WordPressやJoomlaサイトの改ざん相次ぐ、ランサムウェアへ誘導

改ざんされたWordPressサイトやJoomlaサイトをユーザーが閲覧すると、悪質なWebサイトへリダイレクトされ、ランサムウェアの「TeslaCrypt」に感染する恐れがある。

» 2016年02月23日 08時45分 公開
[鈴木聖子ITmedia]

 ユーザーをランサムウェア(身代金要求型不正プログラム)に感染させる手段として、オープンソースのコンテンツ管理システム(CMS)を使ったサイトが悪用される事例が相次いで発覚している。米セキュリティ機関SANS Internet Storm Centerの研究者は、WordPressに続いてJoomlaサイトが利用されているのが見つかったと伝えた。

photo ランサムウェアに感染するとこのような表示で脅迫される(出典:SANS ISC InfoSec Forums)

 セキュリティ企業のSucuriは2月1日の時点で、改ざんされたWordPressサイトが悪質なURLを仕込んだ隠しiframeを生成していると報告していた。SANSの研究者によれば、この攻撃に関連して、脆弱性悪用ツールのエクスプロイトキット(EK)のトラフィックが同2日ごろから増大。最近になって、Joomlaサイトも同様の攻撃に使われ始めたという。

 こうした手口では、改ざんされたWordPressサイトやJoomlaサイトをユーザーが閲覧すると、エクスプロイトキットの「Nuclear EK」や「Angler EK」を仕込んだ悪質なWebサイトへリダイレクトされ、ランサムウェアの「TeslaCrypt」に感染する恐れがある。

 使われているランサムウェアはTeslaCryptにとどまらず、SANSの研究者は「CryptoWall」に感染させる事例も確認したと報告している。

photo Angler EKを仕込んだ悪質なWebサイトへリダイレクトされる(出典:SANS ISC InfoSec Forums)

Copyright © ITmedia, Inc. All Rights Reserved.