知って得するセキュリティのはなし その280
WordPressサイトに侵入してマルウェアを配布する攻撃…世界6,000以上のサイトに被害か
1.このニュースをざっくり言うと
- 10月18日(現地時間)、WordPress用セキュリティプラグイン等を提供する米Sucuri社より、WordPressサイトに侵入し、マルウェアを配布するよう改ざんを行う攻撃が確認されたとして注意喚起が出されています。
- 発表によれば、攻撃者は別途何らかの手段で侵入したWordPressサイトに「Universal Popup Plugin」と呼ばれる偽のプラグインをインストールし、サイトの訪問者に対しマルウェアをインストールするよう誘導する不審なポップアップを表示するよう改ざんしたとしています。
- 同17日には大手ドメイン名登録業者GoDaddy社のセキュリティチームからも、「Advanced User Manager」「Quick Cache Cleaner」等16種類の偽のプラグインのインストールによる攻撃が発表され、6月以降全世界6,000以上のサイトが被害を受けている模様です。
2.執筆者からの所感等
- 不審なポップアップの例として、サイトを正常に表示するためのルート証明書をインストールすると騙り、管理者権限でPowerShellスクリプトを実行させ、マルウェアに感染させるものが挙げられています。
- このような、いわゆるソーシャルエンジニアリングによるマルウェア感染攻撃が6月頃から確認されており、「ClickFix」攻撃として注意喚起されています。
- Sucuri社では、WordPressにおいてインストールしているプラグイン・テーマを定期的に確認し不審なもの・使用しないものは削除する、アカウントに一意で強力なパスワードを設定する(WordPress以外も含め)、サイトへの不審なアクセスや不正な管理者アカウントが作られていないか等の監視を行う、管理ページへのログインに多要素認証(MFA)の導入やアクセス制限を実施する、全てのソフトウェアについて最新バージョンに保つ、WAF(Webアプリケーションファイアウォール)を導入する、の6つを推奨しており、全てを完全にクリアすることが困難だとしても、推奨事項に目を通し、まだ導入していないものについて導入を検討していくことが大事でしょう。