Ghost CMS の CVE-2026-26980 を悪用:700 件以上のサイトで ClickFix マルウェア感染

Ghost CMS Vulnerability Exploited to Infect 700 Sites With ClickFix Malware

2026/05/26 gbhackers — 広く利用される Ghost CMS に存在する、深刻な SQL インジェクションの脆弱性 CVE-2026-26980 を積極的に悪用する脅威アクターが、大規模なページ・ポイズニング攻撃を通じて ClickFix マルウェアを配布している。この脆弱性により、攻撃者は認証を必要とせずにデータベース内の機密情報を抽出できるが、その中には Ghost Admin API キーが含まれる。

この管理用キーは、読み取り専用の Content API キーとは異なり、サイトのコンテンツに対する完全な制御権を持つ。したがって、このキーを取得した攻撃者は、秘密裏に記事を改竄して悪意の JavaScript コードを大規模に注入し、正規の Web サイトをマルウェア配布プラットフォームへ変貌させる。

この攻撃は、CMS の侵害から被害者の端末上でのマルウェア実行に至るまでのプロセスを、高度に自動化/構造化された攻撃チェーンで構成している。最初に、CVE-2026-26980 を悪用した攻撃者は、記事末尾に軽量な JavaScript ローダーを挿入する。続いて、攻撃者が制御するインフラから第 2 段階ペイロードを動的に読み込ませるが、多くのケースで用いられるのは、検知回避のためのクローキング技術である。

第 2 段階では、トラフィック・フィルタリングとフィンガープリンティング機構が用いられる。攻撃者は、WebGL 情報/タイムゾーン/ユーザー行動シグナルなどのブラウザとシステムの情報を収集し、実ユーザーかどうかを判定したうえで悪意のコンテンツの配信を判断する。その際に、正規ユーザーは偽の Cloudflare 認証ページへリダイレクトされるが、セキュリティ・ツールに対しては無害なコンテンツが返されるため、長期間にわたり検知を回避する攻撃キャンペーンが成立する。

Ghost CMS Poisoning Incident Timeline (Source : XLab).
Ghost CMS Poisoning Incident Timeline (Source : XLab).

第 3 段階では、ClickFix 型のソーシャル・エンジニアリングが実行される。被害者は偽の CAPTCHA 認証を完了するよう誘導され、その過程で Windows の「ファイル名を指定して実行」ダイアログからコマンドを実行するよう指示される。

XLab の研究者によると、大学/SaaS プラットフォーム/メディア/セキュリティ・ブログを含む 700 以上のドメインが影響を受けており、未パッチの CMS がもたらすリスクの大きさが浮き彫りになっている。

このコマンドが、バックグラウンドでダウンロードされた悪意のペイロードの抽出/実行を担うため、大半のユーザーは感染に気付かない。この手法は、信頼されている認証 UI を悪用することで、従来のセキュリティ対策やユーザーの警戒心を回避するものである。

最終段階では、installer.dll/UtilifySetup.exe などのマルウェア・ペイロードが展開される。これらは、パブリック・クラウド・ストレージや CDN サービスから取得され、rundll32 などの正規 Windows ユーティリティを介して実行される。

Ghost CMS の脆弱性

最新の亜種では、永続化機構の確立/C2 サーバとの通信/任意コード実行が確認されており、データ窃取や長期的アクセス維持へと進化していることが示唆されている。

研究者は、類似する手法を用いる、少なくとも 2 種類の脅威グループを確認している。実際に、数日の間に同一の Web サイトが別種のスクリプトにより再感染するケースも確認されていることから、攻撃者間の競合が示唆されている。一連の被害者には Harvard University や University of Oxford などの著名な教育機関も含まれている。

Detection data-stealing Trojan (Source : XLab).
Detection data-stealing Trojan (Source : XLab).

攻撃者の手法は、clo4shara[.]xyz から com-apps[.]cc への切り替えといった、頻繁なインフラのローテーションを実行しながら活動を継続するものである。こうした適応性とモジュール化ローダーの再利用により、攻撃キャンペーンは急速に拡大し持続している。

2026年2月に公開された CVE-2026-26980 だが、多くの Ghost CMS インスタンスが依然として未パッチ状態にある。それらの脆弱なインスタンスは、広範な攻撃対象領域を提供するだけではなく、侵害された API キーにより同一環境内に接続された他システムへの横展開が可能になるため、潜在的な影響範囲が拡大していく可能性がある。

Attack Chain Overview (Source : XLab).
Attack Chain Overview (Source : XLab).

セキュリティ専門家は、ユーザーに対して、以下の対応を強く推奨している。

  • Ghost CMS の修正版への速やかなアップグレード。
  • すべての API キーおよび認証情報のローテーション。
  • サイト・コンテンツおよびログの徹底的な調査と改竄の確認。

また、侵害された Web サイトを閲覧したユーザーに対しても、不審なダウンロードや実行履歴の有無の確認が推奨されている。その理由は、ユーザーが気付かない状況で、感染プロセスが進行する可能性があるからだ。

この攻撃キャンペーンが示すのは、広く利用されるプラットフォームの単一の未修正脆弱性が、自動化および巧妙なソーシャル・エンジニアリング手法と組み合わさることで、世界規模のマルウェア配布オペレーションへと急速に発展する可能性である。

訳者後書:この攻撃の大きな原因は、 Ghost CMS に見つかった SQL インジェクションの脆弱性 CVE-2026-26980 の放置にあります。この欠陥が悪用されると、本来守られるべき管理用の API キーが盗まれてしまい、 Web サイトの内容を自由に書き換えられてしまいます。便利な CMS であっても、パッチを適用せずに未対策のまま運用を続けることで、結果としてマルウェア配布の踏み台にされる隙を生み出します。ご利用のチームは、ご注意ください。