WordPressのプラグインにマルウェアが隠される 感染リスクを軽減する方法は？

SucuriはWordPressのプラグインにマルウェアを隠す方法を発見したと伝えた。サイバー攻撃者は、セキュリティソフトウェアや研究者による検出を回避するためにさまざまな攻撃手法を開発しており、今回の方法も巧妙に検出を回避するものだったとされている。

[後藤大地，有限会社オングス]

　セキュリティ企業のSucuriは2022年12月6日（現地時間）、同社のブログでCMS「WordPress」のプラグインにマルウェアを隠す新たな手法を発見したと伝えた。

　Sucuriはブログで、サイバー攻撃者の具体的なマルウェア隠蔽（いんぺい）手法について解説した他、こうした隠蔽工作のリスクを緩和する方法についても紹介している。WordPressのユーザーは迅速に確認してほしい。

SucuriはWordPressのプラグインにマルウェアを隠す手法について報告した（出典：Sucuriのブログ）

マルウェアをプラグインに隠蔽した手口と緩和方法

　Sucuriは、WordPressの複数のランダムなプラグインに「get_hex_cache（）」という関数を追加するPHPのコードを発見した。この関数は同じディレクトリにある「_inc.tmp」というファイルに収められており、このファイルが16進数でエンコードされた51KBのバイナリ文字列になっていたと説明している。

　Sucuriによれば、サイバー攻撃者は、base64でエンコーディングすることでソースコードを難読化してマルウェアを隠すケースが多い。しかし、同社が発見した新しい手法では、16進数でのエンコードが用いられており、ファイルの中身の先頭に「3c7」を追加した後、PHPの「hex2bin」関数を使ってデコードするという手法が使われていた。

　デコードされた結果は、WordPressページに挿入されるJavaScriptコードになっているが、このコード自身も難読化されている。関数名は「_0x18b4（）」であり、その中身も一見すると理解できない。

　WordPressページに挿入されるコードは別ページへのリダイレクトを実行するものだが、このコードは、ユーザーがWebブラウザの開発者ツールを開いている間には機能しないようになっている点も特徴的だ。動作を抑制することで研究者らが解析を実行する際に問題の発見を難しくする狙いがあるものとみられる。

　Sucuriはこうしたサイバー攻撃の被害者とならないように、緩和策として以下の方法を試してみることを勧めている。

• Webサイトのマルウェアを定期的にスキャンし、クライアントレベルおよびサーバレベルの双方で感染に注意する
• Webサイトでソフトウェアアップデートやパッチが利用可能になり次第適用する。対象にはコアCMS以外にもプラグインやテーマ、その他の拡張可能なコンポーネントが含まれる
• Webアプリケーションファイアウォールを活用し、既知の脆弱（ぜいじゃく）性に仮想的にパッチを適用して悪意あるbotをブロックし、ブルートフォース攻撃の軽減を図る
• 管理ページへのアクセスを制限し、Webサイトにおける全てのアカウントで強力かつユニークなパスワードを利用する
• ファイル整合性監視機能を利用して環境内の予期しない変更を検出する

　WordPressはユーザー数が多いことからサイバー攻撃の標的になるケースが多い。迅速に緩和策を適用することが求められる。