WordPress向けのセキュリティソリューションなどを提供しているSucuriは5月11日、公式ブログ「Massive WordPress JavaScript Injection Campaign Redirects to Ads 」において、WordPressのWebサイトを標的とした大規模なサイバー攻撃キャンペーンが確認されていることを報告した。
このキャンペーンによって侵害されたWebサイトでは、ファイルやデータベースに悪意のあるJavaScriptが挿入されており、訪問者は外部の詐欺ページや悪意のあるサイト、または不正なトラフィックを生成することを目的とした商用Webサイトなどに自動的にリダイレクトされるという。
Sucuriの報告によると、問題が発覚したすべての侵害されたサイトでは、jquery.min.jsやjquery-migrate.min.jsを含む正当なコアWordPressファイルやデータベースに、難読化されたJavaScriptコードが含まれていたとのこと。コードはページが読み込まれる度に起動される部分に追加されており、サイトの訪問者を自動的に攻撃用の宛先にリダイレクトすることができる。
-
難読化された悪意のあるJavaScriptコード 引用:Sucuri Blog
リダイレクト先は複数確認されているが、中には下図のような偽のCAPTCHAチェックを含むランディングページが表示して、悪意のあるサイトからのプッシュ通知を受け入れさせるものもある。この偽のCAPTCHAをクリックすると、Webブラウザは対象のサイトが開いていない場合でも、不要な広告を受信するようにオプトインされてしまうという。
-
偽のCAPTCHAを含む悪意のあるランディングページ 引用:Sucuri Blog
Suciriによれば、2022年5月9日からこれまでに少なくとも322のWebサイトがこの攻撃キャンペーンの影響を受けたと考えられるという。また、4月には6500を超えるWebサイトが侵害されたとも伝えられている。攻撃者はWordPressプラグインとテーマにおいて発見されている複数の脆弱性を悪用して、悪意のあるJavaScriptコードを挿入していることが判明しているため、Webサイトの管理者はこれらの脆弱性の影響を回避する最新のパッチを速やかに適用することが推奨されている。
サイバーセキュリティ最前線 第12回 TP-Link製ルーターを米国が禁止の可能性、シャープ製ルーター(ドコモ、KDDI、ソフトバンク)に脆弱性
