GoDaddy がホストする WordPress にバックドア:たった1日で 300件の感染

Hundreds of GoDaddy-hosted sites backdoored in a single day

2022/03/16 BleepingComputer — インターネット・セキュリティ・アナリストたちは、GoDaddy の Managed WordPress サービスでホストされている、WordPress Web サイトへのバックドア感染が急増していることを発見し、すべてのバックドア・ペイロードが同一であることを明らかにした。このインシデントは、MediaTemple/tsoHost/123Reg/Domain Factory/Heart Internet/Host Europe Managed WordPress などの、インターネット・サービス・リセラーに影響を及ぼしている。

今回の発見は Wordfence によるものだ。同社のチームは、2022年3月11日に悪意の活動を発見し、それから 24時間以内に、298 の Web サイトがバックドアに感染し、そのうち 281 が GoDaddy でホストされていると分析した。

Backdoor infections monitor
Backdoor infections monitor (Wordfence)


昔からのテンプレート・スパマー

すべてのサイトに感染しているバックドアは、2015年に Google 検索 SEO 対策として wp-config.php に埋め込まれたツールであり、検索結果に悪意のページを注入するためのスパム・リンク・テンプレートを C2 から取得するために使用されている。

このキャンペーンでは、実際の Web コンテンツではなく、侵害された Web サイトの訪問者に提供される、主に医薬品のスパム・テンプレートが使用されている。これらのテンプレートの目的は、被害者が偽の製品を購入するように仕向け、金銭と支払いの詳細を脅威者に受け渡す点にある。

さらに、コンテンツを改ざんし、侵害を明らかにすることで、Web サイトの評判を傷つけることもできるが、現時点では、そこに脅威者の目的があるとは思えない。この種の攻撃は、ブラウザ上ではなくサーバー上で行われるため、ユーザー側からの検知や阻止が難しい。つまり、ローカルのインターネット・セキュリティ・ツールでは、その不審な点を検知できないのだ。

サプライチェーン攻撃?

侵入経路が特定されていないため、サプライチェーン攻撃の疑いもあるが、確認はされていない。Bleeping Computer は、この可能性について詳しく知るために、GoDaddy に問い合わせたが、まだ返事はない。

注目すべきは、GoDaddy が2021年11月に、120万人の顧客と、冒頭で述べた6社を含む複数の Managed WordPress サービス・リセラーに影響を与えた、データ侵害を公表していることだ。その侵害は、同社の Managed WordPress サイトを、プロビジョニングするシステムへの不正アクセスに関わるものだった。そのため、この2つの事象の関連性について示唆することは、決して突飛なことではない。

いずれにせよ、あなたの Web サイトが GoDaddy の Managed WordPress プラットフォームでホストされているなら、wp-config.php ファイルをスキャンし、バックドア注入の可能性を確認してほしい。

また、Wordfence は、バックドアを取り除くことが、最初のステップであるべきでだが、検索エンジンのスパム結果を取り除くことも優先されるべきだと、管理者たちに注意を促している。

GoDaddy と WordPress というと、2021年11月22日の「GoDaddy の 120万人分のデータ侵害は Managed WordPress で起こった」が記憶に残っています。このときには、GoDaddy がホストする WordPress の、とても機密度の高い情報が流出しています。したがって、文中にもあるように、この2つのインシデントの関連性に注目が集まってしまいます。なお、今年に入ってからの WordPress 関連のトピックとしては、1月10日の「WordPress 5.8.3 がリリース:SQL injection/XSS などの脆弱性に対応」と、1月16日の「WordPress プラグインの深刻な脆弱性 CVE-2022-0215:Web サイト 84,000 件に影響」があります。よろしければ、ご参照ください。

%d bloggers like this: