日頃より弊社サービスをご利用いただきましてありがとうございます。

ホームページをWordpress(CMS)で運用されているお客様にセキュリティーの重要なお知らせがあります。
wordpressのバージョン4.7及び4.7.1では、REST APIがデフォルトで有効となっています。このため脆弱性を悪用すると、本来必要な認証をせずに、ウェブサイトのコンテンツの投稿や編集、削除といった改ざんが可能となる仕組みです。

独立行政法人情報処理推進機構（IPA）セキュリティセンターと一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は6日、WordPressのREST APIにおける認証回避の脆弱性について注意を喚起しています。

この脆弱性は、1月26日に公開されたバージョン4.7.2で修正されていますが、WordPressでは「何百万ものWordPressサイトの安全性確保するため」脆弱性の情報を2月1日まで公表していませんでした。

脆弱性の実証コードがすでに公開されており、JPCERT/CCによる検証ではコンテンツの改ざんが可能だったことがわかっているという。また、脆弱性の影響を受けるバージョンのWordPressを利用しているとみられる国内の複数のサイトが、すでに改ざんの被害を受けている事も報告されています。

IPAとJPCERT/CCでは、最新バージョンへの更新を推奨しています。また、一時的な回避策として、REST APIを使用しないか、REST APIへのアクセスを制限することを推奨しています。
WordPressでは、REST APIを無効にする公式プラグイン「Disable Embeds」も提供しています。

最新バージョンの4.7.2では、REST APIにおける脆弱性のほかに、権限のないユーザーに対しPress Thisのタクソノミー語句を割り当てるユーザーインターフェースが表示される脆弱性、SQLインジェクションの脆弱性、クロスサイトスクリプティング（XSS）の脆弱性も修正公開されています。

なお、弊社のホームページサービスでWordpressをご利用いただいているお客様はすでに最新版のバージョンでご利用いただいておりますため、今回の脆弱性はすでに解決しております。

今後とも弊社サービスをよろしくお願いいたします。