WordPressを狙った不正アクセスが急増しています。

年明け以降、WordPressを利用したWebサイトで、

・Webサイトを改ざんされた
・Webサイトの権限を乗っ取られた
・悪意のある不正なサイトへ誘導するための踏み台にされた

といった被害を受けたお客様から、多数のお問合せを頂いております。

その原因の全ては、
古いバージョンのWordPressやプラグインを最新のバージョンに更新せずに放置した結果、
脆弱性を狙うサイバー攻撃の標的になったというものです。

不正アクセスの被害に遭う前に、
WordPress本体やプラグインのバージョンを最新のものに更新されることを強くお勧めいたします。


WordPressのバージョンをUPすることにより、
ページデザイン(レイアウト)の崩れやバグが生まれることを嫌って、
古いバージョンのWordPressをそのまま使い続けているお客様が多数いらっしゃいます。
また、古いバージョンのWordPressを使い続けることで
ハッカーに狙われやすくなるということをご存じでない方もいらっしゃいます。
これは、非常に危険です。


【サイバー攻撃の標的になりやすいWordPress】
--------------------------------------------------------------
深い技術知識がなくても、簡単にWebページを構築することができるCMS(Content Management System)。
日本はもとより、世界的にもCMSを利用してWebサイトを運営する流れが一般化しています。
その中でも圧倒的なシェアを占めているのが「WordPress」で、世界中で公開されているWebサイトの3割以上はWordPressを利用しているとも言われています。
WordPressそのものに目立って脆弱性が多いというわけではありませんが、
気軽に利用できるが故に広く普及(技術知識の有無を問わず)していることや
プラグインの数が膨大にあるために脆弱性が見つかりやすいという背景もあって、
不正アクセスの対象として狙われやすいのです。
--------------------------------------------------------------


2019年3月28日現在のWordPressの最新バージョンは【5.1.1】です。
まだ更新をされていないお客様は、至急、バージョンアップをお願いいたします。

常に最新のバージョンを維持し続けることに加えて、
管理者パスワードを強固なものにすることも不正アクセスを防ぐ上で有効な手段になります。

平素より格別のご高配を賜り誠にありがとうございます。
弊社の年末・年始の休業期間についてお知らせ致します。


◇年末・年始休業期間
　2018年12月29日(土)～2019年1月6日(日)


休業期間におきましても、サーバー監視・障害対応・運用代行につきましては、通常通り 24 時間体制にて実施いたします。
営業部、管理部へのご依頼につきましては、休日扱いとさせて頂きます。

お客様にはご迷惑をおかけいたしますが、何卒ご了承のほどよろしくお願い致します。

ご契約者様 各位

平素より弊社サービスをご利用頂き、誠にありがとうございます。
ネットアシスト サービスデスクでございます。

ご契約頂いている「MSPアシスト」におきまして、
この度、障害検知時の連絡の迅速化のため、サービス内容が変更となります。

----------------------------------------------------------------------

◇対象サービス
　　MSPアシスト　シルバー、ゴールド、ゴールドプラス　各プラン

◇変更内容
　　緊急連絡先へのお電話方法

◇適用開始日時
　　2018年12月 1日(土) 00:00 ～

◇サービス変更内容
　　障害発生時、対応時間帯に応じて緊急ご連絡先 登録1番の方から
　　順にお電話いたします。
　　1番の方がお出にならない場合、留守番電話サービスにメッセージを
　　残さずに、登録2番、3番の方へ、順にお電話いたします。

　　緊急ご連絡先を1巡し、どなたにもお電話がつながらなかった場合は、
　　改めて、もう1度、1番の方から順にお電話いたします。

　　2巡目のお電話でお出にならない場合は、
　　弊社エンジニアが留守番電話サービスに伝言を残します。

　　2巡目のお電話で、どなたもお出にならなかった場合、
　　お電話でのご連絡対応は終了とし、
　　障害報告にご登録されているメールアドレスへのご連絡をもって
　　報告完了とさせていただきます。

----------------------------------------------------------------------

サービス内容の変更に伴い、お客様にはご迷惑をお掛け致しますが、
ご理解のほど宜しくお願い申し上げます。

先日、プロセッサ(CPU)に起因する脆弱性が確認されましたので
概要をお知らせ致します。

現在、本件についての対応方法など各ベンダから
未発表となりますので、まずはご留意ください。

◇脆弱性概要
　PortSmash

◇詳細情報ページ
　http://www.itmedia.co.jp/enterprise/articles/1811/06/news059.html
　
　https://gigazine.net/news/20181105-intel-cpu-hyperthreading-exploit-portsmash/
　
　https://access.redhat.com/security/cve/cve-2018-5407

◇影響
　CPUの処理速度を向上させる技術「同時マルチスレッディング
　（複数の命令を同時に処理）」が有効な際、同一の物理サーバー内から
　TLS(SSL）サーバー上の秘密鍵が読み取り可能になります。

◇対処方法
　現在、各OSベンダから「修正パッケージの配布」および「詳細な影響範囲」
　の発表がございません。

※対応方法等が発表され次第、本ブログでのご報告、及び
　弊社保守サービスをご契約いただいているお客様へは改めてご連絡を差し上げます。

先日、プロセッサ(CPU)に起因する脆弱性が確認されました。

概要をお知らせ致しますので、
皆様、早目のご対応をお勧めいたします。


　◇脆弱性概要
　　L1 Terminal Fault（L1TF）
　　
　◇詳細情報ページ
　　https://software.intel.com/security-software-guidance/software-guidance/l1-terminal-fault
　　http://www.itmedia.co.jp/enterprise/articles/1808/15/news037.html
　　
　◇影響
　　悪質なアプリケーションもしくは他の仮想マシンから、
　　OSのメモリ内にあるデータやアプリケーションのデータを推測される可能性があります。

　◇対処方法
　　
　　(1)Windowsの場合
　　　　脆弱性を解決したパッチを適応する。
　　　　　
　　　　　■Windows Server 2012 R2のパッチ
　　　　　　⇒セキュリティ更新プログラム [KB4343898]

　　　　　■Windows Server 2016のパッチ
　　　　　　⇒セキュリティ更新プログラム [KB4343887]
　　　　
　　(2)Linuxの場合
　　　　Linuxカーネルを脆弱性を解決したバージョンにアップデートする。
　　　　
　　　　　■Red Hat Enterprise Linux及びCentOSの修正後のバージョン
　　　　　　　[Red Hat Enterprise Linux 7 / CentOS 7]
　　　　　　　　⇒kernel-3.10.0-862.11.6.el7.x86_64

　　　　　　　[Red Hat Enterprise Linux 6 / CentOS 6 ]
　　　　　　　　⇒kernel-2.6.32-754.2.1.el6.x86_64

　　　　　　　　　https://access.redhat.com/security/vulnerabilities/L1TF　　　　　

　　　　　■Amazon Linuxの修正後のバージョン
　　　　　　　　⇒kernel-4.14.62-65.117.amzn1.x86_64
　　　　　　　　　https://alas.aws.amazon.com/ALAS-2018-1058.html


弊社のサーバ保守サービス『MSPアシスト』のゴールドプラスプランにてご契約頂いておりますお客様のサーバにつきましては、弊社にて無償でアップデート代行も可能です。
ご希望されるお客様は営業担当またはサービスデスクまでご連絡下さい。

※シルバー、ゴールドプランにてご契約頂いておりますサーバにつきましては、
アップデート代行作業は有償オプションとなります。ご希望されるお客様は営業担当までご連絡下さい。


尚、アップデート作業に伴いサーバの再起動を実施致します。
再起動中はサービスを利用することができません。
夜間や早朝での作業ご希望される場合には、その旨お伝えください。

※弊社都合により、ご希望日時より実施日が前後する場合がございますことをご了承ください。