155万サイトが改ざん被害、WordPressのREST API脆弱性を20のグループが攻撃、米Feedjit報告

　WordPress向けのセキュリティプラグイン「Wordfence Security」を提供している米Feedjitは、WordPressのREST APIの処理に起因する脆弱性を突いた攻撃により改ざんされたウェブサイトが2月9日までに155万サイトを超えたことを明らかにした。「WordPressに関連する脆弱性のうち、最悪のもの」としている。

　Feedjitでは、WordPressより脆弱性情報が発表された1日以降、顧客企業に提供しているファイアウォールで攻撃の観測を開始。2日までは攻撃は観測されなかったが、3日に初めて発生。その後5日までに増加を続け、5日にはファイアウォールに設定したルールを回避する亜種を発見したという。亜種による攻撃は7日以降に急増している。

　Feedjitでは、20のグループによる攻撃キャンペーンを観測。Googleでは改ざんされたページもインデックスされているため、Feedjitでは改ざんされたサイトに残される署名についてGoogle検索で分析を行った結果、「MuhmadEmad」という攻撃グループによる39万7000サイトの改ざんをはじめ、20のグループ合わせて155万以上のサイトが改ざんされていることが判明したという。

「MuhmadEmad」に改ざんされたサイトの例

　Feedjitでは、Googleトレンドにより、攻撃の成功率の指標も分析している。これによれば、攻撃キャンペーンは4日に始まり、キャンペーンごとに6日と8日にピークがあり、現在は収束に向かっているものの、まだ継続していることが分かる。

　また、Feedjitによれば、一度改ざんされたサイトが、別の攻撃グループに再度改ざんされる例も起きているという。

「HolaKo」という攻撃グループと、「Imam」という攻撃グループに改ざんされたサイトの例

　Feedjitでは、WordPressのREST APIの脆弱性を悪用した攻撃を行う上位25のIPアドレスもブログで公表している。

　WordPressのREST API処理に起因する脆弱性は、REST APIがデフォルトで有効となっているバージョン「4.7」「4.7.1」が影響を受け、1月26日に公開されたバージョン「4.7.2」で修正されている。