[記事数:1,202] 日本を元気にするキーワード、地域活性化×中小企業× ITのTips and Quotes(秘訣と引用文)
creative  link  memo 

WordPressやJoomlaサイトの改ざん相次ぐ、ランサムウェアへ誘導



WordPressやJoomlaサイトの改ざん相次ぐ、ランサムウェアへ誘導
改ざんされたWordPressサイトやJoomlaサイトをユーザーが閲覧すると、悪質なWebサイトへリダイレクトされ、ランサムウェアの「TeslaCrypt」に感染する恐れがある。

 ユーザーをランサムウェア(身代金要求型不正プログラム)に感染させる手段として、オープンソースのコンテンツ管理システム(CMS)を使ったサイトが悪用される事例が相次いで発覚している。米セキュリティ機関SANS Internet Storm Centerの研究者は、WordPressに続いてJoomlaサイトが利用されているのが見つかったと伝えた。

ki_rw01ランサムウェアに感染するとこのような表示で脅迫される(出典:SANS ISC InfoSec Forums)
 セキュリティ企業のSucuriは2月1日の時点で、改ざんされたWordPressサイトが悪質なURLを仕込んだ隠しiframeを生成していると報告していた。SANSの研究者によれば、この攻撃に関連して、脆弱性悪用ツールのエクスプロイトキット(EK)のトラフィックが同2日ごろから増大。最近になって、Joomlaサイトも同様の攻撃に使われ始めたという。

 こうした手口では、改ざんされたWordPressサイトやJoomlaサイトをユーザーが閲覧すると、エクスプロイトキットの「Nuclear EK」や「Angler EK」を仕込んだ悪質なWebサイトへリダイレクトされ、ランサムウェアの「TeslaCrypt」に感染する恐れがある。

 使われているランサムウェアはTeslaCryptにとどまらず、SANSの研究者は「CryptoWall」に感染させる事例も確認したと報告している。

ki_rw02Angler EKを仕込んだ悪質なWebサイトへリダイレクトされる(出典:SANS ISC InfoSec Forums)

「WordPress」のサイトを閲覧するだけで感染するランサムウェアが「Joomla」にも拡大

 ウェブページを閲覧するだけで、ユーザーの使用しているコンピュータにランサムウェアをインストールするという新手のマルウェアが、コンテンツ管理システム(CMS)「WordPress」を使用しているウェブサイトだけでなく、「Joomla」を使用しているウェブサイトでも確認された。この攻撃ベクタの拡大は、マルウェアの不穏な進化を象徴している。

 Rackspaceのセキュリティ研究者であり、Internet Storm CenterのコントリビューターでもあるBrad Duncan氏によると、「admedia」と名付けられたこの攻撃キャンペーンは従来の標的であったWordPressから、脆弱性を抱えたJoomlaへと拡大してきているという。

 Securi Labsは1月、「WordPress使用サイトでの感染事例が急増」し、ウェブサイト上のJavaScript(.js)ファイルが改変されているという事実を公表した。一連の状況を分析した結果、JavaScriptに感染する「admedia iframe injection」というこのマルウェアは、複数のバックドアをインストールするだけでなく、感染したWordPressサイト上に悪意のあるadmediaドメインを生成し、そこを経由することでユーザーに悟られないよう、「TeslaCrypt」というランサムウェアが組み込まれたエクスプロイトキットサーバにアクセスさせるという事実が明らかになった。

 ランサムウェアは、マルウェアのなかで特にたちが悪く、壊滅的な打撃を及ぼす可能性もある。こういったマルウェアには「WinLocker」やTeslaCrypt、「CoinVault」など、さまざまな種類があるが、いずれもユーザーから金銭を巻き上げようとするという共通点がある。

 ランサムウェアはいったんユーザーのPCに感染すると(たいていの場合はフィッシングキャンペーンや悪意のあるダウンロードサイトによる)、PCをロックし、ファイルを暗号化した後、ユーザーコンテンツを復号するための鍵との引き替えとして、仮想通貨での身代金支払いを要求する。

 サイバーセキュリティを手がける企業は無料でファイルを復号化するソフトウェアを開発しようと取り組んでいるが、マルウェアの頻繁なアップデートとともに、さまざまな系列のマルウェアの恒常的な進化、拡散という現状の前に苦戦している。

 TeslaCryptというランサムウェアは今や、脆弱性を抱えたWordPressを使用しているサイトだけではなく、Joomlaを使用しているサイトでも見つかっている。Duncan氏が先週語ったところによると、2016年初めに公表された最初のレポートでは、エクスプロイトキットが格納されたサーバへの橋渡しをするURL(ゲート)の中に「admedia」という文字列が使われていると報告されていたものの、その後「megaadvertize」という文字列も使用されるようになり、ランサムウェアを保持するエクスプロイトキットも一部のケースでは「Nuclear Exploit Kit」(Nuclear EK)から「Angler Exploit Kit」(Angler EK)に切り替えられているという。

 Duncan氏は「Joomlaのサイトがadmediaゲートを生成しているのを、この24時間のうちに確認した。つまりこの攻撃キャンペーンは、もはやWordPressのサイトに限られた話ではなくなっている」と述べた。

 同氏によると、影響を受けたJoomlaのウェブサイトには、WordPressへの攻撃と同様のテクニックを利用できる脆弱性が存在しているという。ウェブサイトへの侵入が成功すると、そのウェブサイトのページ上で実行される正当なJavaScriptファイルに悪意のあるコードが埋め込まれ、それがホスティングされる結果、エクスプロイトキットサーバへのゲートウェイとして機能するようになる。

Fig Duncan氏はコードの分析中に、Angler EKがロードされるページを発見した。

 マルウェアからのコールバックトラフィックのいくつかを以下に示す。

178.62.122.211 – img.belayamorda.info – admediaゲート
185.46.11.113 – ssd.summerspellman.com – Angler EK
192.185.39.64 – clothdiapersexpert.com – TeslaCryptのコールバックトラフィック

 これはJoomlaを運用しているウェブ管理者にとって悪い知らせと言える。トラフィックや露出度という観点から、正当なインターネットドメイン名を攻撃ベクタとして使用することが一般的になってきている。このため管理者が自らのドメインをセキュアなものに保ち続けるには、ウェブサイトのCMSシステムに対するパッチをすべて適用して最新の状態にするとともに、ウェブサイトの訪問者をリスクにさらしかねない新たな脆弱性情報に通じておく必要がある。





FavoriteLoadingお気に入りAdd to favorites
「WPTouch」など多数のWordPressプラグインに脆弱性... 「WPTouch」など多数のWordPressプラグインに脆弱性 WordPress向けに提供されている複数のプラグインから、クロスサイトスクリプティングの脆弱性が見つかっているとして、セキュリティベンダーが注意を呼びかけている。関数の誤使用に起因し、多数のプラグインが影響を受けているという。...
WordPress向けネットショッププラグイン「Welcart e-Commerce」に脆弱性... WordPress向けネットショッププラグインに脆弱性 eコマースサイトを構築できるWordPress向けプラグイン「Welcart e-Commerce」に複数の脆弱性が含まれていることがわかった。 脆弱性情報のポータルサイトであるJVNによれば、「同1.4.17」や以前のバージョンに...
WordPress用プラグイン「Welcart e-Commerce」の脆弱性を公表... IPAとJPCERT/CC、WordPress用プラグイン「Welcart e-Commerce」の脆弱性を公表 2016年6月24日 16:50  独立行政法人情報処理推進機構(IPA)セキュリティセンターと一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は24日、...
WordPress向けフォームプラグイン「Ninja Forms」に脆弱性... WordPress向けフォームプラグインに脆弱性 WordPress向けに提供されているフォームプラグイン「Ninja Forms」に脆弱性が含まれていることがわかった。 「同2.9.18」にクロスサイトスクリプティングの脆弱性が含まれていたもので、以前のバージョンも影響を受ける。 ...
WordPress人気フォトギャラリープラグイン「NextGEN Gallery」に脆弱性... WordPress人気フォトギャラリープラグインに脆弱性 Threatpostに3月1日(米国時間)に掲載された記事「Million-Plus WordPress Sites Exposed by Vulnerable Plugin|Threatpost|The first stop fo...
WordPressの脆弱性を悪用したキャンペーンが発生... WordPressの脆弱性を悪用したキャンペーンが発生 Zscalerは9月25日(米国時間)、「Zscaler Research: Compromised WordPress Campaign - Spyware Edition」において、WordPressの脆弱性を悪用してユーザにマルウェ...
偽のjQueryを利用した攻撃、「WordPress」「Joomla」を利用するサイトで急増... 偽のjQueryを利用した攻撃、「WordPress」「Joomla」を利用するサイトで急増 Charlie Osborne (Special to ZDNet.com) 翻訳校正: 村上雅章 野崎裕子 2016年04月05日 16時32分  サイバーセキュリティ企業Avast Softwa...
複数のWordPressプラグインに脆弱性「Vulnerabilities Identified i... 複数のWordPressプラグインに脆弱性  l ead=8月12日(米国時間)、Threatpostに掲載された記事「Vulnerabilities Identified in Several WordPress Plugins|Threatpost|The first stop for ...
WordPressのプラグイン「WP Super Cache」に深刻な脆弱性... WordPressのプラグイン「WP Super Cache」に深刻な脆弱性 悪用されれば管理者アカウントを追加されたり、バックドアを挿入されたりする恐れがあるという。 Webページの表示を高速化するためのWordPress用プラグイン「WP Super Cache」に深刻な脆弱性が発見...
画像のギャラリーを設置できるWordPress向けプラグイン「NextGEN Gallery」に脆弱... WordPress向けプラグイン「NextGEN Gallery」に脆弱性 画像のギャラリーを設置できるWordPress向けプラグイン「NextGEN Gallery」に、「リモートファイルインクルージョン(RIF)」の脆弱性が含まれていることがわかった。セキュリティ機関が注意を呼びかけてい...




コメントを残す