【注意喚起】WordPressの脆弱性を突いたWebサイトの改ざんについて

WordPressについての脆弱性について注意喚起です。
※ WordPress はホームページやブログを管理するソフトウェアのひとつです。

【対象】本情報はホームページ等作成担当者向け情報になります。
WordPressを使用しているか不明な場合は、構築業者又は保守運用業者にお問合せください。
利用している方は手順に従い、早急に修正バージョンの適用をお願いいたします。

------------------------------------------------------------------------------------------------------------

●概要

• ブログソフトウェアのWordPressに、リモートから管理者権限を窃取され、コンテンツを操作される脆弱性が存在します。
• 今回、この脆弱性に対する既に攻撃コードが出回っており、J-LISによれば、改ざんされるサイトが増え続けているとのことです。
  （特に観光協会関連、教育関連、公立病院関連が集中的に狙われているようです。）

●脅威

• この脆弱性を悪用された場合、攻撃者によってWebサイトを改ざんされたり、マルウェアを蔵置されてマルウェアの配信元として悪用されたりして、様々な被害が発生する可能性があります。

●対処方法
脆弱性を修正したバージョンが本年1月26日に公開されています。サイトの運用にREST APIが必要な場合は、至急、修正バージョンの適用をお願いいたします。

WordPress4.7.2

（回避策）
サイトの運用上、REST API が不要な場合は、無効化することで、本脆弱性の攻撃を受けないことが確認されています。
詳細は、下記の参考情報を御覧の上、構築業者に御相談ください。

（参考情報）
Disable REST API（英文）
https://ja.wordpress.org/plugins/disable-json-api/

ソフトバンクテクノロジー
WordPressにおけるコンテンツインジェクションの脆弱性に関する調査レポート
https://www.softbanktech.jp/information/2017/20170203-01/