[記事数:1,202] 日本を元気にするキーワード、地域活性化×中小企業× ITのTips and Quotes(秘訣と引用文)
creative  link  memo 

WordPressやJoomlaサイトの改ざん相次ぐ、ランサムウェアへ誘導



WordPressやJoomlaサイトの改ざん相次ぐ、ランサムウェアへ誘導
改ざんされたWordPressサイトやJoomlaサイトをユーザーが閲覧すると、悪質なWebサイトへリダイレクトされ、ランサムウェアの「TeslaCrypt」に感染する恐れがある。

 ユーザーをランサムウェア(身代金要求型不正プログラム)に感染させる手段として、オープンソースのコンテンツ管理システム(CMS)を使ったサイトが悪用される事例が相次いで発覚している。米セキュリティ機関SANS Internet Storm Centerの研究者は、WordPressに続いてJoomlaサイトが利用されているのが見つかったと伝えた。

ki_rw01ランサムウェアに感染するとこのような表示で脅迫される(出典:SANS ISC InfoSec Forums)
 セキュリティ企業のSucuriは2月1日の時点で、改ざんされたWordPressサイトが悪質なURLを仕込んだ隠しiframeを生成していると報告していた。SANSの研究者によれば、この攻撃に関連して、脆弱性悪用ツールのエクスプロイトキット(EK)のトラフィックが同2日ごろから増大。最近になって、Joomlaサイトも同様の攻撃に使われ始めたという。

 こうした手口では、改ざんされたWordPressサイトやJoomlaサイトをユーザーが閲覧すると、エクスプロイトキットの「Nuclear EK」や「Angler EK」を仕込んだ悪質なWebサイトへリダイレクトされ、ランサムウェアの「TeslaCrypt」に感染する恐れがある。

 使われているランサムウェアはTeslaCryptにとどまらず、SANSの研究者は「CryptoWall」に感染させる事例も確認したと報告している。

ki_rw02Angler EKを仕込んだ悪質なWebサイトへリダイレクトされる(出典:SANS ISC InfoSec Forums)

「WordPress」のサイトを閲覧するだけで感染するランサムウェアが「Joomla」にも拡大

 ウェブページを閲覧するだけで、ユーザーの使用しているコンピュータにランサムウェアをインストールするという新手のマルウェアが、コンテンツ管理システム(CMS)「WordPress」を使用しているウェブサイトだけでなく、「Joomla」を使用しているウェブサイトでも確認された。この攻撃ベクタの拡大は、マルウェアの不穏な進化を象徴している。

 Rackspaceのセキュリティ研究者であり、Internet Storm CenterのコントリビューターでもあるBrad Duncan氏によると、「admedia」と名付けられたこの攻撃キャンペーンは従来の標的であったWordPressから、脆弱性を抱えたJoomlaへと拡大してきているという。

 Securi Labsは1月、「WordPress使用サイトでの感染事例が急増」し、ウェブサイト上のJavaScript(.js)ファイルが改変されているという事実を公表した。一連の状況を分析した結果、JavaScriptに感染する「admedia iframe injection」というこのマルウェアは、複数のバックドアをインストールするだけでなく、感染したWordPressサイト上に悪意のあるadmediaドメインを生成し、そこを経由することでユーザーに悟られないよう、「TeslaCrypt」というランサムウェアが組み込まれたエクスプロイトキットサーバにアクセスさせるという事実が明らかになった。

 ランサムウェアは、マルウェアのなかで特にたちが悪く、壊滅的な打撃を及ぼす可能性もある。こういったマルウェアには「WinLocker」やTeslaCrypt、「CoinVault」など、さまざまな種類があるが、いずれもユーザーから金銭を巻き上げようとするという共通点がある。

 ランサムウェアはいったんユーザーのPCに感染すると(たいていの場合はフィッシングキャンペーンや悪意のあるダウンロードサイトによる)、PCをロックし、ファイルを暗号化した後、ユーザーコンテンツを復号するための鍵との引き替えとして、仮想通貨での身代金支払いを要求する。

 サイバーセキュリティを手がける企業は無料でファイルを復号化するソフトウェアを開発しようと取り組んでいるが、マルウェアの頻繁なアップデートとともに、さまざまな系列のマルウェアの恒常的な進化、拡散という現状の前に苦戦している。

 TeslaCryptというランサムウェアは今や、脆弱性を抱えたWordPressを使用しているサイトだけではなく、Joomlaを使用しているサイトでも見つかっている。Duncan氏が先週語ったところによると、2016年初めに公表された最初のレポートでは、エクスプロイトキットが格納されたサーバへの橋渡しをするURL(ゲート)の中に「admedia」という文字列が使われていると報告されていたものの、その後「megaadvertize」という文字列も使用されるようになり、ランサムウェアを保持するエクスプロイトキットも一部のケースでは「Nuclear Exploit Kit」(Nuclear EK)から「Angler Exploit Kit」(Angler EK)に切り替えられているという。

 Duncan氏は「Joomlaのサイトがadmediaゲートを生成しているのを、この24時間のうちに確認した。つまりこの攻撃キャンペーンは、もはやWordPressのサイトに限られた話ではなくなっている」と述べた。

 同氏によると、影響を受けたJoomlaのウェブサイトには、WordPressへの攻撃と同様のテクニックを利用できる脆弱性が存在しているという。ウェブサイトへの侵入が成功すると、そのウェブサイトのページ上で実行される正当なJavaScriptファイルに悪意のあるコードが埋め込まれ、それがホスティングされる結果、エクスプロイトキットサーバへのゲートウェイとして機能するようになる。

Fig Duncan氏はコードの分析中に、Angler EKがロードされるページを発見した。

 マルウェアからのコールバックトラフィックのいくつかを以下に示す。

178.62.122.211 – img.belayamorda.info – admediaゲート
185.46.11.113 – ssd.summerspellman.com – Angler EK
192.185.39.64 – clothdiapersexpert.com – TeslaCryptのコールバックトラフィック

 これはJoomlaを運用しているウェブ管理者にとって悪い知らせと言える。トラフィックや露出度という観点から、正当なインターネットドメイン名を攻撃ベクタとして使用することが一般的になってきている。このため管理者が自らのドメインをセキュアなものに保ち続けるには、ウェブサイトのCMSシステムに対するパッチをすべて適用して最新の状態にするとともに、ウェブサイトの訪問者をリスクにさらしかねない新たな脆弱性情報に通じておく必要がある。





FavoriteLoadingお気に入りAdd to favorites
WordPressへフォームを設置するプラグイン「Ninja Forms」に深刻な脆弱性... WordPressへフォームを設置するプラグインに深刻な脆弱性 WordPressにフォームを追加するプラグイン「Ninja Forms」に脆弱性が含まれていることがわかった。セキュリティ機関が注意を呼びかけている。 脆弱性情報のポータルサイトであるJVNによれば、フォームより送信された...
レノボ製パソコンにスパイウェア、2省・市が注意喚起... レノボ製パソコンにスパイウェア、2省・市が注意喚起 2016/01/08 14:52 JST配信  東北部地方クアンニン省人民委員会はこのほど、「スパイウェア」をプリインストールされた中国の聯想集団(Lenovo Group=レノボグループ)製のパソコンの使用に注意を促す公文書を各部局や市・...
IPA、WordPressの脆弱性対策で最新版へのアップデートを呼びかけ... IPA、WordPressの脆弱性対策で最新版へのアップデートを呼びかけ 2017/02/06 19:21  独立行政法人情報処理推進機構(IPA)は2月6日、WordPressの脆弱性対策について発表した。 影響を受けるバージョンは、WordPress 4.7.0からWordPres...
WordPress向けプラグイン「Nofollow Links」に脆弱性... WordPress向けプラグイン「Nofollow Links」に脆弱性 WordPress向けに提供されているプラグイン「Nofollow Links」に脆弱性が含まれていることがわかった。アップデートがリリースされている。 同プラグインは、WordPressにおいて特定のリンクへ「n...
「WordPress」に深刻な脆弱性 – セキュリティ更新が公開... 「WordPress」に深刻な脆弱性 - セキュリティ更新が公開 コンテンツマネージメントシステム(CMS)の「WordPress」に、深刻な脆弱性が含まれていることがわかった。脆弱性を解消するセキュリティアップデートが公開されており、早急に更新するよう強く推奨されている。 セキュリティ...
「WordPress 4.2」の更新版公開、全バージョンに深刻な脆弱性が存在... 2015年04月28日 07時01分 更新 「WordPress 4.2」の更新版公開、全バージョンに深刻な脆弱性が存在 セキュリティ企業によれば、WordPress 4.2、4.1.2、4.1.1、3.9.3の各バージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在する。  W...
分析用JavaScriptコードのフリをしたマルウェアに注意 – WordPress... 分析用JavaScriptコードのフリをしたマルウェアに注意 - WordPress Webページへのアクセスを分析する目的で各ページに分析用のJavaScriptコードを挿入することがある。アクセスデータはサービスを提供しているベンダーで集計され、多くの場合は専用のダッシュボードを経由し...
WordPress用プラグイン「All in One SEO Pack」に情報管理不備の脆弱性... WordPress用プラグイン「All in One SEO Pack」に情報管理不備の脆弱性 情報処理推進機構(IPA)のセキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は3月31日、WordPress用プラグイン「All in One SEO Pa...
Yoast WordPress SEO plugin version 2.2脆弱性、2年を経て修正版... WordPress人気のプラグインに脆弱性、2年を経て修正版 6月11日(米国時間)、Threatpostに掲載された記事「Popular WordPress SEO Plugin Fixes XSS Bug|Threatpost|The first stop for security...
ワードプレスの脆弱性問題で6万件以上の改ざん被害、日本でも攻撃量が急増... ワードプレスの脆弱性問題で6万件以上の改ざん被害、日本でも攻撃量が急増 2017年02月10日 12時19分 Sucuri社のブログ 株式会社サイバーセキュリティクラウドは9日、同社によるサイバーセキュリティに関する意識喚起「サイバー攻撃速報」において、WordPressの脆弱性を狙うサイバ...




コメントを残す