WordPressで動くサイトを見た人にランサムウェアを感染させるコード改ざんが続発

By Linus Bohman

ウェブサイトを閲覧しただけでウイルスを感染させる広告が表示され、PC内のファイルが暗号化されてしまい、暗号を人質に取り元に戻して欲しければ金を支払えと脅迫するランサムウェアが猛威をふるっています。その中でも、コンテンツ管理システム(CMS)のWordPressを使ったウェブサイトが軒並みハッキングされランサムウェアの被害に遭っているようです。

Massive Admedia/Adverting iFrame Infection - Sucuri Blog
https://blog.sucuri.net/2016/02/massive-admedia-iframe-javascript-infection.html

Nuclear EK Leveraged In Large WordPress Compromise Campaign | Malwarebytes Unpacked
https://blog.malwarebytes.org/exploits-2/2016/02/nuclear-ek-leveraged-in-large-wordpress-compromise-campaign/

Security Alert: Ransomware Delivered by Hundreds of Compromised Wordpress Websites - Heimdal Security Blog
https://heimdalsecurity.com/blog/compromised-websites-ransomware/

Mysterious spike in WordPress hacks silently delivers ransomware to visitors | Ars Technica
http://arstechnica.com/security/2016/02/mysterious-spike-in-wordpress-hacks-silently-delivers-ransomware-to-visitors/

セキュリティ対策企業Sucuriは、WordPressを使って構築されているウェブページが改ざんされて不正なコードを仕込まれている実態を明らかにしました。改ざんされたウェブページは、JavaScriptファイルの末尾にコードを仕込まれており、PCにある脆弱性を探知するExploit Kit(エクスプロイトキット)が埋め込まれているとのこと。

これにより、旧バージョンのAdobe Flash Player、Adobe Reader、Internet Explorerなどを使っているユーザーが改ざんされたウェブページを閲覧すると、脆弱性をつかれてランサムウェアに感染し、ファイルが暗号化されてしまいます。

また、Exploit Kitが進化していることも明らかになっており、そのサイトを初めて訪れた時のみ感染するものや、攻撃が検出されるのを防ぐために、ペイロードを個別に使い分けるものなども発見されているとのこと。

このようなWordPressを使うサイトを狙ったランサムウェアによる攻撃は2015年後半から急激に増えており、イギリスの大手ニュースサイト「The Independent」が改ざんされ閲覧者をランサムウェアに感染するサイトへ誘導するという攻撃を受けていたことが明らかになるなど、被害が増加しています。

主にWordPressを使うサイトでの被害が続出している原因はまだ明らかではありませんが、WordPessのプラグインの未知の脆弱性を突かれている可能性が指摘されています。なお、Sucuriのデニス・シネガブコ氏は、「マルウェアはアクセス可能なすべてのjsファイルを感染させようとしています。これは、複数のドメインを同一のホスティングアカウントでホストしている場合、改ざんされたサイトが一つでもあれば、残りのサイトもすべてマルウェアの被害を受けることを意味します」と述べ、管理するすべてのWordPressサイトを一斉に最新版にアップデートしておく必要があると述べています。

これまでランサムウェアの被害が発生するのは、ポルノサイトなどのアンダーグラウンドなサイトが中心でしたが、今回の被害はWordPressで構築されるごく一般的なサイトで生じているため、もはや「怪しいページさえ開かなければ大丈夫」、とは言えない状態になりつつありそうです。