シンガポールのサイバー庁がWordPressの暗号ウィジェットがデータ漏えいの可能性があると警告

シンガポールのサイバー庁がWordPress暗号ウィジェットがデータ漏えいの可能性と警告

シンガポールCSA(Cyber Security Agency of Singapore:シンガポールサイバー庁)は、WordPress(ワードプレス)用の仮想通貨ウィジェットプラグインに脆弱性があり、機密データが流出する可能性があると警告した事が分かった。

CSAは、WordPress用ウィジェットプラグイン「Cryptocurrency Widgets – Price Ticker & Coins List」に関して、バージョン2.0から2.6.5には「coinslist」パラメータを介したSQLインジェクションの脆弱性があるとして、警告。CSAによれば、この脆弱性は、ユーザーから提供されたパラメータのエスケープが不十分であることと、既存のSQLクエリの準備が不十分であることに起因するとのこと。この欠陥により、認証されていない攻撃者が追加のSQLクエリを注入し、ウェブサイトのデータベースから機密情報を抽出できる可能性があるという。

既に1万件以上もダウンロード

WordPressのウェブサイトによると、このプラグインはCryptocurrencyPlugins by CoolPlugins.netの共同設立者とされるナリンダー・シン(Narinder Singh)氏によって提供されている。

また、WordPressのマーケットプレイスによると、CoolPlugins.netによって開発されたプラグインは10,000件以上ダウンロードされ、150件以上のレビューが5つ星を付けているが、バージョン2.0から2.6.5でどれだけのユーザーが影響を受けているかは不明だ。プラグインページにはバージョン2.6.6へのアップデートが示されているが、最新のアップデートが脆弱性に対処しているかどうかは不明であり、報道時点では、Cool Pluginsはこの問題について公式にコメントしていない。

実際、2023年10月には、悪質な行為者がBNBチェーンのスマートコントラクトを使用して、WordPressで作られたウェブサイトをターゲットにマルウェアを配布し始めていると報じられている。スマートコントラクトから部分的なペイロードを抽出するコードを注入することで、ハッカーは危険なスクリプトを密かに埋め込むことができ、スマートコントラクトを悪意ある活動のための匿名かつ無料のホスティングプラットフォームとして効果的に利用できるという。

一方で、2023年12月、ハッカーがGoogleやソーシャルメディアでフィッシング・キャンペーンを行い、被害者から数百万ドルの仮想通貨が盗まれたことが報告されている。多くがGoogle検索やX広告でのフィッシング・キャンペーンに関連しており、9カ月間で63K人以上の被害者から約5800万ドルを引き出している。しかし、Chainalysis(チェイナリシス)は最近の犯罪レポートの中で、仮想通貨ハッキングによる収入が2023年には前年比で約54.3%減少したことを強調。それでも2023年に約32万4,000人の被害者から2億9,500万ドル(約440億円)を奪ったことを明らかにしており、仮想通貨はハッカーにとって重要な標的となっている。