狙われた「Word Press」　脆弱性「攻撃コード」への対処法

被害が拡大したわけは・・・

   IPAの発表では、「Word Press」の脆弱性は、開発会社が2017年1月26日に公開した新しいバージョン「4.7.2」で、すでに修正されている。この「4.7.2」をアップデートすれば、「攻撃」されても回避できるとし、IPAは最新バージョンへの更新を推奨している。

   それにしても、なぜ改ざん被害が相次いでいるのだろう――。2月8日、IPAはJ‐CASTニュースの取材に、「1月26日に、『Word Press』が『4.7.2』をリリースした段階で自動更新しておけば、問題はなかったのですが...」と、話を切り出した。

   開発会社は「4.7.2」のリリース時に、脆弱性の修正について明かしておらず、「深刻な脆弱性」を公表したのは2月1日だった。そのため、「脆弱性があることを知らずに、自動更新しなかったユーザーが攻撃を受けたわけです」という。

   「開発会社の説明では、ユーザーが『4.7.2』への更新を安全に進めるために、（公表を）遅らせたとしています。脆弱性の修正をリリースと同時に公表すると、ユーザーが更新しないうちに攻撃コードが出回ってしまう恐れがあるためです」と説明。ユーザーが更新する、その隙をついて攻撃されたということのようだ。

   すでに攻撃コードが出回っていることから、IPAは「改ざんされていないか、確認してから、『4.7.2』への更新などの対処を進める必要があります。また、今回の件を教訓に、今後も最新版が公開された場合には早急にアップデートを実施してください」と、注意を促している。