「Flashリダイレクタ」の検知件数のグラフにおいて、10月に異常な山があることに気付いた。この原因は侵害されたWebサイト群だ。

RedirectorHits
図1:Flashリダイレクタの検知件数

 侵害されたWebサイトにはコードが挿入されている。このコードは、ユーザをエクスプロイトキットのAnglerへリダイレクトしようとする、悪意あるFlashオブジェクトを読み込む。

InjectedCode
図2:挿入されたコード

 このFlashリダイレクタは新しいものではない。これについては1年前にMalwareBytesに記事が掲載されている。しかしながら、10月中に観測した急増は我々の関心を引き、もう少し詳しく眺めてみることになった。

 URL短縮ツールus.toの使用を確認できなかった点を除いて、MalwareBytesが確認したものとURLのパターンに大差ないことを発見したのには、興味深いものがあった。攻撃の背後にいる人物は、フリードメインや一般的でないトップレベルドメインを巧みに利用している。

RedirectorURLs2014
図3:2014年のFlashリダイレクタのURL
RedirectorURLs2015
図4:2015年のFlashリダイレクタのURL

 Webサイトがどのように侵害されたかを調査するうち、そうしたサイトすべてがWordPressを使って構築されていることに気付いた。我々は当初、当該Webサイトは脆弱なプラグイン経由で攻撃されたと考えていた。

 侵害されたサーバについてさらに調査を行うと、単純なブルートフォースでのパスワード攻撃が、攻撃者の戦略の1つであったことが明らかになった。攻撃者は以下のようなURLにアクセスすることで、WordPressのユーザ名を列挙しようとした。

http://www.samplewebsite.com/?author=1
http://www.samplewebsite.com/?author=2
http://www.samplewebsite.com/?author=3

 以下は、authorをスキャンしたことを示すアクセスログの一部だ。

accesslog1

 ユーザ名を獲得したなら、攻撃者が特定しなければならないのはパスワードだけだ。攻撃者が使用したツールは、ログインに成功するまでにおおよそ1200件のパスワードを試していた。

accesslog2

 管理者アカウントへアクセスできるようになったら、攻撃者は悪意のあるスクリプトをサーバにアップロードし始める。こうしたスクリプトには、バックドアやさらにはスパマーのコンポーネントが含まれる。

accesslog3

 サイバー犯罪者にとって、マルウェアを配布するのにもっとも効率的な方法の1つは、Webサイトを侵害することだ。ユーザは習慣のとりことなっており、一般に自分のマシンが感染しているかもしれないなどと考えることなくお気に入りのWebサイトを訪れる。そのため、こうしたWebサイトの所有者がこの脅威が広がらないようにするのに重要な役割を持つ。前々からアドバイスされていることの1つは、あなたのサーバで実行される全ツールを最新にして、脆弱性を突いて攻撃される可能性を低減することだ。しかしながら、他ならぬこの攻撃の場合については、ユーザ名の保護および強力でユニークなパスワードを使用することの重要性をいくら強調してもし足りない。さらに、この種のWordPressの攻撃から身を守るためには、何を公開するにせよWordPressの管理者アカウントを使用すべきではない。また.htaccessに以下のコードを追記すると、autherを列挙しようとする試みをブロックできる。

# Stop wordpress username enumeration vulnerability
RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ http://yoursite.com/somepage/? [L,R=301]

 より詳細については「Block WordPress User Enumeration, Secure WordPress Against Hacking」で確認できる。