セキュリティ企業ウェブセンスの研究者らは月曜日のブログ投稿で、不正なウイルス対策ソフトを配布することを主な目的とするサイバー犯罪集団が画策した新たな一連の攻撃で、WordPressブログ約3万件が感染したと発表した。
これらの攻撃により、20万以上の感染ページが出現し、偽のウイルススキャンを表示するウェブサイトにユーザーをリダイレクトするようになりました。Websenseの研究者によると、今回の攻撃は数ヶ月前から続く不正なウイルス対策ソフト配布キャンペーンの一環です。
偽のウイルススキャンページは目新しいものではありません。実際、数年前までは、この種のソーシャルエンジニアリングは、インターネットユーザーにスケアウェアを配布する主要な手段の一つでした。
しかし、それ以来、多くのサイバー犯罪グループは、古いブラウザプラグインの脆弱性を悪用して不正なソフトウェアを自動的にダウンロードしてインストールするドライブバイダウンロード攻撃に切り替えています。
Websense Labsのシニアセキュリティ研究者であるエラッド・シャーフ氏は、今回のキャンペーンで確認された感染ウェブページの多さは、こうした詐欺が依然として有効であることを示していると述べた。「脆弱なウェブサイトは、サイバー犯罪者にとって絶好の機会となるのです。」
侵害を受けたサイトの85%以上は米国に所在していましたが、訪問者は地理的に分散していました。「攻撃は米国に特有のものかもしれませんが、侵害されたページにアクセスするすべての人が危険にさらされています」とシャーフ氏は述べています。
ウェブサイト整合性監視会社Sucuri Securityのセキュリティ研究者、デビッド・デデ氏は、最近の攻撃で侵入されたブログの多くは、古いバージョンのWordPressを使用していたり、脆弱なプラグインがインストールされていたり、ブルートフォース攻撃を受けやすい脆弱な管理者パスワードを使用していたりしたと述べている。「最近、攻撃者はあらゆる手段を講じているようだ」
Sucuriの研究者もこのスケアウェア配布キャンペーンを追跡しており、侵害されたブログの多くに「ToolsPack」と呼ばれる不正なWordPressプラグインがインストールされていることを発見しました。このプラグインはWordPress管理ツールのコレクションを装っていますが、実際にはバックドアが仕込まれており、攻撃者はこれを利用して感染サイトへの不正アクセスを維持しているとDede氏は述べています。
「ウェブマスターへのアドバイスは、WordPress(およびすべてのプラグイン)を常に最新の状態に保ち、強力なパスワードを使用することです」とSucuriのセキュリティ研究者は述べています。「これだけでも、サイトを保護するのに大いに役立ちます。」
