WordPressのプラグインにマルウェアが隠される 感染リスクを軽減する方法は?
SucuriはWordPressのプラグインにマルウェアを隠す方法を発見したと伝えた。サイバー攻撃者は、セキュリティソフトウェアや研究者による検出を回避するためにさまざまな攻撃手法を開発しており、今回の方法も巧妙に検出を回避するものだったとされている。
セキュリティ企業のSucuriは2022年12月6日(現地時間)、同社のブログでCMS「WordPress」のプラグインにマルウェアを隠す新たな手法を発見したと伝えた。
Sucuriはブログで、サイバー攻撃者の具体的なマルウェア隠蔽(いんぺい)手法について解説した他、こうした隠蔽工作のリスクを緩和する方法についても紹介している。WordPressのユーザーは迅速に確認してほしい。
マルウェアをプラグインに隠蔽した手口と緩和方法
Sucuriは、WordPressの複数のランダムなプラグインに「get_hex_cache()」という関数を追加するPHPのコードを発見した。この関数は同じディレクトリにある「_inc.tmp」というファイルに収められており、このファイルが16進数でエンコードされた51KBのバイナリ文字列になっていたと説明している。
Sucuriによれば、サイバー攻撃者は、base64でエンコーディングすることでソースコードを難読化してマルウェアを隠すケースが多い。しかし、同社が発見した新しい手法では、16進数でのエンコードが用いられており、ファイルの中身の先頭に「3c7」を追加した後、PHPの「hex2bin」関数を使ってデコードするという手法が使われていた。
デコードされた結果は、WordPressページに挿入されるJavaScriptコードになっているが、このコード自身も難読化されている。関数名は「_0x18b4()」であり、その中身も一見すると理解できない。
WordPressページに挿入されるコードは別ページへのリダイレクトを実行するものだが、このコードは、ユーザーがWebブラウザの開発者ツールを開いている間には機能しないようになっている点も特徴的だ。動作を抑制することで研究者らが解析を実行する際に問題の発見を難しくする狙いがあるものとみられる。
Sucuriはこうしたサイバー攻撃の被害者とならないように、緩和策として以下の方法を試してみることを勧めている。
- Webサイトのマルウェアを定期的にスキャンし、クライアントレベルおよびサーバレベルの双方で感染に注意する
- Webサイトでソフトウェアアップデートやパッチが利用可能になり次第適用する。対象にはコアCMS以外にもプラグインやテーマ、その他の拡張可能なコンポーネントが含まれる
- Webアプリケーションファイアウォールを活用し、既知の脆弱(ぜいじゃく)性に仮想的にパッチを適用して悪意あるbotをブロックし、ブルートフォース攻撃の軽減を図る
- 管理ページへのアクセスを制限し、Webサイトにおける全てのアカウントで強力かつユニークなパスワードを利用する
- ファイル整合性監視機能を利用して環境内の予期しない変更を検出する
WordPressはユーザー数が多いことからサイバー攻撃の標的になるケースが多い。迅速に緩和策を適用することが求められる。
関連記事
- ラックはいかにしてゼロトラスト基盤を改良したのか?――マイクロソフトブリーフィング
日本マイクロソフトはメディアブリーフィングで、2022年度におけるサイバー脅威の最新動向とラックのゼロトラスト基盤構築事例、日本マイクロソフトが考えるゼロトラストの次に来るセキュリティアプローチを公開した。 - 宮本武蔵と孫子に学ぶ、セキュリティアプローチの極意
サイバー攻撃が激しさを増す今、企業には新たなセキュリティアプローチが求められている。ガートナーの礒田氏が目指すべき方向性と今後需要が増すセキュリティトピックを語った。 - Sucuri研究者がWordPressに改善要望 サイバー攻撃を招く4つのデフォルト設定とは?
WordPressにおける幾つかのデフォルト設定がサイバー攻撃を招いているとSucuriは指摘する。中でも絶対にそのままにしてはいけない設定が4つあるという。 - GoogleがChromeのゼロデイ脆弱性を修正 急ぎ確認の上アップデートを
Googleはゼロデイ脆弱性を修正した「Google Chrome」の最新版を配布した。Google Chromeを使っている場合は迅速にアップデートを適用してほしい。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.