【2020年9月版】WordPress・セキュリティ関連ニュースまとめ

WordPress 5.5がリリース

8月にWordPress5.5がリリースされ、目玉の機能として「XMLサイトマップ」と「Lazy Load」が標準実装されました。XMLサイトマップは、従来プラグインで対応する必要がありましたが、WordPressの標準機能として利用できるようになりました。加えて、Lazy Loadは画像の読み込みを遅延させることでページの表示速度を上げるための技術であり、こちらもプラグインを使わずに利用できるようになっています。

しかし、WordPress5.5ではバグが多数報告されており、9月11日に修正版の5.5.1がリリースされました。バージョンアップの際には、こちらのバージョンを利用するようにしましょう。

WordPress5.5の新機能について詳しく知りたい方は、「WordPress5.5がリリース！注目新機能・その他変更点」を御覧ください。

参考：WordPress5.5の素晴らしい新機能―新リリースの詳細（kinsta）

三越伊勢丹の顧客アカウントが不正アクセス被害、一部カード情報流出か

三越伊勢丹のグループ会社である「株式会社エムアイカード」は、2020年8月5日に三越伊勢丹の顧客アカウントが不正アクセスの被害を受けたことを公表しました。
今回の被害は「リスト型アカウントハッキング（リスト型攻撃）」によるものであり、以下のサイトに不正アクセスされ、個人情報が盗み見られた可能性があるとのこと。

氏名・住所・電話番号・メールアドレス、クレジットカードの有効期限とカード番号下4桁などの情報が閲覧された可能性があります。同社は顧客へパスワードの変更をお願いするとともに、不正アクセスが施行されたIPアドレスからのアクセス遮断、および警察への相談、第三者機関を入れた対応を進めています。

参考：三越伊勢丹WEB会員・Webエムアイカード会員への不正ログインについて（MICARD）

新型コロナ便乗サイバー攻撃、3カ月で40倍

セキュリティ製品の製造・販売を行うチェック・ポイント・ソフトウェア・テクノロジーズ（以降チェックポイント）社は、7月22日に「サイバー攻撃トレンド2020年中間レポート」を発表しました。

このレポートによれば、新型コロナウイルスに関連するフィッシングやマルウェアなどのサイバー攻撃の数は、2020年2月（週5,000件未満）から4月下旬（週20万件超）の3ヶ月で約40倍に増えていることがわかっています。さらに、新型コロナウイルスに関連しないサイバー攻撃も増えており、6月末には全世界で3～4月までと比べて34%も増加しているとのこと。

2020年上半期のマルウェア総合ランキングとしては、Emotet・XMRig・Agent Teslaが挙げられており、内EmotetとAgent Teslaは通常のソフトウェアに偽装するマルウェアである「トロイの木馬」の一種です。ファイルやソフトウェアのダウンロードに関しては、より一層注意するべきと言えます。

新型コロナウイルスによって世界的に混乱が続いていますが、サイバー環境上でも注意が必要であると言えるでしょう。

参考：CYBER ATTACK TRENDS:2020 MID-YEAR REPORT（英語公式）
参考：「サイバー攻撃トレンド2020年中間レポート」を発表（PRTIMES）

Automattic社が「WordPress.com」と「WordPress」の違いを明言

「WordPress.com」と「WordPress（.org）」の違いについて気になったことのある方は多いのではないでしょうか。WordPress.comはアメリカのAutomattic社が提供するWordPressサービスであり、オープンソースのWordPressとは異なるものです。オープンソースのWordPressを入手する場合は「WordPress.org」から入手します。

そんなAutomattic社が自社のプレス向けページを更新しました。内容としてはメディアに対して「AutomatticはWordPress.comというサービスを所有および運用しており、製品名を参照する場合は『.com』を付加してください」というもの。

以前から、WordPress.comとWordPressに関するメディアの記載方法には誤解を生む表現が多く見られており、WordPressのコミュニティ内でも問題視されていました。Automattic社が公式に違いを明言したことで、今後のメディアの取り扱い方も変わるのではないでしょうか。

利用者側としては、WordPress.comとWordPressは別物であることを理解しておけば問題無いでしょう。

参照元：Press（AUTOMATTIC-英語公式）

WordPress 5.6、リリースチームは全員女性に

WordPress5.5が8月にリリースされましたが、次のバージョンとなる5.6は12月8日のリリースが予定されています。そんなWordPress5.6のリリースチームは全員女性になることがわかりました。

WordPress公式サイトでは2020年3月に「2020年の終わりまでにすべての女性を対象とするリリースチームを設けることを目標としている」と発言しており、この発言が実現するものと見られます。女性の社会進出が一般的となって久しい今日ですが、世界的に見ればフェミニズムは浸透しきっているとは言えないでしょう。

WordPressのリリースチームとしては、男女ともに活躍できる社会の実現を目指しての方策なのではないでしょうか。

参考：WordPress 5.6のリリースチームは全員女性に（Capital P）
参考：All-women Release Squad（WordPress英語公式）

WordPress iOSアプリをめぐる開発者とAppleとのトラブルに

8月21日（現地時間）にWordPressの開発者であるマット・マレンウェッグ氏が自身のTwitterで「AppleがWordPressのiOSアプリをロックしたためしばらくアップデートができなかった」という旨のツイートを発信。

iOSアプリのWordPressは、有料プランを含むブログサービスの「WordPress.com」も利用でき、「App内課金以外の購入方法に誘導している」として、Appleからアプリ内課金機能の追加が求められていたのです。

結果としては、アプリからサービス支払いオプションの表示を削除し、無料のスタンドアロンアプリとなったことでアプリ内課金機能の追加が不要となり、解決に至っています。

WordPressのiOSアプリは数年前から公開されているものの、今回指摘が入った理由としては、Apple社が独占禁止法規制当局の調査を受けていることや、ゲーム会社のEpic Gamesとのゴタゴタが挙げられています。

参考：WordPressの開発者、「AppleからアプリにApp内課金機能を追加しないとアプデさせないと通告された」（ITmedia NEWS）
参考：WordPressの開発者、「Appleがアプリ内課金機能追加しなくてもOKにしてくれた」（ITmedia NEWS）

PHPのセキュリティアップデートが公開

2020年8月6日に、PHPの開発チームはセキュリティに関する問題へ対応した「PHP 7.3.21」と「7.2.33」をリリースしました。このアップデートは「phar_parse_zipfile」における脆弱性「CVE-2020-7068」への対処となっていますが、9月時点では7.3のバージョンは「7.3.22」が最新となっていますので、こちらを利用するとよいでしょう。

加えて、7.4も「7.4.10」がリリースされており、最新バージョンを利用することをおすすめします。なお、バージョン7.1以前はサポートが終了しており、7.2も今年の11月末でセキュリティサポートが終了します。7.2以前のバージョンをお使いの方は、早めに7.3以降のバージョンへ切り替えましょう。

WordPressで利用されるPHPについて、もっと詳しく知りたい方は「PHPとは？WordPressでの使われ方」もご参照ください。PHPの各バージョンにおけるサポート終了日もまとめています。

参考：php.net（英語公式）

IPA、情報セキュリティ10大脅威2020を発表。個人向けの対策資料を公開。

独立行政法人情報処理推進機構（IPA）が毎年発表している「情報セキュリティ10大脅威」の2020年版が公開されました。そのなかでも、今回は個人版について見ていきましょう。脅威のランキングとしては次のとおりとなっています。

1位の「スマホ決済の不正利用」に関しては、2019年10月の消費税増税に伴い2020年6月末まで実施された「キャッシュレス・ポイント還元事業」によるキャッシュレス化が進んだことが要因と言えるでしょう。

昨年と比べて現在はスマホ決済を利用する人口は増えており、不正利用のリスクが高まったとみられます。スマホ決済は非常に便利ですが、不正利用される可能性も十分に考慮した上で利用しなければなりません。

IPAからはスマホ決済の不正利用の対策として、「『2要素認証』や『3Dセキュア』を利用する」、「パスワードの使い回しをしない」といった対策方法が挙げられています。詳細に関しては一般利用者向け資料が公開されていますので、そちらをご参照ください。

参考：情報セキュリティ10大脅威2020（IPA）

三菱重工、在宅勤務でマルウェア感染―従業員情報の流出可能性

2020年8月7日に三菱重工株式会社は、グループ会社（名古屋地区）のサーバーが不正アクセスを受けたことを公表しました。

ことの発端は4月29日に在宅勤務を行っていた従業員が社内パソコンで社内ネットワークを経由せずに外部ネットワークに接続し、SNSを利用した際にマルウェアをダウンロードしてしまったことです。社用パソコンがマルウェアに感染し、該当パソコンを社内ネットワークに接続したことで感染が広がりました。

同社の発表によれば「機密性の高い技術情報、取引先に係る重要な情報の流出はない」とのことですが、従業員の氏名やメールアドレス、サーバー設定などが流出した可能性があります。同社はローカル特権アカウントのパスワードを変更し、社内の監視体制等を一層強化することで再発防止に努めることとしています。

新型コロナウイルスの影響によって、テレワークによる在宅勤務なども増えてきていますが、社用パソコンは個人のパソコンとは接続するネットワークも異なるものです。安易にSNSなどの個人利用を行わないように、情報リテラシーについて今一度考えるべきと言えるでしょう。

参考：当社グループ名古屋地区のネットワークに対する第三者からの不正アクセスに係る件（三菱重工）