「Jetpack」は多彩な機能が人気のWordPressプラグイン。しかし、2012年以来、深刻なセキュリティーバグが存在していたことが発覚。使用されている方はアップデートなどの対応を早急に行う必要があります。
バグの内容
開発元の発表によると、バグは開発元の内部調査で見つかりました。
見つかったバグは攻撃者がサイトにアクセスして自由に投稿することを可能にする深刻なものです。
権限の与えられていないユーザーが、本来の与えられるべきレベル以上のパーミッションを得ることによってこのようなことが起きるそうです。他の種類の攻撃も増える可能性があるのとのこと。
おまけに、このバグを突かれて攻撃を許したかどうかは、すぐにはわかりません。
ユーザーがサイトから締め出されたり、変なメッセージが現れたりしない限り気付かないそうです。
このバグは2012年10月にリリースされたJetpack 1.9から今日に至るまで存在し続けているというのですから、少し怖くなります。
開発もとの内部調査によれば、この弱点を突かれて不正なアクセスが起こったという証拠はないそうですが、攻撃されてもとても気付きにくいのであれば、安心なんて出来ません。
大急ぎでアップデートする必要
バグの存在の公開は、利用者に対する親切な警告であると同時に、世界中のクラッカーたちに対するJetpack攻撃のためのヒントを教えることでもあります。
この穴を突かれてクラッキングされるのは時間の問題です。
完全に安全を確保するには、Jetpackを最新バージョン2.9.3にアップデートするしかありません。
また、Jetpackをいつまでも最新バージョンにアップデートしないでいると、少なくともいくつかのサービスは使えなくなります。
開発元は、開発元自身の安全を確保するために、Jetpackの古いバージョンをいつまでも使っているサイトをJetpackのサービスから遮断する旨をアナウンスしています。
開発元自身の安全を保つために遮断するって…よほど深刻な脆弱性なんですね。
念のため管理サイトを全てチェックすべし
今回見つかった脆弱性というのは、まだ被害が確認されていないものの、潜在的にかなり大きな脅威があるもののようです。
自分のサイト顧客のサイトを問わず、管理する全てのサイトについて、Jetpackを使っていないかどうか確認する必要があります。
もし使っているなら、それを最新バージョンにアップデートすることこそ、最優先で取り組むべき仕事です。
自動的にアップデートされて下記バージョンに更新されているなら安心
とはいえ自動アップデートの設定をしている方は心配ありません。
WordPress管理画面⇒プラグインで、jetpackのバージョンを確認して下記バージョンになっていればアップデート済みです。
1.9.4, 2.0.6, 2.1.4, 2.2.7, 2.3.7, 2.4.4, 2.5.2, 2.6.3, 2.7.2, 2.8.2,2.9.3
追記・FAQの内容まとめ
この件に関して開発元がFAQsを公開しています。
内容をかいつまんで紹介すると
有効化していなかったら心配ない
Jetpackをインストールしたもののまだ有効化していない場合は心配ないそうです。有効化してWordPress.comと接続している場合のみ脆弱性の問題が生じるようです。
2段階認証でも脆弱性に晒されている
また、2段階認証を取り入れていても、脆弱性の問題からは逃れられないそうですが、パスワードの変更は必要ありません。
WordPress.comのサイト・ブログは心配ない
今回の問題は、あくまで、自分でサーバーをレンタル・用意してインストールしたWordPressにのみ生じる問題です。
WordPress.comで運営されているサイトには関係ありません。