「WordPress」の認証情報を詐取するフィッシングメールを確認、データベース更新を促し偽ログインページへ誘導

　「WordPress」の認証情報を詐取するフィッシングメールが確認されたとして、米セキュリティ企業のSucuriが情報を公開した。

　Sucuriによれば、フィッシングメール本文はデータベースの更新を通知する内容になっており、偽のログインページに誘導するという。見た目は正規のアップデートメッセージに似せているが、古いメッセージングスタイルが使われているほか、タイプミスが含まれているのが特徴だという。

確認されたフィッシングメール本文

　内容に従ってアップグレードボタンを押すと、認証情報を入力する偽のログインページが開き、認証情報入力後にログインボタンを押すと、ユーザーが使用するウェブサイトのアドレスとユーザー名を入力する画面が表示される。これは、入力した認証情報とユーザーのウェブサイトのアドレスを関連付けることが目的とみられる。最後に「Update WordPress Database」ボタンを押すと、入力した情報が攻撃者に送信されてしまうという。

　認証情報を入手されると、ユーザーのウェブサイトにバックドアやマルウェアが仕込まれたり、コンテンツを改ざんされる可能性があるとしている。

認証情報入力後はユーザー名とウェブサイトのアドレスを入力する画面が表示される

　Sucuriではメールのヘッダー情報から、47.49.12.164（webserver2.ncswi.com）サーバーからメールが送信されていることを確認。また、フッターにはWordPress.comの運営会社であるAutomatticの情報が記載されており、そのリンク先には別のハッキングされたウェブサイトのフィッシングページが設定されていたという。

フッターには別のフィッシングサイトへのリンクが貼られている

　フィッシングメールの対策として、送信元がメールの内容と一致することや、メールのフォーマットや本文のタイプミスなどの確認をSucuriでは推奨している。