8月16〜19日:サイバーセキュリティ関連ニュース
WordPressの人気プラグインInPostシリーズに重大な欠陥が判明、1万超のWebサイトが攻撃リスクにさらされる(CVE-2024-6500)
Securityonline[.]info – August 17, 2024
WordPressの人気プラグインInPost PLとInPost for WooCommerceに重大な脆弱性が見つかり、完全に乗っ取られる可能性のあるWebサイトが1万件以上存在することが明らかになった。
この脆弱性はCVE-2024-6500(CVSS 10)として追跡されており、プラグインのファイル処理手順で適切なサニタイズが行われていないことに起因するもの。攻撃者はこれを悪用することで、重要なwp-config.php構成ファイルなどの機微なファイルを含む任意のファイルを読み取り、これを削除できるようになる。
悪用が成功した場合の影響は深刻で、wp-config.phpの削除により強制的にセットアップ状態になったWebサイトは有害なデータベースに接続され、乗っ取られた後にバックドアのインストールやファイルの変更、永続的なアクセスの維持によってシステムをさらに侵害される恐れがあるという。
InPost PLのユーザーは、最新パッチのバージョン1.4.5を直ちに適用することが推奨されている。一方、InPost for WooCommerceプラグインはリポジトリから除外され、こちらのユーザーは同プラグインを削除してInPost PLに切り替えることが奨励された。
OpenAI、米国大統領選挙を狙ったイランの影響力行使オペレーションを阻止
Security Affairs – August 17, 2024
OpenAIにより、米国の大統領選挙に関するコンテンツを生成していたイラン関連の影響力行使オペレーションが解体された。
同社はAI生成の記事や投稿を作成するために使われていたChatGPTのアカウント群をブロックしたことに加え、このキャンペーンが幅広いユーザーの目に届いていないことを明らかにした。「Storm-2035」の名で追跡されるアクターが実施する同キャンペーンについて、米シンクタンクのブルッキングス研究所もカテゴリー2の下位に分類しており、これは複数のプラットフォームで活動が確認されているものの、それほど大きな広がりを見せていないことを意味している。
Storm-2035は、ChatGPTを使って米国の政治や世界情勢に関する長文記事を作成。保守系および革新系のニュースメディアを装った5件のWebサイトに掲載したほか、ソーシャルメディアのXとInstagramにも英語とスペイン語でコメントを発していた。これらのコンテンツをより本物らしく見せるため、政治的な話題に加えてファッションや美容についての投稿も混ぜていたようだ。