ウクライナの WordPress 防衛:Wordfence がリアルタイムの脅威インテリジェンスを提供

Ukrainian sites saw a 10x increase in attacks when invasion started

2022/03/02 BleepingComputer — ロシアがウクライナ侵攻を開始して以来、ウクライナの WordPress サイトに対する大量の攻撃が発生し、Web サイトのダウンにより市民の士気が低下している。ウクライナの大学/政府/軍/法執行機関に属する 8,320 の WordPress サイトを保護する Wordfence は、2月25日だけで 144,000回の攻撃を記録したと報告している。

Attacks on UA Domains
Attacks on UA Domains
Source: Wordfence

今回の攻撃は、2月25日〜27日に 209,624回の攻撃を受けた、376件の学術 Web サイトのサブセットを狙ったものと思われる。この大規模な波状攻撃により、ウクライナの 30の大学 Web サイトが危険にさらされ、その大半が完全に改ざんされ、サービス利用が停止する状態に陥った。

Wordfence のブログポストは、「ここでは、高度な悪用試みを示すために [攻撃] という用語を使用する。そこには、単純なブルートフォース攻撃や、分散型サービス拒否トラフィックは含まれない。Wordfence が保護するサイトであり、ターゲットにされた WordPress サイトの脆弱性を悪用しようとする試みのみが含まれる」と説明している。

ウクライナの教育がターゲット

これらの攻撃の背後にいるハッキング・グループは、theMx0nday と呼ばれる親ロシア派であり、改ざんアグリゲータである Zone-H に、彼らはハッキングの証拠を投稿している。

Most recent theMx9nday defacement acts
Most recent theMx9nday defacement acts
Source: BleepingComputer

Wordfence の調べによると、この脅威アクターはブラジルに拠点を置いているが、匿名のインターネット・サービス・プロバイダー Njalla を用いて、フィンランドの IP アドレスを経由して攻撃を仕掛けていることが判明している。

この脅威アクター・グループは、これまでにブラジル/インドネシア/スペイン/アルゼンチン/米国/トルコの Web サイトを攻撃しており、Zone-H としての最初のエントリーは 2019年4月にさかのぼる。

The hacking group declaring their support for Russia
The hackers declaring their support for Russia
Source: Wordfence

Wordfence が特別措置を講じる

Wordfence は、その歴史の中で初めて、サービスのサブスクリプション・レベルに関係なく、すべてのウクライナの Web サイトに対して、リアルタイムの脅威インテリジェンスを展開することを決定した。通常、この機能はプレミアム顧客のみが利用できるものである。

Wordfence は、「この機能は通常、Premium 顧客にのみ提供されている。このアップデートは、ウクライナ・ドメインの無料版 Wordfence のユーザーによるアクションは必要ない」と述べている。

Wordfence は、「我々は、ウクライナの Web サイトに対して、このライブ・セキュリティ・フィードを自動的にアクティブにしていく。これからの数時間のうちに、Wordfence の無料版を実行している、ウクライナの 8,000 以上の Web サイトは、問題となっている標的型の攻撃に対して、自動的に安全なものになる」と述べている。

これらの攻撃に使用された IP アドレスは、すでに関連するブロック・リストに追加されており、そのブロック・リストは定期的に使用される、新たな IP を追加するために自動更新されていく。

さらに、Wordfence は、無料ライセンスを使用している顧客にには、30 日間の遅れで提供される新しいファイアウォール・ルールを、ウクライナの Web サイトには直ちにプッシュしていくとも述べている。

この記事は、もちろんウクライナ侵攻を、ひとつの視点から解説するものです。その一方で、WordPress 自体に目を転じてみると、2021年11月の「GoDaddy の 120万人分のデータ侵害は Managed WordPress で起こった」や、2022年1月の「WordPress プラグインの深刻な脆弱性 CVE-2022-0215:Web サイト 84,000 件に影響」、「WordPress にサプライチェーン攻撃の可能性:93 のテーマ/プラグインにバックドア」といった具合に、年末から年始にかけていくつかの問題が発生していました。ウクライナの大学などが、WordPress に大きく依存していることが分かった一件だけに、この重要なプラットフォームが保護されるよう、Wordfence には頑張って欲しいと思います。→ Ukraine まとめページ

%d bloggers like this: