ニュース

世界6万6000以上のサイトが改ざん被害、WordPressの脆弱性を悪用した攻撃を国内でも観測

 株式会社サイバーセキュリティクラウドは、WordPressのREST APIの処理に起因する脆弱性を突いたコンテンツ改ざん攻撃を国内でも観測したと発表した。

 脆弱性は、REST APIがデフォルトで有効となっているバージョン「4.7」「4.7.1」が影響を受ける。脆弱性を悪用すると、本来必要な認証をせずに、ウェブサイトのコンテンツの投稿や編集、削除といった操作が可能となるもの。実証コードも公開されており、独立行政法人情報処理推進機構(IPA)セキュリティセンターと一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)でも2月6日に注意喚起を発表していた。

 脆弱性は、1月26日に公開されたバージョン「4.7.2」で修正されているが、WordPressでは「何百万ものWordPressサイトの安全性確保のため」脆弱性の情報を2月1日まで公表していなかった。

 サイバーセキュリティクラウドの提供するクラウド型ウェブアプリケーションファイアウォール(WAF)のセキュリティサービス「攻撃遮断くん」のログを分析した結果、2月5日以降に急増している実証コードを用いた攻撃が、日本国内でも観測されたという。

 この脆弱性を発見した米セキュリティ企業のSucuriでも、この脆弱性を悪用した攻撃キャンペーンについて、WAFやハニーポットを用いた観測結果に基づいた分析結果を明らかにしている。

 これによれば、脆弱性を悪用するためのコードが脆弱性情報の公表から48時間以内に投稿され、攻撃者が脆弱性の情報を容易に入手できる状況だったという。それ以降、ウェブサイトへの探索や攻撃が増加、2月6日には3000件弱に達した。

 攻撃キャンペーンは少なくとも4つあり、それぞれで使用されたIPアドレスなども把握されている。このうち「w4l3XzY3」というグループに改ざんされたウェブサイトは、Google検索の結果では6万5000ページ以上にも上った。これは改ざんされたサイトのうち、Googleのインデックスに登録されたものだけが対象となるため、実際にはさらに多いことが想像される。なお、残る3つの攻撃キャンペーンでは、それぞれ500ページほどの改ざん被害にとどまるという。

 Sucuriによれば、この脆弱性を悪用した不正な画像やコンテンツの投稿により、不正なサイトの検索順位を上昇させるSEOスパム(検索エンジンポイズニング)という手法が既に試みられており、脆弱性の悪用を収益化につなげる可能性も指摘している。