Rob Wright, シニアニュースディレクター, Dark Reading
2025年9月2日
読了時間:4分
出典:Chris Batson(Alamy Stock Photo経由)
WordPressサイトは長年にわたりサイバー犯罪者の標的となっており、最近のキャンペーンでも脅威の波が収まっていないことが示されています。
ここ数週間、さまざまな組織がこの人気のコンテンツ管理プラットフォームに影響を与える悪意のある活動や脆弱性を指摘しており、WordPressが幅広い脅威アクターにとって魅力的な標的であることが改めて浮き彫りになっています。
例えば8月20日、イスラエル国家デジタル庁は、偽のGoogle/Cloudflare CAPTCHAページを特徴とするClickFixキャンペーン「ShadowCaptcha」を報告しました。同庁によると、この大規模なキャンペーンは、被害者を騙して侵害されたWordPressサイト上で悪意のあるコマンドを実行させていました。
「過去の分析によれば、このキャンペーンは少なくとも過去1年間活動しており、世界中の数千の組織に影響を与える可能性があります」と同庁は警告で述べています。「分析の結果、攻撃者が管理するインフラへリダイレクトする悪意のあるJavaScriptが注入された100以上のWordPressサイトと、複数のファミリーや亜種にまたがる数百のマルウェアサンプルが確認されました。」
同様に、GoDaddyも同日に、Help TDSという悪意のあるトラフィック配信システムを使った大規模なキャンペーンについて調査結果を発表しました。報告によると、攻撃者は約10,000のWordPressサイトに悪意のあるwoocommerce_inputsプラグインをインストールし、Help TDSを使って訪問者をテクニカルサポート詐欺や他の悪意あるサイトへリダイレクトしていました。
「Help TDSの運用は、複数の脅威アクターグループによる侵害サイトの効率的な収益化を可能にする高度な犯罪サービスエコシステムを表しています」とGoDaddyの主任セキュリティエンジニア、Denis Sinegubkoはレポートで述べています。「[コマンド&コントロール(C2)]インフラ、標準化されたPHPインジェクションテンプレート、完全な機能を備えた悪意のあるWordPressプラグインなど、すぐに使えるソリューションを提供することで、Help TDSはサイバー犯罪者が侵害サイトを収益化するための参入障壁を下げています。」
WordPressサイトへの脅威は継続
WordPressサイトは、大規模なマルバタイジング(悪意ある広告)活動から暗号通貨詐欺、ランサムウェア攻撃まで、さまざまなサイバー犯罪者によって利用されています。脅威の種類は多岐にわたりますが、WordPressサイトの所有者や訪問者を長年悩ませてきた手口はおなじみです。すなわち、攻撃者がサイトを侵害し、そこを踏み台として、本来の訪問者のトラフィックを悪意のあるドメインへ誘導するのです。
これらのキャンペーンはしばしば悪意のあるリダイレクトやTDS活動を伴いますが、しばしば共通するリスク――弱い認証情報、未修正の脆弱性、悪意または脆弱なプラグイン――から始まります。Help TDSキャンペーンの場合も、攻撃者はおなじみの手法で数千のサイトを侵害しました。
「このキャンペーンの背後にいる脅威アクターは、主に有効な管理者認証情報を使ってWordPressサイトにアクセスします。これらはおそらく情報窃取型マルウェアやフィッシング攻撃によって盗まれたか、ダークウェブで入手されたものです」とSinegubkoは記しています。「侵害されたサイトの多くには既知の悪意あるWordPress管理者ユーザーが存在していましたが、これらのアカウントはすべての感染サイトで重複していたわけではありません。感染サイトには、他のキャンペーンによる悪意のあるプラグインなど、他の種類のマルウェアも含まれていることがよくあります。」
侵害された、または弱い認証情報は、攻撃者がWordPressサイトを乗っ取るためによく使う唯一の経路ではありません。脆弱なプラグインも頻繁に悪用されています。
例えば、Sucuriの「2023年ハッキングサイト&マルウェア脅威レポート」によれば、侵害されたウェブサイトの約14%が少なくとも1つの脆弱なプラグインを持っていました。Sucuriのレポートでは、CMSプラットフォームを利用したウェブサイトの中で、WordPressが検出された感染の95.5%を占めていたとしています。
つい先週も、WordPressセキュリティベンダーのWordfenceが、Dokan Pro WordPressプラグインにおける高深刻度の権限昇格脆弱性を公表しました。この欠陥は約15,000のWordPressサイトに影響し、ベンダーレベルの権限を持つ未承認ユーザーが、管理者を含む任意のユーザーのパスワードをリセットしてウェブサイトを乗っ取ることを可能にします。
また、woocommerce_inputsのような偽・悪意のあるプラグインの脅威も存在します。Sucuriのレポートによれば、修復時点で4%超の侵害ウェブサイトが少なくとも1つの偽プラグインを持っており、新たな傾向となっています。
おなじみの問題
GoDaddyの広報担当者はDark Readingに対し、Help TDSキャンペーンが注目に値するのは、通常は悪意のあるリダイレクトスキームの収益化レイヤーとして機能するTDSが、サードパーティの脅威アクター向けに悪意のあるプラグインも提供・管理している点だと述べています。
「他のTDSは通常、カスタムリダイレクトURLやリダイレクトURL取得用APIの提供など、サイトハッキングへの関与を限定しています」と広報担当者は述べています。「woocommerce_inputsプラグインの場合、Help TDSのC2サーバーから現在のリダイレクトURLを取得するだけでなく、ジオターゲティング、認証情報の窃取、自己更新など、他のプラグイン機能にもこれらのC2サーバーを利用していることが観察されました。」
残念ながら、この種の脅威活動はWordPressサイトでは年々一般的になっています。「キャンペーンの規模、標的となるサイトの種類、悪用手法は特別なものではありません」とGoDaddyの広報担当者は述べています。
W3Techによる最新のCMSプラットフォーム市場シェア調査によれば、WordPressは実に60.8%という圧倒的なシェアを持ち、脅威アクターにとって広大な攻撃対象面を提供しています。GoDaddyの「年次サイバーセキュリティレポート」(今年初めに発表)でも、WordPressプラグインやテーマの悪用が「2024年も引き続き顕著な傾向」であると指摘されています。
Sinegubkoは自身のブログ記事で、Help TDSキャンペーンが安全な認証情報管理と多要素認証の重要性を示していると述べています。また、WordPressサイトの所有者には、プラグインの定期的な監査や、無許可のインストール、不審なデータベース、予定外のタスクの監視を推奨しています。
同様に、Sucuriのレポートも、WordPress本体やプラグインを常に最新の状態に保つことを推奨しており、WordPressの自動更新機能によって「コアCMSの脆弱性悪用は大幅に減少した」と指摘しています。