7日現在、利用できない状態となっている茨城県立中央病院のホームページ

ホームページの改ざんが相次いでいる問題で独立行政法人・情報処理推進機構(IPA)は6日、ホームページ編集に使われるシステム「ワードプレス」の脆弱性について注意を呼びかけた。すみやかに最新版であるバージョン4.7.2へアップデートするよう警告している。

国内では政府のサイバーセキュリティ戦略本部で副本部長を務める丸川珠代・五輪担当相のホームページが改ざんされたほか、茨城県立中央病院などでも同様の被害が確認され、一時閉鎖に追い込まれたところも。国内では少なくとも50程度のサイトが被害にあったもようで、国外でも被害が広がっている。

ワードプレスの脆弱性を悪用した攻撃のイメージ(出典:IPAホームページ)

IPAによるとホームページの編集権限の認証機能について、ワードプレス4.7.0と4.7.1に漏れがあるなど脆弱性を確認。ここを突いて改ざんが行われたと分析している。ワードプレスは1月26日に修正したバージョンをリリースしているが、2月1日に脆弱性の内容について発表がされた後、バージョンアップしていないサイトへの攻撃が急増したという。

ホームページによってはワードプレスの使用やそのバージョンまで外部から把握できるほか、不具合を恐れて早めのバージョンアップをためらう管理者もいることから、被害が拡大している。

■ワードプレスの脆弱性対策について(IPA)
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html

(了)