ここ数週間、WordPressチームやWordPress Securityチームを語るフィッシングメールが流行していると注意喚起されている。このメールには「WordPressに脆弱性が見つかったので、いますぐセキュリティパッチプラグインをインストール!」という内容が記載されている。慌てた受信者がメールの支持通りにダウンロードリンクへ移動すると、そこにはWordPressプラグインディレクトリにそっくりなサイトが用意されていて、バックドアをしかけるプラグインが待ち構えているというわけだ。
詳細はpatchstackの記事 “Fake CVE Phishing Campaign Tricks WordPress Users Into Installing Malware” に詳しいので画像を参照してほしいのだが、かなりよくできている。また、ご丁寧にプラグインのレビューや開発者メンバー(WordPressコントリビューターの有名人)まで掲載されており、WordPress公式ディレクトリを見慣れている人でも間違えてしまいそうだ。
こうしたメール詐欺にひっかからないための要点としては以下の通り。
- まず慌てないこと。慌てるとIQが30ぐらい下がってしまう。
- メールのリンク先をよく確認すること。リンク先が
wordpress.orgであることを確実におさえてから移動しよう。これはWordPressに限った話ではない。Gmailなどではメールアドレスの詳細を確認することができる。 - アドレスバーのドメインなどを確認すること。もっとも、最近は間違えやすいアルファベット(punycodeでwordpress.orgではなく、wordpréss.orgとか)をあえて使うことがあるので、目視では気づきづらいかもしれない。
- 迷惑メール機能が充実したメーラーを使う。
- 重要な手続きは公式サイトから行う。まずWordPress.orgに移動してからダウンロード。これはAmazonプライムの会費がどうたらというメールでも同様だ。
基本的にWordPressチームがこうした形式でメールを送ることはないそうだが、よほどの事情通でない限り、WordPressコミュニティの連絡形式について知っているはずがない。慌てずに自衛することを心がけよう。
コメントを残す