この2月は、セキュリティ的に見ても非常に脅威となる事象がいくつも見られました。

今回はその中から、Wordpress脆弱性と、2017年2月のMicrosoftの定例アップデートが中止になった件を取り上げます。

REST APIの不具合により、Wordpressのコンテンツが容易に改ざんされる脆弱性

本件は、2017年1月に修正されたWordpressの脆弱性に係る話なのですが、この脆弱性、2月になって公開された概要がかなり強烈なものでした。

• Content Injection Vulnerability in WordPress（Sucuri）
• WordPress の脆弱性対策について（IPA）
• WordPress 4.7.1 の権限昇格脆弱性について検証した（徳丸浩の日記）

この脆弱性は、Wordpress 4.7で標準搭載されたREST APIにあります。

REST API自体はこれまでもプラグインで準備されていましたが、標準搭載されたREST APIに不具合があり、改ざんを可能とする脆弱性につながったというわけです。

そしてこの脆弱性の困ったところは、「⁠認証なく」「⁠既存のコンテンツを改ざんできる」というところにあります。

これだけ容易な改ざんを、攻撃者がほうっておくわけがなく、実際に多数の改ざんが発生しています。

• 2月初めの複数の国内サイトの改ざんについてまとめてみた（Piyolog）

現時点でも、相当数のサイトが古いWordpressで動作しているという情報もあります。対策は（今更書くのもどうかと思うのですが）Wordpress自体のバージョンアップです。

自身のサイトがどのバージョンで動作しているか？を把握の上、必要なアップデートは適宜適用してください。

2017年2月のMicrosoftの定例アップデートが中止～一部の緊急アップデート以外は3月に持ち越し

2017年2月のMicrosoftの定例アップデートですが、多くの利用者に対する影響を考慮して、3月のアップデートでまとめて対応するという決定を行いました。

• February 2017 security update release

Microsoftからのアップデートを適用した後に、システムに不具合が発生するということはたまにありましたが、今回の定例アップデートは見送られました。

ただし、Adobe Flash Playerのセキュリティ更新プログラムは、脆弱性を突かれる危険性が高いからか、定例外になったものの公開しています。これが、（⁠少し公開が遅くはなりましたが）一部の緊急アップデートに相当します。

• Adobe Flash Player に関するセキュリティアップデート公開（Adobe）
• Adobe Flash Player の脆弱性を修正するセキュリティ更新プログラムを定例外で公開（日本のセキュリティチーム(Japan Security Team) - Microsoft Technet Blogs）

2月14日に、Microsoftの定例アップデートで配信される以外の更新は、Adobeから公開されています。このアップデート内容を解析して攻撃コードを作成する懸念もあることから、定例外ではあるもののAdobe Flashの更新を公開したのは、良い判断と言えます。