Sucuriは3月28日(米国時間)、「Hidden Malware Strikes Again: Mu-Plugins Under Attack」において、WordPressのmu-plugins(必須のプラグイン)を侵害する攻撃を確認したとして注意を喚起した。

mu-pluginsは「Must Useプラグイン」の略で、すべてのサイトで自動的に有効になるプラグインとされる。攻撃者はmu-pluginsがプラグイン一覧に表示されない特性を悪用し、隠れてWebサイトを侵害したという。

  • Hidden Malware Strikes Again: Mu-Plugins Under Attack

    Hidden Malware Strikes Again: Mu-Plugins Under Attack

攻撃の概要

この攻撃の初期の侵入経路は明らかになっていない。プラグインの脆弱性、弱いパスワード、不十分なセキュリティ対策など、複数の可能性が指摘されている。

マルウェアはmu-pluginsディレクトリーから複数発見されている。その概要は次のとおり。

  • wp-content/mu-plugins/redirect.php - 訪問者を悪意のあるWebサイトにリダイレクトする
  • wp-content/mu-plugins/index.php - 任意のコードを実行する
  • wp-content/mu-plugins/custom-js-loader.php - Webサイトにスパムコンテンツを挿入する

侵害された状態を放置すると、Webサイトの乗っ取り、アダルトコンテンツの配信、次の攻撃の踏み台などWebサイトを悪用される可能性がある。被害が拡大する前に侵害を検出して対策することが望まれる。

感染の検出と対策

これらマルウェアはいずれもmu-pluginsディレクトリから発見されている。SucuriはWordPressサイトを運営している管理者に対し、上記のファイルに悪意のあるコードが含まれていないか確認することを推奨している。マルウェアを発見した場合は、ファイルの削除または復元する必要がある。

また、マルウェアの発見は侵入されたことを意味しており、次の対策も合わせて実施する必要がある。

  • 不審または未知の管理者アカウントが存在していたらすべて削除する
  • インストールされているプラグインを監査し、不審なプラグインを削除する
  • WordPress本体、プラグイン、テーマをすべて更新する
  • 管理者パスワードを一意で強力なものに変更する。可能であれば多要素認証(MFA: Multi-Factor Authentication)を有効にする

今回は3つのPHPファイルからマルウェアが発見されたが、攻撃者は他のマルウェアを展開している可能性もある。そのため、デフォルトのファイルまたはWebサイトのバックアップとmu-pluginsディレクトリを比較し、変更箇所に悪意のあるコードが含まれていないか確認することも推奨されている。

可能であれば、将来の攻撃を検出して回避するために次の対策も推奨される。

  • コンテンツの変更を警告するセキュリティプラグインを導入し、ファイルの整合性を監視する
  • Webアプリケーションファイアウォール(WAF: Web Application Firewall)を導入する

この攻撃はWebサイトの収益に直接影響すると同時に、訪問者も危険にさらす可能性がある。訪問者を脅威から遠ざけるためにも、WordPressの管理者には徹底したセキュリティ対策の実施が望まれている。