最近、サイバーセキュリティは新たな脅威を目撃しました。WordPress ウェブサイトを標的とする高度なマルウェアです。このマルウェアは、人気の WordFence セキュリティ プラグインに巧妙に偽装し、セキュリティに偽りの感覚を生み出しながら、重要な保護メカニズムを無効にし、攻撃者にバックドアを開きます。

定期チェックで隠れたWordPressマルウェアが発見される

この悪意のあるソフトウェアは、侵害された WordPress の Web サイトの通常の調査中に発見されました。当初、サイト管理者はクレジットカードの盗難の可能性を懸念していましたが、差し迫った脅威を無事に取り除きました。しかし、Sucuri のセキュリティ専門家による詳細な分析により、より陰険な問題が明らかになりました。WordFence の検出を回避し、その機能を無効にするように設計された悪意のあるプラグインです。

WordPress マルウェア WordFence 脆弱性
WordPressマルウェアは、Sucuriによる侵害されたウェブサイトの定期調査中に発見されました。 (画像提供)

悪意のあるプラグインの使用は、攻撃者が WordPress ウェブサイト、特に管理者アカウントが侵害されたウェブサイトに侵入するためによく使われる戦術です。これらのプラグインは、一般的な名前で偽装し、サイトの環境にシームレスに溶け込むことがよくあります。この特定のケースでは、疑わしいプラグインの名前は wp-engine-fast-action でしたが、ウェブサイトは WPEngine でホストされておらず、その名前の正当なプラグインは存在しないため、誤解を招く名前です。

You Might Also Like
WhatsappメッセージをAndroidからiPhoneに転送するにはどうすればよいですか?
WhatsappメッセージをAndroidからiPhoneに転送するにはどうすればよいですか?
LGRollableにはセカンダリディスプレイがあります
LGRollableにはセカンダリディスプレイがあります
Windows での画面録画の簡単なガイド
Windows での画面録画の簡単なガイド

WordFence の脆弱性を詳しく調査

500 万以上のアクティブインストールを誇る WordFence は、WordPress ウェブサイト向けの主要なセキュリティ ソリューションです。しかし、2 要素認証やファイアウォール サービスなどの強力な機能を備えているにもかかわらず、悪用される危険性はありません。悪意のある wp-engine-fast-action プラグインには、base64 エンコード、連結、逆文字列を使用して真の目的を隠すスクリプトが含まれていました。

解読すると、プラグインの有害な意図が明らかになりました。WordFence プラグイン ディレクトリの名前を「wordfence1」に変更して事実上無効にし、新しい悪意のある管理者ユーザーを作成するか、license_admin2 という名前の既存のユーザーの権限を昇格し、潜在的な再感染ベクトルとして機能して、最初のマルウェアが削除された後でも攻撃者が引き続きアクセスできるようにします。

巧妙な変装

さらに検出を回避するために、攻撃者はプラグインに追加のファイル (main.js と style.css) を組み込みました。main.js ファイルには、WordFence の設定を視覚的に操作する難読化された JavaScript コードが含まれており、セキュリティ スキャンがアクティブでないのにアクティブであるかのように見せかけます。style.css ファイルは、偽のプラグインと悪意のある管理者ユーザーの存在を WordPress ダッシュボードから隠します。この欺瞞的なコードは短いながらも、ユーザーを誤解させてサイトが安全であると信じ込ませるのに非常に効果的でした。

WordPress マルウェア WordFence 脆弱性
攻撃者は、さらに活動を隠すために追加のファイル(main.jsとstyle.css)を使用し、セキュリティの錯覚を作り出しました。 (画像提供)

WordPressウェブサイトを保護する方法

WordFence は WordPress サイトにとって依然として貴重なセキュリティ ツールですが、今回の事件は、すべての機能が正しく設定されていることを確認し、潜在的な脆弱性に警戒し続けることの重要性を浮き彫りにしています。Sucuri は、脅威を効果的に軽減するためにいくつかの対策を推奨しています。

  • 2要素認証(2FA): これにより、ログインのセキュリティがさらに強化され、ユーザー名とパスワード以外の追加の検証手順が必要になります。
  • wp-config.php のセキュリティ保護: disallow_file_edit や disallow_file_mods などのセキュリティ対策を実装すると、この重要なファイルへの不正な変更を防ぐことができます。
  • 定期的な更新: WordPress、テーマ、プラグインを最新の状態に保つことで、既知の脆弱性が修正されます。
  • ウェブサイトファイアウォール: これにより、ブルートフォース攻撃から保護し、悪意のあるボットをブロックできます。
    ファイル整合性監視: 外部スキャン ソリューションを利用すると、Web サイト ファイルへの不正な変更を検出できます。

この新しい WordPress マルウェアの発見は、サイバーセキュリティの専門家とサイバー犯罪者の間での絶え間ない猫とネズミのゲームを思い起こさせるものです。最新の脅威について常に情報を入手し、WordPress ウェブサイトを保護するための積極的な対策を講じることを忘れないでください。

注目の画像クレジット: フィクレット・トザック/Unsplash

Source: WordPressマルウェアはWordFenceの保護機能として隠れている

  これは新しいWindows11ファイルエクスプローラーです