[記事数:1,202] 日本を元気にするキーワード、地域活性化×中小企業× ITのTips and Quotes(秘訣と引用文)
creative  link  memo 

WordPressやJoomlaサイトの改ざん相次ぐ、ランサムウェアへ誘導



WordPressやJoomlaサイトの改ざん相次ぐ、ランサムウェアへ誘導
改ざんされたWordPressサイトやJoomlaサイトをユーザーが閲覧すると、悪質なWebサイトへリダイレクトされ、ランサムウェアの「TeslaCrypt」に感染する恐れがある。

 ユーザーをランサムウェア(身代金要求型不正プログラム)に感染させる手段として、オープンソースのコンテンツ管理システム(CMS)を使ったサイトが悪用される事例が相次いで発覚している。米セキュリティ機関SANS Internet Storm Centerの研究者は、WordPressに続いてJoomlaサイトが利用されているのが見つかったと伝えた。

ki_rw01ランサムウェアに感染するとこのような表示で脅迫される(出典:SANS ISC InfoSec Forums)
 セキュリティ企業のSucuriは2月1日の時点で、改ざんされたWordPressサイトが悪質なURLを仕込んだ隠しiframeを生成していると報告していた。SANSの研究者によれば、この攻撃に関連して、脆弱性悪用ツールのエクスプロイトキット(EK)のトラフィックが同2日ごろから増大。最近になって、Joomlaサイトも同様の攻撃に使われ始めたという。

 こうした手口では、改ざんされたWordPressサイトやJoomlaサイトをユーザーが閲覧すると、エクスプロイトキットの「Nuclear EK」や「Angler EK」を仕込んだ悪質なWebサイトへリダイレクトされ、ランサムウェアの「TeslaCrypt」に感染する恐れがある。

 使われているランサムウェアはTeslaCryptにとどまらず、SANSの研究者は「CryptoWall」に感染させる事例も確認したと報告している。

ki_rw02Angler EKを仕込んだ悪質なWebサイトへリダイレクトされる(出典:SANS ISC InfoSec Forums)

「WordPress」のサイトを閲覧するだけで感染するランサムウェアが「Joomla」にも拡大

 ウェブページを閲覧するだけで、ユーザーの使用しているコンピュータにランサムウェアをインストールするという新手のマルウェアが、コンテンツ管理システム(CMS)「WordPress」を使用しているウェブサイトだけでなく、「Joomla」を使用しているウェブサイトでも確認された。この攻撃ベクタの拡大は、マルウェアの不穏な進化を象徴している。

 Rackspaceのセキュリティ研究者であり、Internet Storm CenterのコントリビューターでもあるBrad Duncan氏によると、「admedia」と名付けられたこの攻撃キャンペーンは従来の標的であったWordPressから、脆弱性を抱えたJoomlaへと拡大してきているという。

 Securi Labsは1月、「WordPress使用サイトでの感染事例が急増」し、ウェブサイト上のJavaScript(.js)ファイルが改変されているという事実を公表した。一連の状況を分析した結果、JavaScriptに感染する「admedia iframe injection」というこのマルウェアは、複数のバックドアをインストールするだけでなく、感染したWordPressサイト上に悪意のあるadmediaドメインを生成し、そこを経由することでユーザーに悟られないよう、「TeslaCrypt」というランサムウェアが組み込まれたエクスプロイトキットサーバにアクセスさせるという事実が明らかになった。

 ランサムウェアは、マルウェアのなかで特にたちが悪く、壊滅的な打撃を及ぼす可能性もある。こういったマルウェアには「WinLocker」やTeslaCrypt、「CoinVault」など、さまざまな種類があるが、いずれもユーザーから金銭を巻き上げようとするという共通点がある。

 ランサムウェアはいったんユーザーのPCに感染すると(たいていの場合はフィッシングキャンペーンや悪意のあるダウンロードサイトによる)、PCをロックし、ファイルを暗号化した後、ユーザーコンテンツを復号するための鍵との引き替えとして、仮想通貨での身代金支払いを要求する。

 サイバーセキュリティを手がける企業は無料でファイルを復号化するソフトウェアを開発しようと取り組んでいるが、マルウェアの頻繁なアップデートとともに、さまざまな系列のマルウェアの恒常的な進化、拡散という現状の前に苦戦している。

 TeslaCryptというランサムウェアは今や、脆弱性を抱えたWordPressを使用しているサイトだけではなく、Joomlaを使用しているサイトでも見つかっている。Duncan氏が先週語ったところによると、2016年初めに公表された最初のレポートでは、エクスプロイトキットが格納されたサーバへの橋渡しをするURL(ゲート)の中に「admedia」という文字列が使われていると報告されていたものの、その後「megaadvertize」という文字列も使用されるようになり、ランサムウェアを保持するエクスプロイトキットも一部のケースでは「Nuclear Exploit Kit」(Nuclear EK)から「Angler Exploit Kit」(Angler EK)に切り替えられているという。

 Duncan氏は「Joomlaのサイトがadmediaゲートを生成しているのを、この24時間のうちに確認した。つまりこの攻撃キャンペーンは、もはやWordPressのサイトに限られた話ではなくなっている」と述べた。

 同氏によると、影響を受けたJoomlaのウェブサイトには、WordPressへの攻撃と同様のテクニックを利用できる脆弱性が存在しているという。ウェブサイトへの侵入が成功すると、そのウェブサイトのページ上で実行される正当なJavaScriptファイルに悪意のあるコードが埋め込まれ、それがホスティングされる結果、エクスプロイトキットサーバへのゲートウェイとして機能するようになる。

Fig Duncan氏はコードの分析中に、Angler EKがロードされるページを発見した。

 マルウェアからのコールバックトラフィックのいくつかを以下に示す。

178.62.122.211 – img.belayamorda.info – admediaゲート
185.46.11.113 – ssd.summerspellman.com – Angler EK
192.185.39.64 – clothdiapersexpert.com – TeslaCryptのコールバックトラフィック

 これはJoomlaを運用しているウェブ管理者にとって悪い知らせと言える。トラフィックや露出度という観点から、正当なインターネットドメイン名を攻撃ベクタとして使用することが一般的になってきている。このため管理者が自らのドメインをセキュアなものに保ち続けるには、ウェブサイトのCMSシステムに対するパッチをすべて適用して最新の状態にするとともに、ウェブサイトの訪問者をリスクにさらしかねない新たな脆弱性情報に通じておく必要がある。





FavoriteLoadingお気に入りAdd to favorites
パナマ文書の流出原因は、WordPressのプラグイン? セキュリティが穴だらけだったことが判明... パナマ文書の流出原因は、Wordpressのプラグイン? セキュリティが穴だらけだったことが判明 2016.04.11 13:00 思わぬところに穴が…。 世界中の政治家や経済人、著名スポーツ選手など、いわゆる「世界トップの大金持ち」たちがタックスヘイブンで資産を隠しているのではないか...
「WordPress 4.2.3」公開、XSSの脆弱性を修正... 「WordPress 4.2.3」公開、XSSの脆弱性を修正 XSSの脆弱性を悪用された場合、「投稿者」「寄稿者」の権限を持つユーザーがWebサイトを制御できてしまう恐れがある。  WordPressの脆弱性を修正した更新版の「WordPress 4.2.3」が7月23日付でリリースされた。...
Lenovo、今度はThinkPadにユーザーデータ収集ソフトを潜ませていた... 2015年9月25日 20時59分 Lenovo、今度はThinkPadにユーザーデータ収集ソフトを潜ませていた 今年2月、中国メーカーのLenovoが、販売しているノートパソコンへ密かに凶悪なアドウェアを混入していることが発覚しましたが、今回新たに、ユーザーデータを収集するソフトウェアを埋...
155万サイトが改ざん被害、WordPressのREST API脆弱性を20のグループが攻撃、米Fe... 155万サイトが改ざん被害、WordPressのREST API脆弱性を20のグループが攻撃、米Feedjit報告 2017年2月13日 13:18 WordPress向けのセキュリティプラグイン「Wordfence Security」を提供している米Feedji...
キャッシュプラグイン「WP Super Cache」に複数の脆弱性... キャッシュプラグイン「WP Super Cache」に複数の脆弱性 コンテンツマネジメントシステム「WordPress」向けに提供されているプラグイン「WP Super Cache」に複数の脆弱性が含まれていることがわかった。アップデートが公開されている。 「WP Super Cache...
WordPress用リンク切れチェックプラグイン「Broken Link Checker」に脆弱性... WordPress用リンク切れチェックプラグインに脆弱性 コンテンツマネジメントシステム(CMS)であるWordPressの利用者向けに提供されているプラグインソフト「Broken Link Checker」にクロスサイトスクリプティング(XSS)の脆弱性が含まれていることが判明した。...
WordPress用モバイル対応プラグイン「WP Mobile Detector」にゼロデイ攻撃 &... WordPress用モバイル対応プラグインにゼロデイ攻撃 - 修正版が公開 「WordPress」において、モバイル端末向けに最適なテーマを表示するためのプラグイン「WP Mobile Detector」に脆弱性が存在し、ゼロデイ攻撃が発生していたことがわかった。修正版がリリースされている。 ...
中国百度アプリに暗号化の不備、個人情報漏えいも=調査... 中国百度アプリに暗号化の不備、個人情報漏えいも=調査 ロイター 2月24日(水)16時42分配信 [シンガポール/北京 24日 ロイター] - 中国ネット検索大手の百度(バイドゥ)<BIDU.O>が、セキュリティーに不備のあるアプリを介して利用者の個人情報を収集しており、そうした情報の多くが...
Google Analytics連携用のWordPress向けプラグイン「Google Analyt... 「Google Analytics」連携用のWordPress向けプラグインに脆弱性 「Google Analytics」との連携を実現する「WordPress」向けプラグイン「Google Analyticator」に脆弱性が含まれていたことがわかった。アップデートが公開されている。...
WP向けカートプラグイン旧版にSQLインジェクションの脆弱性... WP向けカートプラグイン旧版にSQLインジェクションの脆弱性 コンテンツマネジメントシステム「WordPress」向けに提供されているショッピングサイト構築用プラグイン「Welcart」の旧版に脆弱性が含まれていることがわかった。「同1.5.3」以降で修正されているという。 脆弱性情報の...




コメントを残す