SEO対策、WEBサイト(ホームページ)の作り方、そして時々柴犬と愛媛県

スポンサーリンク

ハッキング被害拡大中 WordPressに脆弱性

wordpress

WordPress4.7.0、4.71のバージョンは至急アップデートを

普段WordPressのバージョンやテーマ、プラグインなどのアップデートに関してはさほど無関心な僕なんですが、普段営業メールなんかを送ってこないロリポップから注意喚起のメールが来てたり、はてなブックマークなんかでもすでに6万を超えるサイトがハッキングされたということで、今回は取り上げることにしました。

 



 

調べてみると、WordPressの公式ブログでもこの件についてアナウンスが行われていますが、どうも最近アップデートされたばかりのバージョン4.7.0と4.7.1に問題があるようでXSS(クロスサイトスクリプティング)などに脆弱性が少なくとも三点あるようですね。

XSS以外については知識不足で何言ってるのかよく分かりませんでした(笑)が、これ以前のバージョンについては大丈夫(と言っても今回の手法でハッキングは行えないだけ)みたいなのですが、一回アップデートしたからしばらく大丈夫かなと僕みたいに考えてしまう人も多いと思います。

このバージョンを使っている方は、至急最新版へのアップデートを行いましょう。

以下はWordPressの公式アナウンスです。

WordPress 4.7.2 セキュリティリリース

この他にも

WordPressの脆弱性突く攻撃が激増、6万以上のWebサイトで改ざん被害

 

と取り上げられています。

 

過去にはGumblar(ガンブラー)という強力ウイルスも

今回のハッキング被害について具体的にどういった手法でどういった被害が出ているか、詳細をレポートしている日本語のサイトが少ない(相変わらず海外のサイトのソースを翻訳しているだけのサイトが多い)ので詳細は分からないのですが、過去にはGumblar(ガンブラー)という改ざんウイルスが一時期話題となり日本のWEB業界にも被害を及ぼしました。

これと同じタイプではないとは思いますが、ちょっとだけこのGumblar(ガンブラー)というウイルスを紹介させてもらいますと、このウイルスはWordPressとは直接は関係ないのですが、内容としてはWEBサイトを閲覧するだけでウイルスに感染するといった類のもので、このウイルスの何が質(たち)が悪かったかというと、FFFTPなどのソフト上で管理しているWEBサイト全部に感染用の数行のソースを自動的に入れこむもので、見るだけで感染するということで鼠算式に被害が拡大しました。

感染したサイトのHTMLを見るとすべてに同じソースが書き込まれていましたね。

だから、一般の方はほぼ被害なかったというか気付きにくかったんですが、FFFTPなんかのソフトを入れているホームページ制作会社なんかは被害甚大、僕が当時いた制作会社も一部被害受けて、お詫び&対策など少し大変でしたね。

この話の面白かったところは、その会社の感染源はみなさんもしっているような食品会社大手(ただここも二次被害だったんでしょうが)なんですが、当時請け負っていた会社さんのサイト作りの参考のためにうちの社長が自宅でそのサイトをみてウイルス感染し、自分のFFFTPに登録していたサイトに全部感染してしまったんですよね。

感染元は社長だったわけです(笑)

ただ、会社のほうで管理していたサイトのほうは僕およびデザイナーの人がウイルスソフトのavastがピコーンって反応してなんかおかしいぞということで、すぐに違和感に気づいて検索なりして調べて原因に気づいたんで被害は大きくはならなかったんですよね。

その人も比較的ウイルスなんかには敏感な人だったんでよくぞ気付いたなとは思いますが、当時社長は平謝り、僕らはよく気付いたねと褒められただけでしたが、オイオイ会社倒産ものだぞと呆れたのはよく覚えてますね。

ちなみにこの社長はWEBに関する知識はあまりない営業大好きタイプの人(意外と業界にはこういった人が多い)tだったのですが、幸いにして人の言うことに対して聞く耳をもつ人だったので、対応については僕が進言した通り”ネガティブな情報はなるべく早く伝えたほうがいい”ということで、先手をうって連絡することで、お客さんも何かよく分からないうちに沈静化し炎上することなく対処できました。(ただ、当時クライアントにばれる前に修正して何事もなく乗り切った会社も多数あったでしょうね)

 



 

と、話は横道にそれましたが、過去に簡単に閲覧するだけで感染するようなウイルスがあったので、同種のウイルスを作ることは簡単だと思いますし、バックドアなりを作るものだとかなりやばいと思います。

今ではFFFTPもマスターパスワードなどを導入して対策(このGumblar(ガンブラー)事件で導入されました)はしていますが、感染してからは手遅れですので、WordPressのアップデートはこまめに行いましょう。

まぁWordPressとは関係ないこんな話を持ち出したかというと、WEBで感染するようなウイルスは怖いですよということです。(ま、あと字数稼ぎもあるけど・・・)

 

みなさんこの記事が役にたったらたまには下のSNSボタンをポチっとおしましょうね(笑)

8年ぐらい前のちょっとした昔話でした。


スポンサーサイト

タグ:

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)