ニュース - iCLUSTA+

iCLUSTAシリーズに新機能が追加されました。

PHP7

PHP5に加え、PHP7にも対応しました。

PHPバージョン切替機能リリース

PHPのバージョンを切り替える機能です。PlanManagerにログインしてPHPのバージョンを変更できます。

ゾーン編集機能

ゾーン編集機能を利用すると、同じドメインで複数のサービスを利用できるようになります。

2017年3月1日（水）より、新しいメールオプションサービス「メール添付ファイル自動暗号化」の提供が開始されました。

「メール添付ファイル自動暗号化」を導入することで、大容量ファイルを送信する際の手間と時間を軽減しながらも、暗号化による情報資産の保護が行えます。

メールデータサイズに応じて送信分け

添付ファイル付きのメールデータサイズによって、「Webアップロード」と「ZIP暗号化」を自動で送信分けされるため、ファイルの容量を気にせずデータを送信することが可能です。

メール業務が大幅に軽減！「見えないコスト」を改善

ファイルの暗号処理からパスワードの設定・通知まで全て自動で行われるため、メール本文の作成のほかに1通あたり平均約3分かかっていた作業時間が、ほぼ0分まで軽減されます（GMOクラウド社調べ）。今まで費やしてきた「見えないコスト」を改善し、業務の効率化を図ることで商品企画やコンテンツ制作、プロモーション施策など、自社本業に特化した業務に専念することができます。

メールアドレス1個から導入可能

見積書や企画書を送信する機会が多い営業担当や、経営・財務など会社の機密情報を取り扱う総務・経理担当など、担当人数や利用状況に応じて、メールアドレス1個単位で導入可能です。契約後は、今までのメールソフト(環境)を変えることなく簡単に利用開始できます。

WordPress提供元よりWordPressに関する深刻な脆弱性が発表されました。 対象バージョンのWordPressを利用している場合は、WordPress 4.7.2（2017.1.26リリース）へのアップデートが強く推奨されます。

想定される脅威

WordPress4.7.0と4.7.1のREST API（既設定：有効）に、認証なしにWebページを更新できる脆弱性が存在することで攻撃者にこれらの脆弱性を悪用され、Webサイの改ざんや様々な攻撃に利用される可能性があります。

脆弱性の影響を受けるバージョン

WordPress 4.7.0 / WordPress 4.7.1

WordPressの他バージョン系統(4.6など)において、REST APIを導入している場合の影響については確認できていません。必要に応じて最新の情報を確認し、最新版へのアップデートを検討してください。

回避策

WordPress 4.7.2へアップデートします。

即時アップデートが難しい場合、REST APIの無効化などを検討してください。

WordPressのバージョン「4.7」「4.7.1」に含まれるREST APIに緊急性の高いセキュリティ上の問題（脆弱性）が公表されています。

REST API

REST APIは主に他サービス等と連携するための開発者向けの機能であり、一般的なWebコンテンツの表示には使用されません。

エックスサーバーにおいても、ユーザーが運用するWordPressサイトに対して、この脆弱性を突いた日本国外のIPアドレスを経由した不正なアクセスが確認されています。

エックスサーバーでは第三者によるコンテンツの改ざんを防ぐための措置としてREST APIに対する国外IPアドレスからのアクセスを制限しています。

当該バージョンを使用されている場合は、最新バージョン（4.7.2）へのアップデートが強く推奨されます。

実施日

2017年 2月 7日(火)

対象サービス

エックスサーバー 全プラン

実施内容

外部プログラム等を利用し、WordPressサイトとの連携を容易にする最新のバージョン4.7で追加された開発者向け機能の1つである「REST API」への国外IPアドレスからの接続を制限します。

WordPress.com (Jetpack)からのアクセスは制限対象外です

制限を行うアドレス: /wp-json

「REST API」国外IPアドレスからのアクセス制限 解除方法

Webサイトの運用に影響が生じる場合、制限を解除することが可能です。通常は「有効」のまま運用されることを強く推奨されます。

サーバーパネル内「.htaccess編集」にて、最終行に以下の内容を追記します。

SetEnvIf Request_URI ".*" AllowRestApi

WordPressのREST APIによる脆弱性について

バージョン4.7 / 4.7.1において、REST APIの一部機能を悪用することにより、第三者によるコンテンツの改ざんが可能になる脆弱性が公表されています。

最新バージョンである「4.7.2」にアップデートすることにより回避することが可能です。

ニュース

自動インストール対象プログラム「WordPress」における最新版（4.7.2）への対応のお知らせ (2017/02/06 掲載)
https://www.xserver.ne.jp/news_detail.php?view_id=3147

IPA (情報処理推進機構)

「WordPress の脆弱性対策について」
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html (外部サイト)

現在、iCLUSTAを利用している一部ユーザーのアカウント上において、悪意ある第三者からの不正アクセスによる攻撃プログラムの設置や、WEBサイトが改ざんされマルウェアが仕込まれるなどのセキュリティ被害が多数発生しています。

セキュリティ被害にあってしまった場合、被害拡大を防ぐため、復旧対応が完了するまでサイトの公開ができなくなりますが、その復旧対応はお客さまご自身にて行っていただく必要があり、多大な労力がかかります。

そのため、セキュリティ被害にあわないよう予防することが重要となりますが、セキュリティ被害にあってしまう原因の多くは、予測可能な簡単なパスワードの設定や、脆弱性のある古いバージョンのCMSを使い続けてしまうことに起因します。

そのため、お客さまに多大なご迷惑をおかけいたしますが、セキュリティ強化対策としてWordPress3.7未満の旧バージョンの停止施策を実施いたします。

対象ユーザーへは、下記の案内が送られています。

• 件名：【重要】【GMOクラウド】旧バージョンのWordPress停止、およびアップデート対応のお願い:ドメイン名

WordPress 旧バージョンの利用停止措置について

以下日程にて、2度にわたり、WordPressの旧バージョン利用停止措置が実施されます。 利用停止措置後は、旧バージョンを利用したWEBサイトの公開が不可となります。

旧バージョンを利用している場合は、バージョンアップ作業が必須となります。

WordPressバージョンアップ手順

https://help.gmocloud.com/app/answers/detail/a_id/2958/p/8/

第1回メンテナンス

利用停止措置実施日時
2017年02月07日（火）から2017年02月09日（木）

停止対象バージョン
WordPress3.7未満

作業内容
古いWordPressをインストールしたディレクトリのパーミッションを無効化。

影響内容
WEBブラウザ上からWordPress3.7未満の閲覧がおこなえません。

第2回メンテナンス

利用停止措置実施日時
2017年03月28日（火）から2017年03月30日（木）

停止対象バージョン
WordPress3.7未満

作業内容
古いWordPressをインストールしたディレクトリをドキュメントルート外へ移動します。

影響内容
WEBブラウザ上からWordPress3.7未満の閲覧がおこなえません。

2016年12月25日に、PHPMailerにおけるOS コマンドインジェクションの脆弱性が報告されました（CVE識別番号：CVE-2016-10033）。

PHPMailerは、WordPressやDrupalなどのCMS、各種プラグインにて利用されているPHPのライブラリのため、PHPアプリケーション上で任意のコードが実行され、ウェブサイトの改ざんや悪意のあるプログラムを設置される可能性があます。

PHPMailerの利用状況を確認し、開発元が提供する情報をもとにPHPMailer を最新版へアップデートしてください。

JVNVU#99931177：PHPMailer に OS コマンドインジェクションの脆弱性

http://jvn.jp/vu/JVNVU99931177/

Webサイトへの同時アクセス数を一時的に増やす「スケールアップ」機能が追加されました。

機能名

スケールアップ

対象プラン

iCLUSTA+ ミニ／レギュラー／プロ

サービス開始日時

2017年1月19日（金）18：00

サービス概要

Webサイトの同時アクセス数の上限を一定期間、緩和する標準機能です。アクセス集中が発生した時、または予想される時など、任意のタイミングで利用できます。

料金

追加料金はありません。各プランの標準機能として利用可能です。

レンタルサーバーの初期設定、メール／FTPなど各種サービスの設定など、レンタルサーバーを利用している際に直面する様々な質問をGMOオペレーターが「同じパソコン画面を共有」しながら対応するサービスです。

同じ画面を見ながら、電話での説明となるためスムーズに問題解決できます。「電話やメールだけでは、オペレーターにどう症状を伝えていいかわからない」「説明を受けても、問題が解決しない」といった、パソコン操作に自信がない契約者でも安心して利用できます。

原文のまま掲載します。

鳥取県中部地震により被災された方々に心よりお見舞い申しあげます。

一日も早い復旧をお祈り申しあげます。

GMOクラウドでは、災害救助法の適用地域にお住まいのご契約者の皆さまを対象に、下記の支援措置を実施いたします。

＜対象サービス一覧＞

GMOクラウド レンタルサーバー

＜対象となるお客さま＞

ＧＭＯクラウドの対象サービスをご利用されており、 内閣府発表の「平成28年鳥取県中部地震に係る災害救助法の適用について【第1報】http://www.bousai.go.jp/kohou/oshirase/pdf/20161021_03kisya.pdf」で指定された災害救助法適用市町村を契約住所としているお客さま

＜支援措置＞

（1）ご契約の更新手続きの猶予

2016年10月21日～2017年1月20日の期間に契約更新日を迎える場合、更新日を過ぎた後でも2017年2月20日までに更新のお手続きをいただければ、ご契約が更新されたものとしてお取り扱いさせていただきます。

更新のお手続きが行われない場合、通常はドメイン廃止、サービス停止など利用約款で定めた措置が行われますが、今回の支援措置では一定期間、ご利用を継続いただけます。

当件に関するご相談につきましては、下記の窓口までお問い合わせください。

【お問い合わせ窓口】 https://support.gmocloud.com/ask/#shared

皆さまの安全と、被災地における一日も早い復旧・復興を、心よりお祈り申し上げます。

原文のまま掲載します。

8月末に発生した台風第10号によるにより被災された方々に心よりお見舞い申しあげます。一日も早い復旧をお祈り申しあげます。

GMOクラウドでは、災害救助法の適用地域にお住まいのご契約者の皆さまを対象に、下記の支援措置を実施いたします。

＜対象サービス＞

GMOクラウド レンタルサーバー

＜対象となるお客さま＞

ＧＭＯクラウドの対象サービスをご利用されており、 内閣府発表の「平成28年台風第10号に係る災害救助法の適用について【第2報】（http://www.bousai.go.jp/kohou/oshirase/pdf/20160831_04kisya.pdf）」で指定された災害救助法適用市町村を契約住所としているお客さま

＜支援措置＞

（1）ご契約の更新手続きの猶予

2016年8月30日から2016年11月29日の期間に契約更新日を迎える場合、更新日を過ぎた後でも2016年12月29日までに更新のお手続きをいただければ、ご契約が更新されたものとしてお取り扱いさせていただきます。

更新のお手続きが行われない場合、通常はドメイン廃止、サービス停止など利用約款で定めた措置が行われますが、今回の支援措置では一定期間、ご利用を継続いただけます。

当件に関するご相談につきましては、下記の窓口までお問い合わせください。

---

【お問い合わせ窓口】

https://support.gmocloud.com/ask/#shared

---

皆さまの安全と、被災地における一日も早い復旧・復興を、心よりお祈り申し上げます。