WordPressサイトをハッキングして0.1BTCを要求
WordPressサイトをハッキングして偽の暗号化通知を表示し、サイトの所有者をだまして復元に0.1ビットコインを支払わせようと試みるハッキング事例が明らかになった。
今回発覚したWordPressハッキング攻撃は、身代金が要求されており、カウントダウンタイマーを付属させ、被害者の恐怖心をあおっている悪徳ぶりだ。サイト管理者である被害者をパニックに陥らせ、復元に0.1BTCの身代金を要求している。昨今注目を集めるランサムウェア攻撃で見られるものと比較し、特に重要な攻撃ではないものの、多くのサイト所有者にとってかなりの量になる可能性がある。
復元の鍵は「プラグイン」
今回の攻撃は、被害者の1人に対するインシデント対応のために雇われたサイバーセキュリティ会社Sucuriによって発見されている。
研究者は、サイトが暗号化されていないことを発見したが、攻撃者はインストールされたWordPressプラグインを変更し、身代金メモとカウントダウンを表示するように細工している。プラグインは身代金メモの表示に加え、すべてのWordPressブログ投稿を変更し、それらの「post_status」を「null」に設定して、非公開状態にしているとのこと。そのため、攻撃者は、サイトが暗号化されているかのように見せかける、シンプルな手法でありながら強力な恐怖感を生み出している。
Sucuriによると、プラグインを削除し、投稿とページを再公開するコマンドを実行することでサイトは通常の状態に戻るという。ネットワークトラフィックログをさらに分析したところ、Sucuriは、攻撃者のIPアドレスが最初に表示されたのはwp-adminパネルであることが発覚。これは、侵入者がパスワードをブルートフォースするか、ダークウェブ市場から盗まれたクレデンシャルを入手することによって、サイトに管理者としてログインしたことを意味している。
Sucuriが発見したプラグインは、サイトにオンラインビジネスディレクトリリストを作成するためのツールである「Directorist」であったとのこと。同社はこの攻撃の影響を受けた約291のサイトを追跡しており、Google検索では、クリーンアップされたサイトと身代金メモがまだ表示されているサイトが混在しているという。
なお、コンピューターヘルプサイトであるBleepingComputerが検索結果に表示するすべてのサイトは、身代金の支払いを受けていない同一の『 3BkiGYFh6QtjtNCPNNjGwszoqqCka2SDEc 』ビットコインアドレスを使用していることが分かっている。
サイトを暗号化から保護するには
Sucuriは、WordPressサイトがハッキングされないように保護するために、次のセキュリティ対策を提案している。
・サイトの管理者ユーザーを確認し、偽のアカウントを削除。すべてのwp-adminパスワードを更新/変更。
・wp-admin管理者ページを保護。
・他のアクセスポイントのパスワード(データベース、FTP、cPanelなど)を変更。
・サイトをファイアウォールの背後に配置。
・暗号化インシデントが発生した場合、復元を容易にする信頼性の高いバックアップ方法に従う。
WordPressは一般的に脅威の攻撃者の標的となりやすいため、被害を未然に食い止める、もしくは最小限に抑えるために、インストールされているすべてのプラグインが最新バージョンであるか、確認することも重要だ。
