先日セキュリティーフィックスがリリースされた脆弱性が悪用されています。
WordPress に特化したセキュリティー周辺のサービスを展開する企業で今回の脆弱性の発見者でもあるSucuriは、サービスとして展開しているWAF上とハニーポット(おとり)での監視を続けており、悪用者がどのように攻撃をするのかを注視してきたそうです。その成果として現在分かっている攻撃キャンペーンを4つ上げ、レポートしており、あわせて、攻撃元のIPアドレスもシェアしています。
Google 検索を利用して改ざんされたウェブサイトを確認できる
たとえばHacked by NG689Skw を Google で検索すると執筆時点で25万ページがインデックスされていることがわかります。今回の脆弱性は既存のポストの書き換えが可能になるというものだったので、 Google がすべてを再インデックスする時間及び、現在も攻撃が続いていることを考慮すると、まだ増えると思われます。
こうした、NG689Skwのような文字列を差し込むのは、その結果を誇示するために行われているものだと思われます。
今後はSEOスパムがあり得る
Sucuriも指摘していますが、今後はSEOスパムが増えることが考えられます。大量のウェブサイトに対して改竄を試みるのではなく、まともに運営されているウェブサイトでありかつ改竄が可能なものを狙ってリンクを挿入する、しかもサイトオーナーに気が付かれることなく、ということが起こってくると思われます。
ExecPHP など管理画面のコンテンツエディタに PHP を書き込み実行させるプラグインの危険性
ExecPHPなど、投稿やページのコンテンツエリアにPHPのプログラムを書き込みそれを実行するようなプラグインは、今回の場合も、より重大な被害を受けます。
マイナーバージョンのアップデート機能について
今回の脆弱性を修正させたバージョンは、マイナーアップデートと呼ばれるものでした。特別な設定や不具合がなければ、つまりデフォルトの状態であれば、自動的にアップデートが適用されるようになっています。大部分のWordPressサイトは、今回の脆弱性の情報公開と攻撃の開始の前にアップデートされており、影響を受けていない状況です(WordPress側からの今回の脆弱性についての情報公開手法の詳細は「WordPress 4.7.2 セキュリティーフィックスについての追加情報開示」で読むことができます)。
コメントを残す