サイバートラスト

サイバートラスト ジャーナル

RSSフィード

WordPress 4.7.0/4.7.1 に重大な脆弱性 ~改ざんされたページの総数が 150 万ページを超える~

2017年02月21日

WordPress(ワードプレス)は、WordPress.org が提供するオープンソースの CMS(コンテンツマネジメントシステム)です。誰でも無料で利用できるため、世界中のホームページで広く利用されています。

この WordPress の脆弱性を突く攻撃によるページの改ざん被害が拡大している問題で、IPA(情報処理推進機構)から注意喚起がされています。

今回、WordPress の「4.7.0」と「4.7.1」 に、REST API の処理に起因する脆弱性が存在することが確認されました。本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上でコンテンツを改ざんされる可能性があります。

本脆弱性は、1 月 26 日に更新された WordPress の最新版―ジョン「4.7.2」ですでに修正されています。

本脆弱性を悪用する攻撃コードが確認されていますので、WordPress の「4.7.0」と「4.7.1」を利用中の Web サイトは、対策済みのバージョンへのアップデートを大至急実施してください。

IPA(情報処理推進機構)「WordPress の脆弱性対策について」


セキュリティ企業の米 Feedjit によると、2017 年 2 月 9 日時点で、すでに改ざんされたページの総数は 150 万を超えている模様で、WordPress の改ざん被害としては過去最大の規模となっています。

ソフトバンクテクノジー株式会社からも、本件について、「WordPress におけるコンテンツインジェクションの脆弱性に関する調査レポート」が報告されています。

ソフトバンクテクノロジー株式会社 WordPress におけるコンテンツインジェクションの脆弱性に関する調査レポート

クラウド型 WAF サービス「サイバートラスト WAF Plus」で脆弱性対策

サイバートラストが提供するクラウド型 WAF サービス「サイバートラスト WAF Plus」では、今回の WordPress 4.7.0/4.7.1 の REST API に起因する脆弱性に対処することが可能です。

WordPress の脆弱性を狙った攻撃の対処方法としては、WordPress 本体およびプラグラインを常に最新のバージョンに保つことが基本となりますが、タイムリーにソフトウェアのアップデート等の対策がおこなえないような状況や事情がある場合は、クラウド型 WAF(Web Application Firewall)の導入を検討することも、ひとつの選択肢となります。

waf.jpg

サイバートラスト WAF Plus の詳細はこちら

サイバートラスト WAF Plus のお問い合わせはこちら

  • 前の記事へ
  • HOME
  • 次の記事へ