昨晩(2017年2月4日)からWordPressを使ったサイトの改竄が相次いでいます。弊社では以前掲載した「改竄されたサイトの一部所有者様にはご連絡を差し上げています」の基準に従って、発見次第随時連絡をしておりますが追いつかない状況です。
原因としましては、WordPressの最新版以前のバージョンにあるコンテンツインジェクション脆弱性を突かれた可能性が高く、実際、改竄されたサイトは全てWordPressのバージョンが最新版になっていませんでした。中には「自動更新機能があるにも関わらず、自動更新機能を停止している」というサイトも見つかっており、セキュリティ意識の低さが露呈しております。
弊社で行っているツイキャス放送「情報セキュリティCAS」では何度も「ソフトウェアを最新に保つことが重要である」と啓蒙しているのですが、皆さんのところになかなか届かないことで心を痛めております。
今回の改竄は愉快犯的な側面が大きいものではありますが、場合によっては閲覧者をウイルス被害に合わせる改竄が行われる可能性もあることから「ソフトウェアを最新に保つ」事で改竄被害にできるだけ遭遇しない努力をすることが、サイト運営者の責任であると言っておきたいところです。