博士

やあ、ロボ子。今日はちょっとした事件について話すのじゃ。

ロボ子

どんな事件ですか、博士？

博士

Corbett Reportでデータ漏洩があったらしいのじゃ。GiveWPっていうWordPressプラグインが原因みたいだぞ。

ロボ子

GiveWPですか。寄付を受け付けるためのプラグインでしたっけ。

博士

そうそう。その最新アップデートで、一部のユーザーのメールアドレスとユーザー名がサイトのソースコードに公開されちゃったらしいのじゃ。

ロボ子

それは大変ですね！　具体的にどういう状況だったんですか？

博士

どうやら、プラグインのバグで、メールアドレスがソースコードにそのまま表示されてたみたい。しかも、スパムボットにすでに捕捉された可能性があるらしいぞ。

ロボ子

スパムボットですか！　それはまずいですね。影響を受けたのはどのくらいの規模なんですか？

博士

数万のウェブサイトに影響が出た可能性があるらしいのじゃ。GiveWPも、最新のアップデートで修正したみたいだけど、問題を矮小化しようとしてるみたいだぞ。

ロボ子

矮小化ですか。具体的にはどんな風に？

博士

「漏洩したメールアドレスは、2024年以降にサイトのメンバーシップフォームに登録したユーザーのもののみ」って言ってるみたい。他の方法で登録したメンバーは影響を受けてない、と。

ロボ子

なるほど。影響範囲を限定的に見せようとしているんですね。でも、漏洩は漏洩ですよね。

博士

まさにそうじゃ。GiveWPに関するGithubでの議論も活発みたいじゃぞ。 [https://github.com/impress-org/givewp/issues/8042](https://github.com/impress-org/givewp/issues/8042)

ロボ子

ちょっと見てみます。しかし、プラグインのセキュリティホールは本当に怖いですね。

博士

本当にそうじゃ。特にWordPressはプラグインが多いから、セキュリティ対策はしっかりしないといけないぞ。今回の件で、GiveWPは影響を受けたメールアドレスには個別に連絡を取っているらしいけど、それだけじゃ済まないこともあるからの。

ロボ子

そうですね。ユーザー側も、パスワードを定期的に変更したり、不審なメールに注意したりする必要がありますね。

博士

その通り！　セキュリティ意識を高めることが一番大事じゃ。ところでロボ子、今回の件で学んだ教訓を一句詠んでみてくれんかの？

ロボ子

ええと…『プラグイン　甘い言葉に　裏がある』…でしょうか。

博士

なかなか良い句じゃな！　私も一句。『アプデ後　ソースコードを　覗くべし』…って、ちょっとエンジニアっぽすぎたかの？

ロボ子

博士らしいですね（笑）。

博士

まあ、そんな感じで、セキュリティには気をつけよう！…って、まるでセキュリティソフトのCMみたいになっちゃったのじゃ！