WordPress

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は2月6日、「WordPress の脆弱性に関する注意喚起」において、WordPressに遠隔からコンテンツを改竄できる脆弱性が存在すると伝えた。情報処理推進機能(IPA:Information-technology Promotion Agency, Japan)も「WordPress の脆弱性対策について」において、同様の脆弱性に対して注意を呼びかけている。

WordPressの開発元は1月26日(米国時間)、WordPressに複数の脆弱性が存在するとして、それらを修正した「WordPress 4.7.2」を公開した。公開から1週間ほどしてSucuriは、WordPress 4.7.2のリリース時には明らかにしなかったが、WordPress 4.7.2ではRest APIに存在している重大な脆弱性を修正してあると説明。この脆弱性を悪用されると、遠隔から簡単にコンテンツの書き換えができてしまうことから、該当するバージョンを使用している場合は早期にバージョンアップを実施するように呼びかけた。

今回さらにJPCERT/CCやIPAからも同様の脆弱性に対して注意を喚起するメッセージが公開されたことになる。該当する脆弱性を悪用した攻撃がすでに国内で確認されているとしており、該当するバージョンを使用している場合は可能な限り迅速にアップデートを実施することが望まれる。

重大な脆弱性の詳細がプロダクトの公開とともに発表されなかった背景には、危険性が高い脆弱性であるためアップデートが広く実施されるまで公開を控える狙いがあったとされている。WordPressは世界中で最も多く使われているCMSと言われており、シェアの多さからサイバー攻撃の対象としてもよく狙われている。脆弱性を修正したバージョンが公開される頻度もそれなりに高く、常に最新版へアップグレードし続けることが望まれる。