WordPress4.7と4.7.1の脆弱性を悪用した攻撃が多発。今後はSEOスパムに注意が必要

SPONSORED LINK

先日セキュリティーフィックスがリリースされた脆弱性が悪用されています。

WordPress に特化したセキュリティー周辺のサービスを展開する企業で今回の脆弱性の発見者でもあるSucuriは、サービスとして展開しているWAF上とハニーポット(おとり)での監視を続けており、悪用者がどのように攻撃をするのかを注視してきたそうです。その成果として現在分かっている攻撃キャンペーンを4つ上げ、レポートしており、あわせて、攻撃元のIPアドレスもシェアしています。

Google 検索を利用して改ざんされたウェブサイトを確認できる

たとえばHacked by NG689Skw を Google で検索すると執筆時点で25万ページがインデックスされていることがわかります。今回の脆弱性は既存のポストの書き換えが可能になるというものだったので、 Google がすべてを再インデックスする時間及び、現在も攻撃が続いていることを考慮すると、まだ増えると思われます。

こうした、NG689Skwのような文字列を差し込むのは、その結果を誇示するために行われているものだと思われます。

今後はSEOスパムがあり得る

Sucuriも指摘していますが、今後はSEOスパムが増えることが考えられます。大量のウェブサイトに対して改竄を試みるのではなく、まともに運営されているウェブサイトでありかつ改竄が可能なものを狙ってリンクを挿入する、しかもサイトオーナーに気が付かれることなく、ということが起こってくると思われます。

ExecPHP など管理画面のコンテンツエディタに PHP を書き込み実行させるプラグインの危険性

ExecPHPなど、投稿やページのコンテンツエリアにPHPのプログラムを書き込みそれを実行するようなプラグインは、今回の場合も、より重大な被害を受けます。

マイナーバージョンのアップデート機能について

今回の脆弱性を修正させたバージョンは、マイナーアップデートと呼ばれるものでした。特別な設定や不具合がなければ、つまりデフォルトの状態であれば、自動的にアップデートが適用されるようになっています。大部分のWordPressサイトは、今回の脆弱性の情報公開と攻撃の開始の前にアップデートされており、影響を受けていない状況です(WordPress側からの今回の脆弱性についての情報公開手法の詳細は「WordPress 4.7.2 セキュリティーフィックスについての追加情報開示」で読むことができます)。

SPONSORED LINK

この記事を書いた人

西川伸一

男木島という瀬戸内海の小島に暮らしています。その前は、バンコクで2年半暮らしていて、その前は東京でした。最近はポッドキャストをするのが趣味です。WordCamp Ogijima 2018, WordCamp Tokyo 2012の実行委員長や、Bangkok WordPress Meetupの立ち上げなど頑張りました。仕事は、Human Madeの日本事業統括。WordPressをコアに、エンタープライズやパブリッシャーのためのもろもろの機能(WordPressプラグインや開発環境、AWSサービス群)を束ねたDXP、Altisの普及を促進しています。

Club Capital P

Club Capital PはCapital Pのファンクラブです。有料会員制となっており、Gumroad経由でサブスクリプションをご購入いただき、ライセンスキーを登録いただくことで、会員特典を受け取ることができます。