【緊急連絡】WordPressの複数のプラグインの脆弱性を悪用した攻撃に関 する注意喚起190424

東京都より、WordPressのプラグインに関する注意喚起がありました。

※WordPressとは、ホームページやブログを管理するソフトウェアのひとつです。

【対象】
　＜システム担当者、HP及びブログの管理者＞が対象となります。
　WordPressを使用しているか不明な場合は、構築業者又は保守運用業者にお問合せください。

●概要
・WordPressの機能拡張するための多数のプラグインにおいて脆弱性及び脆弱性を悪用した攻撃の
　実証コードが公開されています。
　※すでに重要インフラ事業者等のWebサイトが攻撃された事例が確認されています。
・今後これら脆弱性を狙った攻撃が増加する懸念があるとNISC（内閣府サイバーセキュリティセンター）
　より、情報が入りました。

●対処方法
　・WordPressプラグインを含め、使用状況及び使用バージョンを調査する。
　・脆弱性が発見されているWordPressプラグイン及びバージョンを使用している場合は各プラグイン
　　の提供サイトで、脆弱性を修正したバージョンの有無を確認し、提供されている場合は適用する。
　・脆弱性を修正したバージョンが提供されていない場合や直ちに適用できない場合は、リスクに
　　応じて当該プラグインのアンインストールや無効化を検討する。
　　なお、アンインストールや無効化が困難な場合は、WAF(Web Application Firewall)等による
　　回避策の検討も考慮する。

●事例：本年３月以降に脆弱性が公開されたWordPressプラグインの例
　・Yuzo Related Posts 5.12.91以前
　・Visual CSS Style Editor（別名Yellow pencil visual theme customizer）7.1.9以前
　・Easy WP SMTP 1.3.9以前
　・Social Warfare 3.5.2以前
　※4月10日時点の情報です。

10連休には監視の目も届かなくなるケースもあるかと思います。
Wordpressを御利用されているサイト管理者の皆様は、早急に御確認・御対応いただきますよう
お願いいたします。