ブログ

FFRI BLOG

Monthly Research 「WordPressの脆弱性を狙ったWeb改ざん攻撃

今回のMonthlyResearchでは、近年増加の一途をたどるWebサイトに対する改ざん攻撃についてレポートします。

Webサイトを改ざんする目的は「脆弱性攻撃」「マルウェアの配布」などが主な目的とされてきましたが、ここ1,2年の間で「政治的主張」や「技術力の誇示」なども再び目立つようになりました。

「Anonymous」や「GhostShell」など、聞き覚えがある方も多いと思います。

このような攻撃者は主張や影響を増大させる為により多くのWebサイトを攻撃する傾向にあります。

今回はその中でも、特定のプロダクト(製品やそのプラグイン)の脆弱性を利用し、世界中のWebサイトを対象とした大規模な攻撃を行う、一斉攻撃にフォーカスしています。

2015年3月末頃からWordPressを利用する一部のWebサイトに改ざん被害が多く見られました。攻撃者は特徴的な攻撃手法で改ざんを行っており、2015年4月10日時点で少なくとも18,000件以上のWebサイトが被害にあっています。この攻撃は現在も絶え間なく続いています。

我々はこの特徴的な攻撃手法に着目し、調査を行いました。

その結果、国内でも多く利用されているWordPressのプラグインである「Slider Revolution」に存在する脆弱性が利用されている事が分かりました。 これまでにもWordPressや、そのプラグインに存在する脆弱性が悪用されることは多く報告されてきましたが、今回悪用された脆弱性は、非常に一斉攻撃向きだと言えます。

我々は調査の過程で、実際に攻撃に使用されたと思われる攻撃用のコードを入手しました。

このコードと「Slider Revolution」側の実装コードを読み解くと「特定のCSSファイルを外部から編集する」というプラグインとして「想定されている機能」が悪用されたということが分かりました。

具体的な被害のフローは以下の様なものです。

1.攻撃者が「Slider Revolution」の機能である「update_captions_css」という関数を不正に呼び出し、CSSファイルを任意のデータに書き換える
2.被害者が同プラグインの「get_captions_css」という関数を呼び出すように細工されたURLにアクセスした際に「1」で書き換えた内容のデータを表示する

このように、非常に単純な手順で改ざんが可能であり攻撃対象のURIや、改ざん後にデータが注入されるURIが固定であることなどから、攻撃の高い安定性が分かります。

この攻撃手法について更に調査を行った結果、大手検索サイト「Google」の検索構文を悪用することでGoogleにインデックスされているWebサイトやサーバーから特定の脆弱性を持っている可能性が高いものを大量に探しだすことができる「Google Dork」と呼ばれる手法と組み合わせた攻撃コードを入手することが出来ました。

この「Google Dork」を組み合わせることによって攻撃者は世界中の「Slider Revolution」を利用するWebサイトを探し出し、大量のWebサイトを一斉に攻撃する事ができたという訳です。

現在我々が把握している攻撃の目的は「政治的主張」と「技術力の誇示」でした。しかし、この攻撃からは以下の様な脅威も想定することができます。

●不正なJavaScriptを注入することでCookie情報などを窃取される
●DDoS攻撃などをJavaScriptベースで行う攻撃の踏み台にされる
●同一生成元ポリシーの影響を回避した攻撃に発展される
●マルウェア感染の踏み台として利用される

これらの内、DDoS攻撃への応用例は既に攻撃用のコードとして一部のアンダーグラウンドなフォーラムなどで公開されています。

この攻撃への有効な対策として以下が挙げられます。

●「Slider Revolution」を脆弱性が修正されたバージョン(4.6.5)にアップデートする
●「.htaccess」などの設定で「/wp-admin/」や「/admin/」へのアクセスに制限をかける
●クライアントアクション「update_captions_css」を無効にする
●プラグインやテーマの自動更新機能をON に設定し、使用していないプラグイン等は削除する

また、これらの対策の中にある「プラグインやテーマの更新」についてはベンダーが脆弱性を修正したバージョンを公開する前に攻撃用のコードが流通することが多いため「/wp-admin/」や「/admin/」など、本来管理者が操作することを想定されているディレクトリに対してアクセス制限を掛けるなどの根本的な対策を推奨します。

今回取り扱った脆弱性も、ベンダーの対応よりも遥かに早い段階で攻撃が発生し、対象となった関数は「/wp-admin/」以下のディレクトリから呼び出されていました。

前述の「Google Dork」による攻撃対象にならないためには「/wp-admin/」などのディレクトリを「robots.txt」に追記し、検索エンジンにインデックスされないようにするなどの対策を推奨します。

更に詳しい技術情報はPDFのスライドをご覧ください。


Monthly Researchのダウンロードはこちら


関連記事

Monthly Research 「Windows 10 Technical Preview セキュリティ機能概要」

Monthly Research 「Intel Memory Protection Extensionsとその活用」

Monthly Research 「Windowsのセキュリティ新機能-Control Flow Guardについて」