記事のジャンル: Security
記事本文(要約)
2016年から行われている「DollyWay」というマルウェア作戦が、世界中で20,000以上のWordPressサイトを侵害し、ユーザーを悪意のあるサイトにリダイレクトしています。この作戦は、進化した回避、再感染、収益化戦略を用いており、GoDaddyの研究者によると、最新バージョン(v3)では大規模な詐欺リダイレクトシステムとして機能しています。過去には、ランサムウェアやバンキング型トロイの木馬なども配布していました。このキャンペーンは、n-day脆弱性を利用してサイトを侵害し、毎月1,000万件の不正なインプレッションを生成しています。
「DollyWay」は、スクリプトインジェクションを通じてWebサイトを攻撃し、そこからリダイレクトを実行。特に、訪問者がページ内の要素をクリックすると最終的なリダイレクトが行われるため、受動的なスキャンツールでは検出されにくい仕組みです。また、自動再感染機能でサイトの持続的な感染を維持し、削除を困難にしています。 GoDaddyは、DollyWayに関連する侵害指標(IoC)を公開し、今後の投稿で詳細を発表予定です。
※この要約はChatGPTを使用して生成されました。
Original URL: https://www.bleepingcomputer.com/news/security/malware-campaign-dollyway-breached-20-000-wordpress-sites/
公開日: Wed, 19 Mar 2025 19:12:00 -0400
詳細な技術情報
- CVE番号:
- 具体的なCVE番号は本文には記載されていません。しかし、DollyWayが利用している「n-day脆弱性」は、既知の脆弱性を意味します。具体的なバージョンや脆弱性はサイトによって異なるため、影響を受けるWordPressプラグインまたはテーマを特定し、それに関連するCVEを確認する必要があります。
- 脆弱性の仕組み:
- DollyWayは、WordPressサイトのプラグインやテーマの既知の脆弱性(n-day脆弱性)を利用してスクリプトを注入します。この脆弱性によって、悪意のあるコード(PHPやJavaScript)がウェブサイトに埋め込まれ、リダイレクション攻撃が可能になります。
- 攻撃手法:
- 1. スクリプトインジェクション: `wp_enqueue_script`を通じて動的に悪意のあるスクリプトをロードします。
- 2. トラフィック方向システム(TDS): 特定の条件(訪問者の地理的位置、デバイスタイプなど)を満たす訪問者をフィルタリングし、悪意のあるサイトにリダイレクト。
- 3. 再感染の仕組み: 見えない形で再感染を防ぐためのPHPコード断片が全てのActiveプラグインに広がり、管理パネルからは見えない形でWPCodeプラグインをインストールします。
- 潜在的な影響:
- ユーザーがフィッシングサイトやマルウェア配布サイトへリダイレクトされるリスク。
- ウェブサイトの評判が低下し、トラフィックと収益に悪影響を及ぼす可能性。
- サイト管理者がマルウェアの存在を認識できず、感染が続くリスク。
- 推奨される対策:
- 1. 脆弱性の特定とパッチの適用: 使用しているプラグインやテーマが最新の状態であることを確認し、既知の脆弱性を修正するパッチを直ちに適用します。
- 2. 強力なセキュリティプラグインの利用: マルウェアスキャンとファイアウォール機能を提供するセキュリティプラグインをインストールし、サイトを監視します。
- 3. 異常活動の監視: アクセスログを定期的に確認し、不審な活動がないかを確認します。
- 4. バックアップの強化: 定期的なバックアップを取り、感染後にサイトを迅速に復旧できる体制を整えます。
- 5. GoDaddyから提供されるIoCの利用: GoDaddyのセキュリティ研究者が提供するIoCを利用して感染兆候を特定し、対策を講じます。
