【2020年7月版】WordPress・セキュリティ関連ニュースまとめ

WordPress5.4.2がリリース

2020年6月11日に、WordPressの最新バージョン「5.4.2」がリリースされました。今回のバージョンアップには、23件のバグ修正と拡張・6件のセキュリティ修正が含まれています。

具体的には、クロスサイトスクリプティング（XSS）に関する脆弱性の修正や、パスワードで保護された投稿やページのコメントが権限のない場合でも表示されてしまう問題の修正が含まれます。

WordPress5.4.2は、WordPressのダッシュボードからすぐに更新することが可能です。セキュリティに関する修正内容も含まれているため、早い段階でのバージョンアップを検討してはいかがでしょうか。

参考：WordPress 5.4.2 セキュリティとメンテナンスのリリース（公式情報：日本語訳）

テレワーク利用の大企業、80.9%がリスク懸念も対策意識は17.8％にとどまる

新型コロナウイルスの影響により、多くの企業でテレワークの導入が進んでいます。しかし、パロアルトネットワークス社のテレワークに関する調査では、企業におけるテレワーク導入のリスク懸念とリスク対策意識の乖離が目立つ結果となりました。同調査は、年間売上高500億円以上かつ従業員500人以上の国内企業を対象としており、該当企業の意思決定者約456人に対して行われたものです。

調査結果によれば、「サイバーリスクの懸念がある」との回答は80.9%であるのに対して、「対策が不十分」と回答した企業は17.8%と、サイバーリスクの認知度に対して、当事者意識の低さが浮き彫りになる結果となりました。

また、テレワークにおけるセキュリティに関する懸念としては、「業務データの情報漏えい」「在宅時のインターネット環境のセキュリティ」がともに40%以上を占めています。このことから、企業のテレワークにおけるセキュリティ上の課題が浮かび上がった形となっています。

そのほかに発生した問題・課題としては、「通信の遅さや重さ」が56.7%と最も高く、テレワークにおけるアクセス環境の整備も課題として挙げられました。

参考：新型コロナ対策におけるテレワークの実態（パロアルトネットワークス株式会社）

コロナ禍の医療機関に付け入るサイバー攻撃

新型コロナウイルスの感染は世界規模で拡大しており、各国で混乱を引き起こしています。そんな混乱状況を悪意のある第三者は見逃しません。

新型コロナウイルスによって医療機関は窮地に追い込まれている中、欧州最大の民間病院運営会社「Fresenius Group」の事例では、そこに追い打ちをかけるようにサイバー攻撃を受けて社内のコンピュータが使えなくなりました。

今回の攻撃では、ランサムウェアと呼ばれるコンピュータウイルス（マルウェア）の一種に感染させられるサイバー攻撃を受けたのです。
ランサムウェアとは、システムの重要ファイルなどを暗号化して利用できなくし、重要ファイルを人質として暗号化を解除するために身代金を要求するマルウェアのことを表します。

今回の事例では、その後の対応は報告されていませんが、同社は以前にもマルウェアに感染して150万ドル（約1億6,000万円）を支払ったことがあるとのこと。

このようなサイバー攻撃は、医療機関だけが狙われているわけでありません。製薬会社や医療研究機関、地方自治体なども対象であり、一般企業においてもターゲットとなる可能性は大いにあります。

日本においても、マスクの注文や発送の連絡を装ったスパムメールや、公共機関からの通知を装った詐欺メールが複数報告されています。他人事と思わず、常日頃からITシステムのセキュリティ対策を欠かさないようにしましょう。

参考：コロナ禍に付け入るサイバー攻撃（ITmedia NEWS）

WordPress 5.5 サイトマップ導入の動きが加速

WordPressの次バージョンとなる5.5で、コア機能としてXMLサイトマップを導入する動きが加速しています。現在のWordPressでは、XMLサイトマップは自動的に生成されません。

XMLサイトマップはGoogleなどの検索エンジンに対して、Webサイトのコンテンツ構成を伝えるためのファイルであり、WordPressのコミュニティにおいても、WordPressのコア機能としてXMLサイトマップの生成は求められています。現在WordPressをご利用中の方は、XMLサイトマップの生成のために「Google XML Sitemaps」などのプラグインを利用していることが多いでしょう。

サイトマップ導入の動きはまだ決定の段階ではありませんが、8月リリースのWordPress5.5での導入が予定されています。

次のバージョンでXMLサイトマップ機能が搭載された場合、Google XML SitemapsのようなプラグインとWordPressのコア機能の2つのサイトマップが公開される可能性が考えられますが、GoogleのエンジニアであるPascal Birchler氏は「2つのサイトマップが公開されていても、サイトの発見可能性に悪影響を与えることはない」とコメントしました。

ユーザーにとっては、プラグインとコア機能でXMLサイトマップの生成を選択できるようになるため、利便性が増すことが予想されます。

参考：WordPress 5.5 to Include Extensible Core Sitemaps（WordPress Tavern：英文）

WordCamp Asia 2021が1月開催を保留に

新型コロナウイルスの影響で中止となったWordCamp Asiaは、翌年2021年1月の開催を予定していましたが、現状を考慮して開催計画を白紙に戻すこととなりました。
WordCampはボランティアによって運営されるWordPressの大規模イベントです。2006年以降、世界中の76都市・65か国・6大陸で1,080回の開催実績があります。

WordCamp Asia 2021はタイのバンコクで開催予定でしたが、未だ新型コロナウイルスの影響を受け続けており、タイ国内の封鎖は緩和され始めていますが、ほとんどの国際線の到着は禁止されているため今後の見通しも立っていません。

開催計画の白紙化は発表されましたが、開催の中止自体は宣言されておらず、今後の状況によって決めるとのこと。新型コロナウイルスの影響に鑑みながら、新しい日程を選ぶこととしており、開催される場合はイベントの6か月前に通知される予定です。

参考：WordCamp Asia Dates and Team Updates（WCAsia）

WordPress.comで「.jp」ドメインが取得可能に

2020年6月25日から、WordPress.comで「.jp」ドメインが利用可能になりました。すでにWordPress.comでサイトをお持ちの方は、別途カスタムドメインを登録可能です。
注意点として、WordPress.comの有料プランをご利用中の方は、1年目のドメイン利用料は無料となりますが、2年目以降は有料プラン料金とあわせてドメイン更新料が必要となります。

なお、こちらのニュースはWordPress.comでの話であり、WordPress.orgとは別物です。両者を混同してしまう方も少なくありませんので、簡単に補足しておきます。

WordPress.comは、自身でサーバーを用意したりする必要がありません。あくまでも、ブログサービスとして提供されているものです。一般的にオープンソースのWordPressを使ってブログを作成する場合は、WordPress.orgが対象となっていることを覚えておきましょう。

参考：WordPress.com日本語ブログ（公式）

Zoomの偽インストーラー流通、バックドアやボットネット混入

セキュリティ関連製品の開発・販売を行うTrendMicro社から、Zoomの偽インストーラーによるセキュリティ脅威に関する報告が公開されています。
TrendMicroが2020年6月23日に公開した内容によれば、マルウェアのコードを含むZoomの偽インストーラーを2種類発見したとのことです。一つ目は、サイバー犯罪者がリモートでコンピュータを操作するためのバックドアを作成するマルウェアをインストールするもの。二つ目は、「Devil Shadow」と呼ばれるボットをインストールするものです。

どちらの偽インストーラーも、最終的には正規のZoomをインストールするため、ユーザーはマルウェアに感染したことに気付きにくくなっています。しかし、偽インストーラーによってマルウェアに感染してしまうと、リモートでコンピュータを操作されたり、他者へのサイバー攻撃の踏み台にされたりする可能性があるのです。

どちらも不審なWebサイトで配布されていたものであり、TrendMicro社はZoom公式ダウンロードセンターなどの正規サイトからインストーラーを入手するように注意を呼びかけています。

参考：トレンドマイクロセキュリティブログ（TrendMicro公式）

カメラのキタムラ、パスワードリスト型攻撃で顧客情報最大40万件流出か

カメラのキタムラが2020年4月4日～5月27日にかけて、なりすましによる不正アクセスが行われていたことを6月15日に公表しました。
同件ではメールアドレス・パスワードを使って、不正アクセスした第三者に顧客情報を閲覧された可能性があるとのこと。不正アクセスによって流出した可能性がある情報は次の通りで、最大で約40万件が流出した可能性があると言われています。

• 氏名
• ふりがな
• 郵便番号
• 住所（届け先）
• 生年月日
• 電話番号
• 性別
• メールアドレス
• ニックネーム
• 利用中の店舗最大4店
• 注文履歴
• 保有Tポイント残高

カメラのキタムラでは、不正ログインされたアカウントのログインパスワードを初期化し、対象ユーザーに対して、メールでの注意喚起とパスワード再設定を促しているとのこと。また、不正アクセス元のIPアドレスからのアクセス監視を強化しています。

他サービスへの二次被害を防ぐため、IDとパスワードの使い回しをしないように呼びかけています。このような事例もあるため、パスワードを使いまわしている方は一度確認してみてはいかがでしょうか。

参考：「カメラのキタムラ ネットショップ」への“なりすまし”による不正アクセス発生について（カメラのキタムラ公式）

株式会社アールティ、不正アクセスでサイト改ざん、訪問者が無関係のページへ

最先端のAI・ロボティクスの開発事業などを行う株式会社アールティが、2020年6月9日に不正アクセスを受けたことを公表しています。
不正アクセスによって同社のWebサイトが改ざんされ、第三者のWebサイトへと転送されるようになっていたとのこと。6月11日には復旧を完了しており、現在では正常に閲覧可能です。

同社ではWebショップを運営していますが、Webショップのサーバーは攻撃を受けたサーバーとは異なるため、個人情報の流出はありませんでした。株式会社アールティでは、管理体制を見直すとともに、セキュリティ強化対策を講じて再発防止に努めることとしています。

同社のコーポレートサイトはWordPressで作成されており、WordPressでWebサイトを構築されている方は他人事ではないと意識したほうがよいでしょう。バージョンアップの対応など、基本的なセキュリティ対策をしないと、あなたのWebサイトが標的になる可能性も考えられるため、不正アクセスに関するセキュリティ対策なども見直してみてはいかがでしょうか。

参考：当社Webサイトへの不正アクセスのご報告（RT CORPORATION）