Sucuriは10月18日(米国時間)、「Fake “Fix It” Pop-Ups Target WordPress Sites via Malicious Plugin to Download Trojan」において、WordPressサイトからマルウェアを配布する新しいキャンペーンを発見したと伝えた。このキャンペーンでは正常なWordPressサイトを侵害し、悪意のあるプラグインをインストールして訪問者にマルウェアを配布するという。
-
Fake “Fix It” Pop-Ups Target WordPress Sites via Malicious Plugin to Download Trojan
侵害経路
Sucuriの調査によると、攻撃者がインストールする悪意のあるプラグインは「universal-popup-plugin」とされる。GoDaddyセキュリティチームも同一キャンペーンによりインストールされたと推測されるプラグインを複数発見しており、それら一覧は次のとおり(参考:「Threat Actors Push ClickFix Fake Browser Updates Using Stolen Credentials - GoDaddy Blog」)。
- universal-popup-plugin
- Admin Bar Customizer
- Advanced User Manager
- Advanced Widget Manage
- Content Blocker
- Custom CSS Injector
- Custom Footer Generator
- Custom Login Styler
- Dynamic Sidebar Manager
- Easy Themes Manager
- Form Builder Pro
- Quick Cache Cleaner
- Responsive Menu Builder
- SEO Optimizer Pro
- Simple Post Enhancer
- Social Media Integrator
これまでのところ、WordPressサイトに不正アクセスした方法は明らかになっていない。何らかの方法でWordPressサイトに侵入した攻撃者は上記プラグインのいずれかをインストールし、Webサイト訪問者に偽のポップアップを表示してマルウェアの配布を試みたとされる。
偽のポップアップはWebページのエラーを表示し、修正方法として「ルート証明書」のインストール、またはWebブラウザの偽の更新を要求する。いずれの場合も修正手順としてマルウェアのインストール手順を表示し、被害者自身にマルウェアをインストールさせる「ClickFix戦術」を使用したことが確認されている(参考:「Google Meetのエラーを装いマルウェア配布、偽会議の招待に注意 | TECH+(テックプラス)」)。
-
修正手順として表示されるマルウェアのインストール手順 引用:Sucuri
影響と対策
最終的にインストールされるマルウェアはトロイの木馬とされ、感染するとデータの窃取、遠隔制御、追加マルウェアのインストールなど、深刻な被害に遭う可能性がある。
Sucuriはこのような攻撃を回避するため、WordPressサイトの管理者に次の対策の実践を推奨している。
- 定期的にインストールしているプラグインやテーマを確認し、不審なプラグインや使用しないプラグインをすべて削除する
- Webサイトを構成するすべてのソフトウェアのアカウントに一意で強力なパスワードを設定する
- 定期的にWebサイトのアクティビティを監視し、不審な活動や見覚えのない管理者アカウントが存在しないことを確認する
- WordPressの管理ページへのアクセスに多要素認証(MFA: Multi-Factor Authentication)を導入する。また、可能であればアクセス制限を実施する
- Webサイトを構成するすべてのソフトウェアを常に最新の状態に維持する
- Webアプリケーションファイアウォール(WAF: Web Application Firewall)を導入する
WordPressはCMS(Content Management System)の中で最も利用者が多いことから、サイバー犯罪者にとって魅力的な標的とされる。そのため、WordPressサイトの管理者には万全なセキュリティの構築と、継続的な対策の実施が望まれている。
メルカリで相次ぐ不正行為、どう対処しているのか? 不正対策部門の責任者に直撃
