警報: WordPress セキュリティチームなりすまし詐欺

以下は WordPress.org 公式ブログの記事「Alert: WordPress Security Team Impersonation Scams」を訳したものです。

誤字脱字誤訳などありましたらフォーラムまでお知らせください


WordPress セキュリティチームによると、「WordPress チーム」あるいは「WordPress セキュリティチーム」を詐称してサイト管理者をだまし、マルウェアを含んだ危険なプラグインをインストールするように仕向けるフィッシング詐欺の試みが現在確認されています。

本物の WordPress セキュリティチームがメールを送りつけてプラグインやテーマをサイトにインストールするよう求めたりすることはありません。管理者のログイン名やパスワードを尋ねることも絶対にありませんのでよく覚えておいてください。

WordPress を名乗る上記のような内容のメールを受け取った場合はメールの指示に従わないように注意してください。また、メールサービスのプロバイダーに対してはこのメールが詐欺であることを通報してください。

これら詐欺メールがリンク先としているサイトは WordPress やその関係者の所有ではないドメインに設置された WordPress プラグインの野良リポジトリのようです。PatchstackWordfence がそれぞれこの問題に関する詳細を記事にまとめています。

WordPress プロジェクトが送付する本物のメールには次のような特徴が見られます:

  • 送信元ドメインが @wordpress.org または @wordpress.net であること。
  • メールの詳細セクションに “Signed by: wordpress.org” の署名があること。
Screenshot of email sent by a WordPress.org email account. The details include "mailed-by wordpress.org" and "signed-by wordpress.org".

WordPress セキュリティチームが WordPress ユーザーに連絡を取る場合に用いるロケーションは次の二つに限られます。

WordPress プラグインチームがプラグインのユーザー個人に対し直接連絡を取ることはありません。ただし、プラグインのオーナーやコントリビューター、またはサポート担当者に対してメールを送信することはあるかもしれません。その場合でも、本物のメールであれば必ず plugins@wordpress.org から送信されており、また上述の署名があるはずですので判別は可能です。

公式の WordPress プラグインリポジトリは wordpress.org/plugins に置かれています。また、そのローカル版がサブドメインにあり、例えば fr.wordpress.org/plugins (フランス語版)、en-au.wordpress.org/plugins (オーストラリア英語版) などがあります。サブドメインにハイフン (-) が含まれることはありますが、サブドメインと wordpress.org の間には必ずドット (.) があります。

WordPress サイト管理者は WordPress ダッシュボードのプラグインメニュー経由でプラグインリポジトリにアクセスすることも可能です。

WordPress は最も多く使われる CMS です。そのためこの類のフィッシング詐欺の試みが確認されることは珍しいことではありません。送信元に心当たりのないメールがテーマやプラグインのインストールを求めてくる、あるいはログインフォームにリンクしてログインするよう促してくるような時は、十二分に用心深く対応するべきでしょう。

Scamwatch のサイトでは詐欺の可能性があるメールやテキストメッセージの見分け方についていくつか紹介しています。

WordPress に関してセキュリティ脆弱性を発見した場合は、責任のある情報開示を求めるセキュリティポリシーに従って、プロジェクトの公式 HackerOne ページから WordPress セキュリティチームに直接報告してください。