WordPress4.7.0と4.7.1に投稿内容を乗っ取られてしまう脆弱性があった、すぐに最新版の4.7.2にアップデートしよう

IPA（独立行政法人 情報処理推進機構）は、情報セキュリティのページでWordPressの脆弱性を報じている。
内容としては「旧バージョンのWordPressでは投稿内容を乗っ取られてしまう恐れがあるため早急に最新版にアップデートしてください」というもの。
該当するWordPressのバージョンは4.7.0と4.7.1で、最新版の4.7.2にアップデートすれば解決するようである。

WordPress4.7.0と4.7.1に脆弱性

WordPress利用サイトには１月27日ころに4.7.2に自動アップデートしていたWEBサイトもあるが、問題のバージョンのままになっているWEBサイトもあった。念のため、WordPressを利用している場合はバージョンを確認し、4.7.0か4.7.1の場合は4.7.2にアップデートしよう。

IPAの警告

以下はIPAのWEBサイトより引用
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html

概要

WordPress.org が提供する WordPress は、オープンソースのCMS（コンテンツマネジメントシステム）です。
WordPress には、REST API の処理に起因する脆弱性が存在します。

本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上でコンテンツを改ざんされる可能性があります。

本脆弱性を悪用する攻撃コードが確認されていますので、対策済みのバージョンへのアップデートを大至急実施してください。

開発者は本脆弱性を 1 月 26 日に更新された「4.7.2」で修正しましたが、利用者の安全を確保するため、脆弱性の内容については 2 月 1 日まで公開を遅らせていたとのことです。今回のケースを教訓に、今後も最新版が公開された場合は早急にアップデートを実施してください。

図：脆弱性を悪用した攻撃のイメージ

影響を受けるバージョン

• WordPress 4.7.0 から WordPress 4.7.1

対策

脆弱性の解消 – アップデートする

開発者が脆弱性を修正した最新版を公開していますのでアップデートを実施してください。

WordPress 4.7.2 Security Release
https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/

また、対策の際には下記レポートもご利用いただければ幸いです。

IPAテクニカルウォッチ「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」
https://www.ipa.go.jp/security/technicalwatch/20160928-1.html

参考情報

• Disclosure of Additional Security Fix in WordPress 4.7.2
  
  Disclosure of Additional Security Fix in WordPress 4.7.2

  WordPress 4.7.2 was released last Thursday, January 26th. If you have not already updated, please do so immediately. In addition to the three security vulnerabilities mentioned in the original rele…

  make.wordpress.org
• Content Injection Vulnerability in WordPress 4.7 and 4.7.1 – Sucuri Blog
  
  Content Injection Vulnerability in WordPress

  Technical details of the WordPress privilege escalation vulnerability in the REST API calls of WordPress 4.7 and 4.7.1, as discovered by our research team.

  blog.sucuri.net
• WordPress 4.7.1 の権限昇格脆弱性について検証した
  
  WordPress 4.7.1 の権限昇格脆弱性について検証した

  エグゼクティブサマリ WordPress 4.7と4.7.1のREST APIに、認証を回避してコンテンツを書き換えられる脆弱性が存在する。攻撃は極めて容易で、その影響は任意コンテンツの書き換えであるため、重大な結果を及ぼす。対策はWordPressの最新版にバージョンアップす...

  blog.tokumaru.org
• WordPressにおけるコンテンツインジェクションの脆弱性に関する調査レポート
  
  https://www.softbanktech.jp/information/2017/20170203-01/?sid=topsld_rp_170203

  www.softbanktech.jp
• WordPress の脆弱性に関する注意喚起
  
  WordPress の脆弱性に関する注意喚起

  www.jpcert.or.jp

また、レンタルサーバ運営会社からも緊急の案内メールがきていた。
その概要は以下のとおりである。

【緊急】WordPressの脆弱性に関する注意喚起

お客様 各位

平素は、弊社サーバーをご利用いただき、誠にありがとうございます。

さて、2017年2月4日夜頃より、WordPress の脆弱性を悪用した改ざん被害
が多数報告されております。

WordPress 4.7.0、4.7.1 をお使いのお客様は、早急にバージョン 4.7.2
にバージョンアップしていただくと共に、改ざん被害を受けていないか、
サイトの全てのページをご確認いただきますよう、お願いいたします。

また、今後とも安全なWebサイト運営のために、WordPress に限らず、各種
CMS をお使いのお客様は、必ず最新バージョンを維持していただきますよ
う、お願いいたします。

以上、何卒よろしくお願い申し上げます。

－ 記 －

<対象 WordPress バージョン>
WordPress 4.7.0、4.7.1

<影響>
脆弱性を突かれてサイトの改ざんが行われてしまう

<対処法>
4.7.2(2017/1/26リリース)へのバージョンアップ

<参考情報>
WordPress 4.7.2 リリース情報（※ 2017年1月26日に公開）
https://ja.wordpress.org/2017/01/27/wordpress-4-7-2-security-release/
WordPress の脆弱性対策について
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html

遠田幹雄（とおだみきお）

この記事を書いた遠田幹雄は中小企業診断士です

遠田幹雄は経営コンサルティング企業の株式会社ドモドモコーポレーション代表取締役。石川県かほく市に本社があり金沢市を中心とした北陸三県を主な活動エリアとする経営コンサルタントです。

小規模事業者や中小企業を対象として、経営戦略立案とその後の実行支援、商品開発、販路拡大、マーケティング、ブランド構築等に係る総合的なコンサルティング活動を展開しています。実際にはWEBマーケティングやIT系のご依頼が多いです。

民民での直接契約を中心としていますが、商工三団体などの支援機関が主催するセミナー講師を年間数十回担当したり、支援機関の専門家派遣や中小企業基盤整備機構の経営窓口相談に対応したりもしています。

保有資格：中小企業診断士、情報処理技術者など

会社概要およびプロフィールは株式会社ドモドモコーポレーションの会社案内にて紹介していますので興味ある方はご覧ください。

お問い合わせは電話ではなくお問い合わせフォームからメールにておねがいします。新規の電話番号からの電話は受信しないことにしていますのでご了承ください。

【反応していただけると喜びます（笑）】

記事内容が役にたったとか共感したとかで、なにか反応をしたいという場合はTwitterやフェイスブックなどのSNSで反応いただけるとうれしいです。

遠田幹雄が利用しているSNSは以下のとおりです。

facebook　https://www.facebook.com/tohdamikio
ツイッター　https://twitter.com/tohdamikio
LINE　https://lin.ee/igN7saM
チャットワーク　https://www.chatwork.com/tohda

また、投げ銭システムも用意しましたのでお気持ちがあればクレジット決済などでもお支払いいただけます。
※投げ銭はデジタルコンテンツ購入という通販のしくみにしました。
※投げ銭は100円からOKです。シャレですので笑ってください（笑）