Sucuriは6月5日(米国時間)、「Hundreds of Websites Targeted by Fake Google Chrome Update Pop-Ups」において、WordPressサイトを侵害して偽のGoolge Chromeアップデートを配信するキャンペーンを確認したとして、注意を呼びかけた。この攻撃は4月下旬から確認され、少なくとも341のWebサイトが影響を受けたとみられている。

  • Hundreds of Websites Targeted by Fake Google Chrome Update Pop-Ups

    Hundreds of Websites Targeted by Fake Google Chrome Update Pop-Ups

偽のGoolge Chromeアップデート

Sucuriによると、今回確認されたキャンペーンでは、偽のGoogle Chromeアップデートのポップアップ表示を通じて悪意のある「GoogleChrome-x86.msix」をダウンロードさせるという。Sucuriはこのファイルの詳細に触れていないが、通常、偽のWebブラウザアップデートからは情報窃取マルウェアや遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)が配布される。

  • 偽のGoogle Chromeアップデートを通知するポップアップ表示の例 - 引用:Sucuri

    偽のGoogle Chromeアップデートを通知するポップアップ表示の例 引用:Sucuri

現在、このキャンペーンで使用されたダウンロードサーバは機能しておらず、このファイルを取得することはできない。しかしながら、侵害されたWordPressサイトは少なくとも341件存在することが確認されている。SucuriはWordPressサイトの運営者に対し、Webサイトセキュリティチェッカー「Website Security Checker | Malware Scan | Sucuri SiteCheck」を使用して侵害の有無を確認するように推奨している。

WordPressサイトの侵害

このキャンペーンでは脆弱なWordPressサイトを侵害し、プラグイン「Hustle – Email Marketing, Lead Generation, Optins, Popups – WordPress plugin | WordPress.org」をインストールすることが確認されている。このプラグインにはWebサイトにポップアップ表示やオプトインフォームを追加する機能があり、このポップアップ表示を使うためにインストールされる。

なお、Sucuriは今回の攻撃で使用されたWordPressサイトへの侵入方法を公開していない。しかしながら、過去の同様の攻撃においては脆弱なパスワードを設定しているWebサイトに対し、パスワードスプレー攻撃などを使用して侵入したケースが報告されており、今回も同様の方法が使用されたと推測される。

Webサイトの防御策

Sucuriはこのような攻撃からWordPressサイトを保護するため、次のような防御策の実施を推奨している。

  • すべてのプラグインを定期的に確認し、動作していないコンポーネントやインストールした覚えのないコンポーネントを削除する
  • WordPress関連のすべてのアカウント(システム、FTP、データベースアカウントを含む)に一意で強力なパスワードを設定する。また、作成した覚えのない不要なアカウントが存在する場合は削除する
  • Webサイトを定期的に監視し、不審な活動がないかどうか確認する
  • WordPressのログインページにアクセス制限をかける。また、ログインに多要素認証(MFA: Multi-Factor Authentication)を導入する
  • WordPress、プラグイン、テーマ、その他コンポーネントを常に最新の状態に保つ
  • Webアプリケーションファイアウォール(WAF: Web Application Firewall)を導入する

また、上記以外にも定期的にWebサイトのイミュータブルバックアップを作成し、侵害時に速やかに復旧できるよう準備することが推奨される。もし、Webサイトが侵害された場合は、被害の拡大防止、侵入経路および侵害の詳細を特定、最後にバックアップからWebサイトを復元して侵入経路を塞ぐ対策を実施する。バックアップがない場合または適切な対策方法がわからない場合は、速やかに専門家またはセキュリティ企業に相談することが望まれている。