- トレンドマイクロセキュリティブログ - https://blog.trendmicro.co.jp -

「Gizmodo」のブラジル版改ざん事例の検証

Posted By Senior Threat Researcher - Fernando Mercês On 2014年8月13日 @ 4:18 pm In 不正プログラム,サイバー犯罪,TrendLabs Report,Webからの脅威,改ざん | Comments Disabled

トレンドマイクロは、2014年7月31日、米国のデザイン・テクノロジー系ブログサイト「Gizmodo」のブラジル版がサイバー犯罪者によって改ざん ^[1]されたことを報告しました。サイトを訪れたユーザは、バックドア型不正プログラムを PCにダウンロードすることになります。有名な大手サイトが不正侵入されたことは大きな問題ですが、しかし、この地域ではよくあることかもしれません。ブラジルのユーザを狙うサイバー犯罪者は、不正プログラム ^[2]やフィッシングサイト ^[3]をアップロードするために、Webサイトやホストサーバを改ざんする手法を頻繁に利用します。

こうした事実を踏まえ、弊社はこの事例についてさらに詳しく検証しました。本稿では、さらに明らかになった今回の攻撃の詳細を述べ、Web管理者はどのように Webサイトが犠牲となるのを防げるかを提案をします。

今回、弊社が明らかにしたことは何でしょうか。まず、攻撃者は、WordPress に存在する脆弱性を利用して、改ざんされた Webサイトにアクセスし、また「WSO」として知られる WebShellファイルをアップロードしていることが判明しました。ユーザは、Gizmode のブラジル版の Webサイトから、スウェーデンのサーバにホストされた 2つめの Webサイトに誘導されます。また、この WebShell のファイルは、単体の PHPファイル（「BKDR_WEBSHELL.JS」として検出）で、ファイルのアップロードやコマンドの実行、脆弱性利用後の不正活動の実行など、さまざまな不正活動に利用できる多くの機能を備えています。

WordPress に存在する脆弱性を利用した攻撃者が現れたことは、今では特に驚くべきことではないでしょう。WordPress は、現在、世界で最も人気の高い「CMS（コンテンツ管理システム）」となっています。Webサイト調査会社「w3techs ^[4]」によると、上位 1000万のWebサイトのうち、22% が WordPress を利用しています。今回の攻撃に関わったサイバー犯罪者集団が、なぜこの攻撃手法を用いたかは容易に理解できるでしょう。

弊社ではまた、「contador」と名づけられた一般に公開されているテキストファイルを確認しました。「contador」とは、ポルトガル語で「計測器」を意味し、不正プログラムをダウンロードした現在のユーザ数を表示します。「BKDR_QULKONWI.GHR ^[5]」として検出されるこの不正プログラムは、今回の Gizmode のブラジル版への攻撃に関連したバックドア型不正プログラムです。このテキストファイルによると、2014年8月現在、およそ 7千人のユーザがこのバックドア型不正プログラムをダウンロードしています。

弊社は、WordPress のプラグインに存在する脆弱性について、Gizmode のブラジル版にすでに報告しています。攻撃者は、メインページを改ざんし、”index.php” ファイルに不正なスクリプトコードを埋め込むために、この脆弱性を利用した可能性があります。

甚大な被害を及ぼす今回の攻撃を考慮し、弊社は、この攻撃で利用もしくは関連したすべての不正プログラム、URL および IPドメインをブロックしました。トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network ^[6]」によって守られています。特に「Webレピュテーション ^[7]」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション ^[8]」技術により、上述の不正プログラムを検出し、削除します。

弊社はまた、Webポータルの管理者に、WordPress の最新バージョンを常にインストールしておくことを推奨しています。特に、Webポータルで利用しているプラグインの更新や、最新バージョンで修正された脆弱性に注意を払うことは、Webサイトをサイバー犯罪から保護します。

また、弊社では、以下の事項を推奨しています。

WordPress のユーザ名は攻撃者から簡単に推測されたり、窃取されやすいため、強力なパスワードを使用して下さい
攻撃者は通常、WordPress のテーマのソースコードに WebShell を埋め込むため、テーマは慎重に選んで下さい
現在使用していない、もしくは将来的に使用しない PHP の機能は無効にすることを検討して下さい。
Webサーバを実行しているユーザ（通常は、LAMPスタックの www-data ）と同一のユーザによって最近作成されたファイルに注意を払って下さい。これが攻撃が行なわれていることを示す証拠になる可能性があります。

尚、今回の攻撃に関連したハッシュは以下のとおりです。

7d8875aeecf47b959ebd611ddc10076453d4f552

参考記事：

「More Details Regarding the Gizmodo Brazil Compromise ^[9]」
by Fernando Merces ^[10] (Senior Threat Researcher)

　翻訳：品川　暁子（Core Technology Marketing, TrendLabs）

Related posts: