Sucuriは7月11日(米国時間)、「Stealthy PHP Malware Uses ZIP Archive to Redirect WordPress Visitors」において、侵害されたWordPressサイトから巧妙に埋め込まれたマルウェアを発見したと報じた。

このマルウェアは訪問者を悪意のあるWebサイトなどにリダイレクトさせ、同時に不正なSEO対策を実行するという。

  • Stealthy PHP Malware Uses ZIP Archive to Redirect WordPress Visitors

    Stealthy PHP Malware Uses ZIP Archive to Redirect WordPress Visitors

巧妙な埋め込みと不正なSEO対策

Sucuriによると、攻撃者はWordPressのコアファイルの1つ「wp-settings.php」に巧妙なコードを埋め込み検出の回避を試みたという。具体的には次の2行のコードをファイル先頭に埋め込み、ZIPアーカイブから追加のPHPコードを直接ロードしたという。

  • 「wp-settings.php」に埋め込まれた悪意のあるコード - 引用:Sucuri

    「wp-settings.php」に埋め込まれた悪意のあるコード 引用:Sucuri

攻撃者が設置したZIPアーカイブ「win.zip」には高度に難読化されたPHPファイルが1つ含まれており、このコードがマルウェア本体とされる。Sucuriの分析により明らかとなったマルウェアの機能は次のとおり。

  • リクエストURLに基づいてコマンド&コントロール(C2: Command and Control)サーバを動的に選択する
  • アンチボット機能(検索エンジンのクローラーを検出すると攻撃を中止する)
  • 攻撃者がGoogle Search Consoleにアクセスできるようにする
  • robots.txtファイルを変更し、攻撃者のスパムコンテンツをクロールするようにサイトマップを追加する
  • コマンド&コントロールサーバからコンテンツを取得し、コンテンツの動的配信およびリダイレクトを可能にする

影響と対策

このマルウェアは攻撃者のスパムコンテンツを検索上位に表示することを目的に、被害サイトの権威を悪用する。被害を放置すると検索エンジンから悪意のあるWebサイトに指定され、Webサイトの評判に傷がつく可能性がある。

Sucuriはこのマルウェアの特徴から、専門家の支援なしに検出して駆除することは困難としている。そのため、次の対策を実施して、感染を未然に防ぐことが重要とされる。

  • Webサーバのすべてのソフトウェア(WordPress本体、プラグイン、テーマを含む)を最新の状態に維持する
  • プラグインとテーマは公式サイトなどの信頼できるソースから入手する
  • WordPressセキュリティのベストプラクティスを実践し、不正アクセスを防止する
  • Webアプリケーションファイアウォール(WAF: Web Application Firewall)を導入する
  • 定期的にWebサイトのマルウェアスキャンを実施する

WordPressサイトを運用している管理者には、wp-settings.phpなどのコアファイルに同様のコードが埋め込まれていないか確認することが推奨される。不審なコードが確認された場合は、セキュリティ企業や専門家に相談し、適切な手順で復旧することが望まれている。