【2020年8月版】WordPress・セキュリティ関連ニュースまとめ

【2020年8月版】WordPress・セキュリティ関連ニュースまとめ
  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

2020年7月のWordPressやセキュリティに関するニュースをまとめました。
7月は「All in One SEO packにXSS脆弱性発見」や「Emotetの活動再開」などがトピックとしてあげられます。WordPressの最新バージョンに関するニュースも具体性を帯びてきており、セキュリティの動向とあわせて確認しましょう。
今月もセキュリティの動向やWordPressの動向を紹介します。

2020年7月のトップニュース

All in One SEO packにXSS脆弱性発見

WordPressの有名プラグインである「All in One SEO pack」にXSS(クロスサイトスクリプティング)の脆弱性が発見されました。All in One SEO Packは、200万アクティブユーザーの人気プラグインであり、この記事をご覧の方もご利用中の方が多いのではないでしょうか。

XSSはWebサイトに訪問したユーザーに対して、悪意のあるスクリプトを実行させるサイバー攻撃です。悪意のあるスクリプトを実行された結果、ユーザーのアカウント情報の漏えいなどの危険性が考えられるため、早急に対応する必要があります。

All in One SEO Packの脆弱性は、3.6.1以下のバージョンで確認されており、7月15日にリリースされたバージョン3.6.2で問題は解消していますので、最新版へのバージョンアップがお済みでない方は、早急に対応することをおすすめします。

参考:All in One SEO PackにXSSの脆弱性(Wordfence:英語)

5カ月ぶりに「Emotet」が活動再開 – 感染拡大に警戒を

世界中で猛威を奮ったマルウェア「Emotet」が活動を再開しました。Emotetは2020年2月移行は活動を停止していましたが、7月13日から活動を再開していることが確認されたとのこと。

Emotetは、さまざまなマルウェアの感染・拡散を行うマルウェアのプラットフォームとして猛威を奮っており、Emotetに感染することでさまざまなマルウェアへ感染してしまう危険なマルウェアです。

Emotetの主な感染経路はメールであり、活動再開後はメールに添付されたWordファイルのマクロを有効化することでPowerShellが実行され、Emotetの実行ファイルがダウンロードされる仕組みとなっています。

Emotetに感染することで、さまざまなマルウェアに追加感染する危険性があるため、次に挙げる対策を取りましょう。

  • 心当たりのないメールの添付ファイルは開かない
  • Wordファイルの「コンテンツの有効化」をクリックしない
  • 送信者情報はしっかりと確認する
  • セキュリティ対策ソフトを導入・最新化する

Emotetのメールは、送信者を偽って送られてくることも考えられるため、知人・友人などが送信者であっても、しっかりと送信者情報を確認するように気をつけましょう。

また、インターネット経由で送付されたWordファイルは、マクロなどが組み込まれていた場合に「コンテンツの有効化」について確認するダイアログが表示されます。原則、Wordファイルのマクロは利用することが少ないため、メールなどで送付されたWordファイルでは「コンテンツの有効化」を行わない方がよいでしょう。

参考:Emotetが5ヶ月ぶりに活動を再開(Yahoo!JAPANニュース)

予備校事業者サーバーが不正アクセス、資料請求者などの情報3万4,263件が流出か

2020年7月16日に、予備校事業などを展開する株式会社城南進学研究所は、同社が運営する複数のWebページに不正アクセスを受けて、個人情報が流出した疑いがあることを公表しました。

同社は7月11日に不正アクセスの疑いを検知し、当日中に該当サーバーを停止していますが、7月16日時点で判明している個人情報の流出件数は3万4,263件にのぼります。

流出した疑いのある個人情報は、以下のWebサイトに対する資料請求者となっており、「個人の成績情報」「パスワード」「銀行口座」「クレジットカード」などの情報は含まれていないとのこと。

  • 城南予備校
  • 城南予備校DUO
  • 城南コベッツ
  • くぼたのうけん
  • 城南ブレインパーク
  • 城南ルミナ保育園立川
  • 城南進学研究所

今後はシステムのセキュリティ強化及び監視体制、定期的な脆弱性診断などを実施し、再発防止を図ることとしています。

参考:ホームページに対する不正アクセス及びお客様情報の流出の疑いに関するお知らせとお詫び(公式発表資料)

WordPress関連のニュース

WordPress 5.5、Google サイトマップとの統合を発表

先月のニュースでもWordPress5.5で、コア機能としてXMLサイトマップを導入する動きがあることを紹介しましたが、7月に入りGoogleサイトマップとの統合が確実なものとなりました。

WordPress5.5では、「/wp-sitemap.xml」にサイトマップインデックスを公開することとなっており、WordPressサイトが公開しているすべてのサイトマップページのリストを含む、重要なXMLファイルとなっています。

サイトマップインデックスは最大5万のサイトマップを保持でき、単一のサイトマップは最大2,000のエントリを保持できるとのこと。なお、フロントエンドでサイトマップをレンダリングするには、Simple XMLのPHP拡張が必要です。

すでにプラグインなどでXMLサイトマップを公開している場合でも、先月のニュースでお伝えしたとおり問題はないでしょう。気になる方は、公式ページにてサイトマップ機能を完全に無効化する方法も紹介されていますので、そちらを参照してみてはいかがでしょうか。

参考:New XML Sitemaps Functionality in WoprdPress 5.5(英語公式サイト)

WordPress 5.5がネイティブLazy-loadをサポート

WordPress 5.5からは、画像の遅延読み込み機能である「Lazy-load」が標準サポートされます。Lazy-loadは画像の読み込みをスクロールにあわせて行うことで、ページの読み込みを早くするための施策の一つです。

すでに投稿済みの画像に関しても、WordPress 5.5からは自動的にimgタグに「loading=”lazy”」が追加され、Lazy-loadを実現できますが、注意すべきは「『width属性』と『height属性』が追加してあるimgタグに限る」ということです。

width属性とheight属性は、それぞれ画像の横幅・縦幅を指定する属性ですが、imgタグにこの属性が記載されていない場合、WordPress 5.5にバージョンアップしても自動的にLazy-loadは利用できません。

しかし、WordPressの機能である「メディアの追加」で挿入する画像に関しては、デフォルトで両属性が挿入されるようになっていますので、大きな問題にはならないでしょう。

気になる方は、Webサイトに挿入されている画像のimgタグを見直してみてはいかがでしょうか。

参考:Lazy-loading images in 5.5(英語公式サイト)

WordPress 5.5、プラグインとテーマの自動更新機能が追加

WordPress 5.5の正式リリースは8月を予定されていますが、ベータ版はすでに公開されており、利用可能な状態です。ここまでにも、いくつか新しい機能を紹介しましたが、「プラグインとテーマの自動更新機能」についても触れておきましょう。

従来は、WordPress自体のマイナーアップデートがあった際には、自動更新ができるようになっていました。しかし、プラグインやテーマに関しては対象となっておらず、今回のWordPress 5.5でプラグインとテーマの自動更新機能が実装されます。

プラグインとテーマのそれぞれのページで、自動更新の設定が行えるようになっており、デフォルトでは自動更新をしない設定となっているため、自動更新をしたくない方でも安心して利用できるでしょう。

プラグイン・テーマともに個別に自動更新の有無を設定できますので、今後はアップデートの手間を大幅に減らすことにつながるでしょう。定期的なアップデートはセキュリティ対策としても有効であるため、WordPress 5.5で導入されるプラグインとテーマの自動更新機能は、積極的に利用することをおすすめします。

参考:Controlling Plugin and Theme auto-updates UI in WordPress 5.5(英語公式サイト)

セキュリティ関連のニュース

「Chrome 84」をリリース、38件のセキュリティ修正を実施

Googleは米時間7月14日にデスクトップ向け「Google Chrome」の最新版となるChrome 84(84.0.4147.89)を公開しました。今回のアップデートで、アプリのアイコンショートカットがサポートされたり、スマホなどでブラウザを開いているときにスリープを防止する「Wake lock」が実装されたりしていますが、ここではセキュリティ面のアップデートを中心に見ていきましょう。

今回のバージョンアップでは、38件の脆弱性が修正されています。脆弱性の脅威(深刻度)に関する内訳としては次のとおりです。

  • Critical:1件
  • High:7件
  • Medium:8件
  • Low:10件
  • その他:12件

Critical~Lowまでの脆弱性は、共通脆弱性識別子CVEが割り振られているものであり、その他はGoogleの内部監査やソフトウェアテスト(ファジング)によって修正されたものとなっています。

Criticalの脆弱性は、ヒープバッファオーバーフローの脆弱性であり、最悪の場合はコンピュータ全体の制御が奪われる危険性がある脆弱性のため、最新版へ更新されていない方はすぐに更新することをおすすめします。

参考:「Chrome 84」をリリース、38件のセキュリティ修正を実施(Security NEXT)
参考:「Google Chrome 84」が正式公開(窓の杜)

「iOS 13.6」「iPadOS 13.6」が公開 – 脆弱性37件を修正

2020年7月15日に、Apple社は同社が提供するスマートデバイス向けの最新OS「iOS 13.6」「iPadOS 13.6」をリリースしました。今回のセキュリティアップデートでは、複数の項目に対して15日以降に追加されたものも含めて、全37件のセキュリティアップデートが含まれています。

  • オーディオ:2件
  • AVEVideoEncoder:2件
  • Bluletooth:1件
  • ImageIO:4件
  • カーネル:5件
  • メール:2件
  • WebKit:5件
  • Wi-Fi:3件
  • など

カーネルに関する脆弱性から、BluetoothやWi-Fiに関する脆弱性の対策まで行われているため、最新版にアップデートすることをおすすめします。

参考:iOS13.6およびiPadOS13.6のセキュリティコンテンツについて(Apple公式サイト)

「Photoshop」などAdobe複数製品に深刻な脆弱性

Photoshopなどを開発・提供するAdobe Systemsは、複数製品に対してセキュリティアップデートをリリースしました。

製品名 リリース日 優先度
Adobe Creative Cloud 7月14日 2
Adobe Media Encoder 7月14日 3
Adobe Genuine Service 7月14日 3
Adobe ColdFusion 7月14日 2
Adobe Download Manager 7月14日 3
Adobe Bridge 7月21日 3
Adobe Photoshop 7月21日 3
Adobe Prelude 7月21日 3
Adobe Reader Mobile 7月21日 2
Magento 7月28日 2

Windows版のAdobe Photoshopに5件、Adobe Bridgeに3件、Adobe Preludeに4件の域外メモリへアクセスする脆弱性が見つかっており、脆弱性の脅威はCriticalとなっています。そのほかにも、複数の製品でCriticalに該当する脆弱性が確認されているため、お使いの製品がある場合は早めに対応しましょう。

なお、優先度は1~3の三段階で1が最も優先度が高く72時間以内の対応を推奨、2は30日以内、3は過去に標的になったことのない脆弱性であるため、任意のタイミングで対応することを推奨されています。

それぞれの具体的な対象バージョンや、対策方法に関してはAdobe公式サイトを確認ください。

参考:Adobeセキュリティ速報およびセキュリティ情報(Adobe公式サイト)

「Windows DNS Server」の脆弱性、ワーム転用のおそれ

Microsoftは米時間7月14日に、Windows ServerのDNSサーバー機能に深刻な脆弱性「SIGRed」が存在することを報告しました。今回の脆弱性は、Windows DNS Serverに対して、悪意のあるDNS応答によってバッファオーバーフローが発生し、リモートから任意のコードを実行される恐れのある脆弱性です。

実は今回の脆弱性は、17年前の「Windows Server 2003」から存在していたと言われており、イスラエルのセキュリティベンダーであるCheckPoint社によって報告されました。17年もの間見つからなかったことも驚きですが、CheckPoint社の研究チームの能力の高さが伺える事例とも言えるでしょう。

今回の脆弱性はユーザーの操作に依存せず、認証なしにリモートから悪用可能であるため、自己拡散するワームに転用される恐れがあるとのこと。DNSは、インターネットを構成する基本的な役割を持つものであり、Windows DNS Serverは社内でもActive Directoryとの連携で広く用いられています。そのため影響範囲は広く、アメリカでは米国安全保障省が容認できない重大なリスクとして「緊急指令20-03」を発行するほどの脅威として見られています。

今回発見された脆弱性に対しては、7月14日に月例のセキュリティ更新プログラムで対処されているため、早急なアップデートをおすすめします。

参考:「Windows Server」のDNS機能に致命的なリモートコード実行の脆弱性(窓の杜)

まとめ

今月はWordPressに関連する脆弱性から、さまざまな製品の脆弱性の報告が多く見られました。脆弱性を放置すると、思いがけないサイバー攻撃を受けてしまう可能性があるため、早急に対応するよう心がけましょう。

また、8月にはWordPress 5.5がリリースされるため、その詳細も見えてきました。WordPressでWebサイトを構築・運用されている方は、新しくなったWordPressの導入とあわせて、セキュリティ対策も見直してみてはいかがでしょうか。

もし、自社内でのWordPressの保守・セキュリティ対策では不安がある、という場合には、ぜひWordPress保守・管理のプロにご相談ください。

WordPressサイトの制作・リニューアル等のご相談はこちら

WordPressサイトのハッキングからの復旧・不具合の解消はこちら

土井純也

土井 純也 Twitterアイコン Facebookアイコン

WordPressスペシャリスト・エンジニア
株式会社プレートテクノロジー 取締役
1985年北海道生まれ。200社以上のWordPressサイトの制作を担当し、「wp.support」では一部上場企業を含め、様々なサイトのWordPress保守・セキュリティをサポートしている。