ニュース
「WordPressのアップデートは大至急」 攻撃発生でIPAが注意喚起
Webサイトをマルウェア配布に悪用するために脆弱性が悪用される恐れがあることから、コンテンツ管理でユーザーの多いWordPressの更新を急いで適用してほしいとしている。
情報処理推進機構(IPA)は2月6日、Webサイトのコンテンツなどを管理するソフトウェア「WordPress」のユーザーに対して、最新版へ大至急アップデートするよう呼び掛けた。
開発元のWordPress.orgは、1月26日に最新版の「WordPress 4.7.2」をリリースした。2月1日に同バージョンでのセキュリティ情報を公開し、解決した複数の脆弱性のうちWordPress REST APIに存在する深刻な脆弱性については、悪用された場合に、認証を受けないユーザーがWebサイトのコンテンツやページを改ざんできてしまう恐れがあると説明。脆弱性の影響は、WordPress 4.7.1までのバージョンに及ぶ。
この情報の公開時点では、脆弱性を悪用する攻撃は確認されていなかったものの、IPAによれば、脆弱性を悪用する攻撃コードが確認されているという。
2月2日には日本サイバー犯罪対策センター(JC3)とセキュリティ各社が、Webサイト改ざん攻撃に対する注意を呼び掛けたばかり。ラックは、WordPressなどのコンテンツ管理システムの脆弱性が攻撃に悪用される恐れがあると解説している。Webサイトが改ざんされると、閲覧者がマルウェア配布サイトに誘導され、マルウェアに感染するなどの恐れがある。
関連記事
- WordPress、更新版で深刻な脆弱性を修正 安全確保のため情報公開を先送り
WordPressは1月26日に更新版の4.7.2が公開されたが、この時点では意図的に深刻な脆弱性の存在を明らかにしていなかった。 - Web改ざん攻撃に変化、ランサムウェア配布などの温床に
Webサイト閲覧者をマルウェアに感染させる改ざん攻撃では、攻撃者が使うツールに変化がみられるという。セキュリティ機関ではWebサイト運営者に脆弱性対策などの取り組みを求めている。 - WordPressやJoomlaサイトの改ざん相次ぐ、ランサムウェアへ誘導
改ざんされたWordPressサイトやJoomlaサイトをユーザーが閲覧すると、悪質なWebサイトへリダイレクトされ、ランサムウェアの「TeslaCrypt」に感染する恐れがある。 - IPA、Webサイトの脆弱性点検を呼び掛け 中国サイトに約400件の情報登録
SQLインジェクションの脆弱性が存在する約400サイトの情報が中国のポータルサイトに登録されていたといい、悪用の恐れもあることから緊急点検や改修の実施を呼び掛けている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.