オープンソースのコンテンツ管理システム(CMS)「Drupal」で、2018年3月下旬に発覚した脆弱性を突いて、世界各国の政府機関や教育機関などのWebサイトがハッキングされ、仮想通貨採掘に利用されているのが見つかった。米セキュリティ研究者のトロイ・マーシュ氏が5月5日のブログで明らかにした。
それによると、米サンディエゴ動物園やメキシコ・チワワ州のWebサイトで、仮想通貨採掘を狙った「クリプトジャッキング攻撃」の被害が確認された。両サイトには、Drupalを更新しないまま、脆弱性のあるバージョンを使い続けていたという共通点があった。
マーシュ氏が詳しく調べたところ、世界各国で348のWebサイトが被害に遭っていることが判明。いずれも脆弱性が放置されたDrupalを悪用する手口で、仮想通貨採掘ツール「Coinhive」が仕込まれていた。
被害に遭ったWebサイトは各国の政府機関や自治体、学術機関などが多数を占めるほか、LenovoのWebサイトでも不正なクリプトジャッキング攻撃のスクリプトが発見されたという。国別では米国を筆頭に、世界各地で被害が確認された。
今回悪用されたDrupalの脆弱性は、3月28日にリリースされた更新版で修正されている。しかし、更新を怠り、脆弱性が放置されたWebサイトを狙った攻撃が、過去数週間で相次いでいた。
「Drupalを使っているWebサイトは、できるだけ早く最新バージョンに更新する必要がある」とマーシュ氏は呼び掛けている。ただし、ハッキング被害に遭ったWebサイトは、たとえDrupalを更新したとしても、ハッキング前の状態に戻すことはできず、さらなる対応が必要になるという。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR