被害が拡大したわけは・・・
IPAの発表では、「Word Press」の脆弱性は、開発会社が2017年1月26日に公開した新しいバージョン「4.7.2」で、すでに修正されている。この「4.7.2」をアップデートすれば、「攻撃」されても回避できるとし、IPAは最新バージョンへの更新を推奨している。
それにしても、なぜ改ざん被害が相次いでいるのだろう――。2月8日、IPAはJ‐CASTニュースの取材に、「1月26日に、『Word Press』が『4.7.2』をリリースした段階で自動更新しておけば、問題はなかったのですが...」と、話を切り出した。
開発会社は「4.7.2」のリリース時に、脆弱性の修正について明かしておらず、「深刻な脆弱性」を公表したのは2月1日だった。そのため、「脆弱性があることを知らずに、自動更新しなかったユーザーが攻撃を受けたわけです」という。
「開発会社の説明では、ユーザーが『4.7.2』への更新を安全に進めるために、(公表を)遅らせたとしています。脆弱性の修正をリリースと同時に公表すると、ユーザーが更新しないうちに攻撃コードが出回ってしまう恐れがあるためです」と説明。ユーザーが更新する、その隙をついて攻撃されたということのようだ。
すでに攻撃コードが出回っていることから、IPAは「改ざんされていないか、確認してから、『4.7.2』への更新などの対処を進める必要があります。また、今回の件を教訓に、今後も最新版が公開された場合には早急にアップデートを実施してください」と、注意を促している。