YODA という WordPress 検査ツール:24,000 のサイトで 47,000 の悪意の Plugin を検出

YODA Tool Found ~47,000 Malicious WordPress Plugins Installed in Over 24,000 Sites

2022/06/01 TheHackerNews — 24,931 の Web サイトで、47,337 もの不正な Plugin が発見され た。そのうちの 3,685 の Plugin は正規のマーケットプレイスで販売され、攻撃者たちは $41,500 もの不正な収益を手にしている。ジョージア工科大学の研究者グループが実施した、8年間にわたる調査によると、この結果は、不正な WordPress Plugin を検出し、その起源を追跡することを目的とした、YODA と呼ばれる新しいツールから得られたものとなる。

研究者たちは Mistrust Plugins You Must というタイトルの新しい論文で、「攻撃者は良性 Plugin 作成者になりすまし、海賊版 Plugin を配布することでマルウェアを拡散させた。Web サイト上の悪意の Plugin の数は、長年にわたって着実に増加し、この悪意のアクティビティ 2020年3月にピークに達した。そして、衝撃的なことに、その8年間にインストールされた悪意の Plugin の 94% が現在も動いている」と述べている。

こ の大規模な調査では、2012年にまでさかのぼり、410,122 のユニークな Web サーバーにインストールされた WordPress Plugin を分析した。その結果、総額で $834,000 相当の Plugin が脅威アクターによりデプロイされ、それらのサイトに感染していることが判明している。

YODA に関しては、Web サイトや Web サーバー・ホスティング・プロバイダーに直接統合することも、Plugin マーケット・プレイスで展開することも可能だという。YODA は、隠されたアドオンやマルウェアを検出するだけではなく、それらの Plugin の出所や所有者を特定するためにも使用できる。

Malicious WordPress Plugins


つまり YODA は、サーバーサイドのコードファイルと関連する、メタデータ (コメントなど) の解析を実行して Plugin を検出し、続いて構文解析と意味解析を実行し、悪意の動作にフラグを立てることが可能だ。

このセマンティック・モデルは、Web シェルや、新しい投稿を挿入する機能、パスワードで保護されたコードの注入、スパム、コードの難読化、ブラックアウト SEO、マルウェア・ダウンローダー、マルバタイジング、暗号通貨マイナーなどの、広範囲にわたるレッドフラグを説明するものとなる。

注目すべき調査結果の一部は、以下のとおりである。

  • 正規の Plugin マーケットプレイスで入手可能な、3,452 の Plugin がスパム注入を促進。
  • 18,034 の Web サイトにおいて展開された 40,533 の Plugin が感染。
  • 無効化された Plugin サーバー上で、悪意のコードをダウンロードするために改ざんされた WordPress Plugin/theme が 8,525件を占めている。
  • 海賊版 Plugin の約75%が、開発者から $228,000 の収益を騙し取っていた。

    研究者たちは、「YODA を使用することで、Web サイト所有者やホスティング・プロバイダーは、Web サーバー上の悪意の Plugin を特定でき、Plugin 開発者やマーケットプレイスは、配布前に Plugin をチェックできる」と指摘している。

WordPress のプラグインについて、お隣のキュレーションチームに聞いてみましたが、あまりにも脆弱性が多すぎて、対応できていないとのことでした。もちろん、主だったものは拾っているようですが、すべては無理と言っていました。多すぎる脆弱性情報は、ノイズになりかねないので、こうした判断が必要なのでしょう。それにしても、WordPress では、膨大な数のプラグインが使われているのですね。このブログも WP でホストしてもらっていますが、シンプルで安全第一の方針で運営しています。

%d bloggers like this: