コンテンツマネジメントシステム（CMS）の「WordPress」向けに提供されているプラグイン「WPML」の開発者が不正アクセスを受けたことがわかった。同ソフトは、日本語をはじめ、複数言語に対応するマルチリンガルサイトを構築するためのOnTheGoSystems製有償プラグイン。
「同プラグインにはセキュリティ上の欠陥がある」などと指摘するメールが、プラグインの購入者に対して同社経由で送りつけられたという。
問題のメールでは、攻撃者はプラグインの利用者を名乗り、同社サイトでも利用されていた同プラグイン経由でメールを送信することが可能となったと主張。プラグインの脆弱性を強調した。
今回の問題に対して同社は、ウェブサイトが1月13日の週に侵害されたことを認め、攻撃を行ったのは元従業員で、SSHの古いパスワードや過去にのこしたバックドアを利用したものだと経緯を説明。
悪意あるメールはOnTheGoSystemsのメーラーが侵害されて送信されたもので、今回の攻撃については、同社プラグインや「WordPress」およびそのほかのプラグインを通じて行われたものではなく、内部情報が悪用されたものだと釈明した。
提供したプラグインに脆弱性は存在せず、支払い情報に関してもウェブサイト上で保存しておらず、危険にさらされていないとした。
プラグインで利用するキーが窃取されたおそれがあるが、これらを攻撃者が利用し、利用者のウェブサイトを改ざんすることはできないという。
一方、攻撃者は購入者の氏名や電子メールのほか、サポートなどを提供している同社ウェブサイト上のアカウント情報を保有しているおそれがある。
同社は、パスワードをリセットするよう求めるとともに、フィッシング攻撃など不正なメールが送信されるおそれがあるとして注意を呼びかけている。