命的な脆弱性が修正

Apple「Xcode」にgitの認証情報が漏えいする脆弱性

先月に引き続き、Apple「Xcode」に関する脆弱性が報告されています。独立行政法人 情報処理推進機構(IPA)と一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は、5月21日にXcodeにgitの認証情報が漏えいする脆弱性が存在すると発表しました。

先月の情報では、「Xcode 11.4.1より以前のバージョン」が対象となっていましたが、5月時点では「Xcode 11.5より以前のバージョン」が対象となっています。Xcodeに内包されたgitが使用するプログラムの脆弱性(CVE-2020-11008)に起因するものであり、gitの認証情報が漏えいする可能性があるとのこと。

JVNでは、Appleが提供する情報をもとに最新版へアップデートするように呼びかけています。

参考URL:JVNVU#94926165 Apple Xcodeにおける脆弱性に対するアップデート

WordPress関連のニュース

WordPpress、17周年を迎える

WordPressは2020年5月27日に17周年を迎えました。2003年5月27日に最初の公式リリースがされてから、さまざまなアップデートを経て今の形となっています。

いまでは、CMSとしてのシェア率は63.5%であり、インターネット上のすべてのWebサイトの37.4%ものシェア率を誇ります。

2005年からWordPressの開発に携わってきたJustin Tadlock氏は「WordPressはすべての人間が共有する最も重要で譲れない権利である『表現の自由』を表しています」とコメントしました。WordPressの技術の進歩はまだ完了しておらず、次の17年間も邁進していくともコメントしています。

参考URL:Happy 17th, WordPress
参考URL:Usage statistics and market share of WordPress

do_action Japan 2020が開催

2020年5月16日から17日にかけて、オンラインチャリティハッカソンのdo_action Japan2020が開催されました。

ハッカソンとは、コンピュータに関する深い知識を駆使することを示す「hack(ハック)」と「marathon(マラソン)」をかけ合わせた造語であり、期間中に開発やアイデアの実現を競うイベントの総称です。「do_action」はWordPressで使われているコードの一部であり、「アクションする」という意味がぴったりだということで、オンラインチャリティハッカソンのイベント名となっています。

do_action Japan2020は非営利団体の運営者を中心に、さまざまな制作ボランティアの方々が2日間限定のサイト制作チームを作り、2日間でWebサイトを構築するイベントです。
「サイトを作るハッカソンを通じて非営利活動の応援をし、サイトの制作側として参加する方たちにもスキルアップ・学びの機会を作る」ことを目的に開催されています。

参考URL:do_action Japan2020

WordPressテーマシステムに必須WordPress/PHPバージョンの表示が導入される

現状のWordPressのテーマシステムでは、必須となるWordPressやPHPのバージョンが表示されません。そのため、ユーザーはテーマをインストールして有効にするまで、テーマがサイトで機能するかどうかを明確に知る方法がなかったのです。

しかし、WordPress 5.5でテーマシステムが変更される予定であり、最小要件として必須WordPressバージョンとPHPバージョンが表示されるようになります。
WordPress 5.5以降では、テーマをインストールする際に最小要件を満たしていないとテーマを有効化することができなくなります。
そのため、テーマ適用時に機能するかどうかを確認する手間が省けるようになり、利便性が向上することになるでしょう。

参考URL:PHP and WordPress Version Checks Coming to WordPress Theme System

セキュリティ関連のニュース

「Movable Type」に複数の脆弱性、アップデートを呼びかけ

5月13日にIPA、JPCERT/CCからシックス・アパート株式会社が提供する「Movable Type」に複数の脆弱性が存在すると発表されました。Movable Typeは、日本ではWordPressと対をなすCMSです。

含まれる脆弱性には次のようなものが存在します。

  • HTML属性値のインジェクションに関する脆弱性(CVR-2020-5574)
  • 複数のクエリ文字列の処理に起因するクロスサイトスクリプティングの脆弱性(CVE-2020-5575)
  • クロスサイトリクエストフォージュリ(CVE-2020-5576)
  • 特定の拡張子を持つファイルをアップロードされる脆弱性(CVR-2020-5577)

これらの脆弱性を狙われると、任意のPHPスクリプトが実行されるなどの攻撃を受ける可能性があるとのこと。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけています。

参考URL:「Movable Type」に複数の脆弱性、アップデートを呼びかけ(JVN)

岐阜県、メール送信ミスにより教員採用試験志願者のメールアドレスが流出

岐阜県で教員採用試験の志願者へ連絡を取るメールで送信ミスがあり、メールアドレスが流出したことを明らかにしました。

5月27日に教員採用試験の出願に必要な書類を提出していない志願者89人に対し、必要書類の提出を促すメールを送信しようとしたところ、操作を誤ってしまったとのことです。
岐阜県では外部へのメール送信時には、メール受信者に他の受信者のメールアドレスが知られないように、「BCC」欄にアドレスを入力して送信するルールでした。しかし、「TO」欄にアドレスを入力して送信してしまったのです。

メール誤送信防止システムも導入されていましたが、14人に対してはシステムの対象外となっており、送信先である89人のメールアドレスが流出することになりました。

同県では翌28日に対象の14人に対して説明と謝罪を行い、誤送信したメールの削除を依頼しています。また、メールアドレスが流出した89人に対しても、報告と謝罪を行いました。

メールの誤送信は、情報漏えいのきっかけとなりやすいものです。常日頃から、メールの誤送信には気をつけましょう。

参考URL:教員採用試験志願者のメアド流出、誤送信対策一部対象外で-岐阜県

経団連事業サービス、不正アクセスで個人情報流出か

セミナーや書籍などを手掛ける経団連事業サービスは、Webサイトが不正アクセスを受け、個人情報が流出した可能性があることを明らかにしました。不正アクセスによってプログラムが改ざんされ、セミナーや書籍の申込者情報が流出した可能性があるとのこと。

今回の不正アクセスでは、1月21日から5月3日までに扱った情報が流出した可能性があります。対象となる個人情報の特定を進めていますが、氏名・住所・電話番号・メールアドレス・組織名などを含む、申込者約500件が被害に遭ったと推測されています。

攻撃を受けたWebサーバは5月27日に利用を停止しており、対象となる申込者には謝罪などの対応を行うとのこと。

参考URL:不正アクセスで個人情報流出か-経団連事業サービス

まとめ

今月はユーザーの立場では対策が必要となる脆弱性などの報告は、さほど多くはありませんでした。しかし、iOS やXcodeなど、対象のOS・ソフトウェアをご利用中の方は必ず対策するようにしましょう。

WordPressは17周年を迎え、次のバージョンではテーマシステムがより使いやすいものにバージョンアップされます。今後もWordPressのアップデート情報には、随時注意を向けることをおすすめします。

もし、WordPressのセキュリティ対策が万全ではないと感じている場合には、まずはWordPress保守・管理のプロにご相談ください。

WordPressサイトの制作・リニューアル等のご相談はこちら

WordPressサイトのハッキングからの復旧・不具合の解消はこちら

土井純也

土井 純也 Twitterアイコン Facebookアイコン

WordPressスペシャリスト・エンジニア
株式会社プレートテクノロジー 取締役
1985年北海道生まれ。200社以上のWordPressサイトの制作を担当し、「wp.support」では一部上場企業を含め、様々なサイトのWordPress保守・セキュリティをサポートしている。

WordPressのプロによる保守サービス

ワードプレスのバージョンアップセキュリティ対策
お悩みではないですか?
「何かが起きる前に!」
WordPressのプロフェッショナル集団が対応します。
サーバー保守にも対応。月額4万円〜
SSL対応、定期バックアップもお任せ下さい。