WordPressサイトに侵入してマルウェアを配布する攻撃…世界6,000以上のサイトに被害か

セキュリティニュース
ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

WordPressサイトに侵入してマルウェアを配布する攻撃…世界
6,000以上のサイトに被害か

10月18日(現地時間)、WordPress用セキュリティプラグイン等を提供する米Sucuri社より、WordPressサイトに侵入し、マルウェアを配布するよう改ざんを行う攻撃が確認されたとして注意喚起が出されています。

発表によれば、攻撃者は別途何らかの手段で侵入したWordPressサイトに「Universal Popup Plugin」と呼ばれる偽のプラグインをインストールし、サイトの訪問者に対しマルウェアをインストールするよう誘導する不審なポップアップを表示するよう改ざんしたとしています。

同17日には大手ドメイン名登録業者GoDaddy社のセキュリティチームからも、「Advanced UserManager」「Quick Cache Cleaner」等16種類の偽のプラグインのインストールによる攻撃が発表され、6月以降全世界6,000以上のサイトが被害を受けている模様です。

AUSからの所感 AUSからの所感

不審なポップアップの例として、サイトを正常に表示するためのルート証明書をインストールすると騙り、管理者権限でPowerShellスクリプトを実行させ、マルウェアに感染させるものが挙げられています。

このような、いわゆるソーシャルエンジニアリングによるマルウェア感染攻撃が6月頃から確認されており、「ClickFix」攻撃として注意喚起されています。

Sucuri社では、WordPressにおいてインストールしているプラグイン・テーマを定期的に確認し不審なもの・使用しないものは削除する、アカウントに一意で強力なパスワードを設定する(WordPress以外も含め)、サイトへの不審なアクセスや不正な管理者アカウントが作られていないか等の監視を行う、管理ページへのログインに多要素認証(MFA)の導入やアクセス制限を実施する、全てのソフトウェアについて最新バージョンに保つWAF(Webアプリケーションファイアウォール)を導入する、の6つを推奨しており、全てを完全にクリアすることが困難だとしても、推奨事項に目を通し、まだ導入していないものについて導入を検討していくことが大事でしょう。


IEの脆弱性、北朝鮮が攻撃に悪用か…8月にパッチリリース

10月16日(現地時間)、韓国のセキュリティベンダーAhnLab社より、北朝鮮の攻撃者集団がInternet Explorer(IE)の脆弱性「CVE-2024-38178」を悪用する攻撃を行っていたとして注意喚起が出されています。

脆弱性はIEのスクリプトエンジン「JScript9.dll」に存在し、8月にリリースされた月例のセキュリティパッチで対策されていま
したが、このリリース時点で既に悪用が報告されていた、いわゆる「ゼロデイ脆弱性」とされています。

攻撃においては、フリーソフトウェア等にバンドルされるトースト広告(画面下部でポップアップ表示される広告)表示システムがIEのスクリプトエンジンを使用しており、これをターゲットとするマルウェア「RokRAT」が用いられたとしています。

AUSからの所感 AUSからの所感

攻撃のより具体的な手口は、広告代理店のサーバーに侵入し、スクリプトエンジンの脆弱性を突くような不正なJavaScriptを実行する広告を配信することにより、PCをRokRATに感染させるというもので、さらにPC上のファイルを流出させたり、キー入力やクリップボードの監視、スクリーンショットの取得等を行うとしています。

IEは2023年までにサポートが終了し、Edgeへ引き継がれた一方、IEでのみ動くようなWebサイト・Webアプリケーションに対応する「IEモード」が2029年まで提供される関係上、最新のWindowsである11においても引き続きIEのコンポーネントが残存しています。

– 今回はパッチが提供されたとはいえ、今後IEのコンポーネントの脆弱性が悪用前に迅速に対応される保証はなく、トースト広告表示システムのようなソフトウェア側においてはIEのコンポーネントを使用しないよう改修することが根本的な対策となり、ユーザーにおいても脆弱性を突く攻撃への対処としてアンチウイルス・UTMによる防御を行うことが肝要です。


9月度フィッシング報告は148,210件、5か月連続の高水準

10月18日(日本時間)、フィッシング対策協議会より、9月に寄せられたフィッシング報告状況が発表されました。

9月度の報告件数は148,210件で、8月度の166,556件からは18,346件減少しています。

フィッシングサイトのURL件数は49,519件で8月度(85,768件)から36,249件減少、悪用されたブランド件数は79件で8月度(68件)から11件増加となっています。

Amazonを騙るフィッシングが全体の約29.1%を占め、次いで10,000件以上の報告を受けた東京電力、JCB、ヤマト運輸、JAバンクと合わせて約64.8%、さらに1,000件以上報告された16ブランドまで含めると約94.4%を占めたとのことです。

フィッシングサイトURLで使用されるTLD(トップレベルドメイン名)の割合は .com(約46.9%)、.cn(約28.5%)が突出しています。

AUSからの所感 AUSからの所感

報告件数は2か月連続での減少傾向にあるものの、5月度以降5か月連続で14万件以上の高水準が続いています。

「いくつかの事業者がドメイン名をなりすまされて、さまざまなブランドのフィッシングメールの大量配信が行われる」事象が取り上げられており、@creema.jp(AUS便り 2024/10/03号参照)、@costcojapan.jp、@cbel.com 等のドメイン名を発信元とするフィッシングメールを多く確認していますが、このケースについてはメール受信側がSPFによる発信元IPアドレスのチェックを適切に行うことにより、十分対応可能でしょう。

ドメイン名をなりすまされる被害を受けた事業者の中には、DMARC(SPF・DKIMでの検証に失敗したメールの取り扱いの指定)のポリシーがnone(特に指定しない)になっていたものをquarantine(迷惑メールフォルダー等への隔離)にしてもまだフィッシングメールが減らず、reject(受信拒否)にしてようやく減少したという事例も報告されており、自ドメインになりすますメールがどれだけ送られているかをDMARCのレポート機能で把握した上で、なるべく早い段階でquarantine以上のポリシーに設定することを推奨致します。