WordPress サイトがフェイク・ランサムウェアに攻撃されている

WordPress sites are being hacked in fake ransomware attacks

2021/11/16 BleepingComputer — 先週末から始まった、この新たな攻撃では、300近くの WordPress サイトがハッキングされ、偽の暗号化通知が表示され、サイトの所有者を騙して 0.1 Bitcoinを支払わせようとしている。これらの身代金要求には、カウントダウン・タイマーが付いており、緊急性を感じさせ、Web 管理者を慌てさせて身代金を支払わせようとする。

0.1 Bitcoin (~$6,069.23) という身代金の要求額は、有名なランサムウェア攻撃と比べると大きなものはないが、多くの Web サイト・オーナーにとっては、かなりの金額になる。

巧妙なトリック

一連の攻撃を発見したのは、被害者の1社からインシデント対応を依頼された、サイバーセキュリティ企業の Sucuri である。調査員たちが発見したのは、これらの Web サイトは暗号化されたのではなく、インストールされていた WordPress プラグインを改変して、身代金請求書とカウント・ダウンを表示させていたことである。

このプラグインは、身代金請求書を表示するだけではなく、WordPress の全てのブログ記事を変更し、その「post_status」を「null」に設定することで、未公開状態にしていた。このようにして、サイトが暗号化されたかのような、シンプルかつパワフルな錯覚を作り出していた。したがって、プラグインを削除し、記事やページを再公開するコマンドを実行すると、サイトは通常の状態に戻った。

さらに Sucuri は、ネットワーク・トラフィック・ログを分析し、脅威アクターの IP アドレスが最初に現れたポイントが、wp-admin パネルであることを発見した。つまり、侵入者の手口は、パスワード総当たり、もしくは、ダークウェブ・マーケットから調達した認証情報により、サイトの Admin としてログインしたことになる。これは孤立した攻撃ではなく、より広範なキャンペーンの一環であると考えられ、2つ目のシナリオが疑われている。

Sucuri が確認したプラグインは、サイト上にオンライン・ビジネス・ディレクトリのリストを構築する、Directorist ツールである。この攻撃により影響を受けた約291の Web を、Sucuri は追跡している。また、Google 検索では、クリーンアップされたサイトと、身代金請求書が表示された状況のサイトが混在している。BleepingComputer が検索結果で確認したサイトは全て、同じ Bitcoin アドレスである、3BkiGYFh6QtjtNCPNNjGwszoqqCka2SDEc を使用しており、身代金の支払いは受けていない。

暗号化から Web サイトを守るために

Sucuri は、WordPress サイトをハッキングから守るために、以下のようなセキュリティ対策を提案している。

  • サイトの管理者ユーザーを見直し、偽のアカウントを削除し、すべての wp-admin パスワードを更新/変更する。
  • wp-admin の管理者ページを保護する。
  • その他のアクセス・ポイントのパスワードを変更する (データベース/FTP/cPanel など) 。
  • Web サイトをファイアウォールで保護する。
  • 暗号化に対して簡単に復元できるよう、信頼できるバック・アップ方法に従う。

    一般的に、WordPress は脅威の対象となっているため、インストールされている全てのプラグインが、最新版であることを確認すべきである。

WordPress は攻撃の対象となるという見方には、おおいに納得です。それだけ、さまざまな分野で、さまざまな目的で、利用されているサービスということなのでしょう。その一方で、脆弱性情報を拾っていると、膨大なプラグインの数と、膨大なプラグインの欠陥という、このプラットフォームの特性が目についてきます。なるべく、プラグインは使わないという運用が、もっとも安全なのは、言うまでもありません。

%d bloggers like this: